信息化觀察網(wǎng)

一、方案介紹

信創(chuàng)云下容器及虛擬機(jī)威脅態(tài)勢(shì)分析解決方案是基于國(guó)產(chǎn)化私有云的平臺(tái)，主要功能包括：XC私有云下資產(chǎn)感知，檢測(cè)分析，用戶(hù)異常行為分析，安全響應(yīng)，全流量威脅管理，漏洞風(fēng)險(xiǎn)管理，安全態(tài)勢(shì)可視化。通過(guò)對(duì)全流量的分析，可以充分了解資產(chǎn)異常情況與安全事件，為單位網(wǎng)絡(luò)正常運(yùn)行、單位業(yè)務(wù)順暢提供有力保障，避免業(yè)務(wù)中斷造成的安全損失。

二、總體架構(gòu)

方案整體架構(gòu)分為功能架構(gòu)層與部署架構(gòu)層，如圖所示

圖樣例

信創(chuàng)云下容器及虛擬機(jī)威脅態(tài)勢(shì)分析解決方案可以分為終端安全管理系統(tǒng)（Agent）、綜合威脅探針、容器安全控制器、容器安全控制器、安全檢測(cè)引擎、態(tài)勢(shì)感知平臺(tái)。

（一）【終端安全管理系統(tǒng)（Agent）】

提供基于云主機(jī)的終端流量牽引能力，通過(guò)將鏡像流量加密壓縮后封裝為UDP報(bào)文發(fā)送至綜合威脅探針，支持配置流量過(guò)濾和牽引策略。

（二）【綜合威脅探針】

供全流量采集和存儲(chǔ)，滿(mǎn)足大流量安全場(chǎng)景下各類(lèi)數(shù)據(jù)采集的完整性并將其存儲(chǔ)方便后續(xù)的0day、APT等高級(jí)入侵行為的回溯分析和取證；集成了WAF和IDS全部檢測(cè)規(guī)則能精準(zhǔn)的識(shí)別《OWASPTOP10》中攻擊行為；具備異常行為檢測(cè)能力，支持自定義敏感信息識(shí)別，能識(shí)別多種敏感數(shù)據(jù)并結(jié)合業(yè)務(wù)快速發(fā)現(xiàn)違規(guī)行為；對(duì)流量日志進(jìn)行標(biāo)準(zhǔn)化輸出，對(duì)接態(tài)勢(shì)感知平臺(tái)。

（三）【容器安全控制器】

監(jiān)控容器集群POD啟停情況，動(dòng)態(tài)下發(fā)流量鏡像策略到流量探針POD，實(shí)現(xiàn)需要防護(hù)POD網(wǎng)卡流量鏡像。同時(shí)接收集群攻擊日志。

（四）【容器安全控制器】

根據(jù)控制端下發(fā)的流量鏡像策略，找到待防護(hù)POD對(duì)應(yīng)的虛擬網(wǎng)卡，并鏡像該虛擬網(wǎng)卡流量，然后通過(guò)VXLAN隧道發(fā)送到檢測(cè)引擎POD。

（五）【安全檢測(cè)引擎】

POD通過(guò)接收VXLAN隧道流量，將隧道負(fù)載內(nèi)容通過(guò)安全引擎檢測(cè)，如果是攻擊流量，則將日志上傳到安全控制器，支持WEB常見(jiàn)安全攻擊和網(wǎng)絡(luò)攻擊能力

（六）【態(tài)勢(shì)感知平臺(tái)】

通過(guò)綠盟A接口、FTP/SFTP、Netflow等不同的方式接收現(xiàn)網(wǎng)中部署的不同種設(shè)備產(chǎn)生的安全日志。不同種類(lèi)日志接入平臺(tái)后，實(shí)現(xiàn)異構(gòu)日志格式歸一化?；诰G盟獨(dú)創(chuàng)的威脅分析建模引擎、異常行為分析引擎、安全治理分析引擎進(jìn)行深度威脅關(guān)聯(lián)分析，實(shí)現(xiàn)已知、未知和灰度行為的檢測(cè)與分析，同事基于可視化技術(shù)從不同安全運(yùn)營(yíng)與分析角度對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)呈現(xiàn)。

三、技術(shù)優(yōu)勢(shì)

（一）【自主程度方面】

使用飛騰、鯤鵬等芯片；已完成銀河麒麟操作系統(tǒng)兼容，完成華為泰山服務(wù)器適配。

（二）【分析協(xié)議覆蓋面廣】

綜合威脅探針支持各類(lèi)網(wǎng)絡(luò)協(xié)議、5G協(xié)議、工控協(xié)議、物聯(lián)網(wǎng)協(xié)議和傳統(tǒng)協(xié)議的識(shí)別和解析并生成日志為后續(xù)分析提供有力保障。

（三）【資產(chǎn)生命周期管理】

各組件聯(lián)動(dòng)實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的各類(lèi)型資產(chǎn)的安全管理，并可對(duì)資產(chǎn)進(jìn)行持續(xù)監(jiān)控，結(jié)合資產(chǎn)變革和資產(chǎn)基線異常檢測(cè)，進(jìn)一步分析變更和異常資產(chǎn)帶來(lái)的安全風(fēng)險(xiǎn)，實(shí)現(xiàn)資產(chǎn)變更風(fēng)險(xiǎn)預(yù)警和資產(chǎn)安全修正，幫助客戶(hù)維護(hù)百萬(wàn)級(jí)資產(chǎn)安全臺(tái)賬和細(xì)粒度資產(chǎn)信息管理。

（四）【用戶(hù)行為分析技術(shù)】

平臺(tái)提供用戶(hù)異常行為分析能力，基于海量的數(shù)據(jù)，使用高級(jí)分析方法和機(jī)器學(xué)習(xí)的模型，對(duì)用戶(hù)和實(shí)體(例如IP地址、應(yīng)用、設(shè)備和網(wǎng)絡(luò)等)的行為進(jìn)行評(píng)估、關(guān)聯(lián)并建立基線，以發(fā)現(xiàn)內(nèi)部威脅以及外部入侵行為。異常行為分析覆蓋內(nèi)部訪問(wèn)、數(shù)據(jù)泄露、風(fēng)險(xiǎn)賬號(hào)、風(fēng)險(xiǎn)終端四大類(lèi)百余個(gè)子場(chǎng)景，可從海量數(shù)據(jù)中找到主體與客體間潛在的異常關(guān)聯(lián)行為，提前防患于未然。

（五）【容器生命周期安全防護(hù)】

覆蓋容器鏡像、容器環(huán)境、容器運(yùn)行時(shí)安全管理、滿(mǎn)足全生命周期安全風(fēng)險(xiǎn)檢測(cè)要求，提供基于策略的容器啟動(dòng)、運(yùn)行管理，避免有風(fēng)險(xiǎn)、漏洞的鏡像被拉起對(duì)其他容器運(yùn)行造成風(fēng)險(xiǎn)或者運(yùn)行中的容器異常行為依據(jù)策略進(jìn)行掛起，等待管理員驗(yàn)證。

（六）【核心競(jìng)爭(zhēng)力】

綠盟科技始終致力于跟蹤國(guó)內(nèi)外最新網(wǎng)絡(luò)安全和漏洞研究動(dòng)向，持續(xù)開(kāi)展漏洞分析和挖掘、逆向工程技術(shù)等安全專(zhuān)項(xiàng)研究，不斷提高在入侵檢測(cè)和防御、抗分布式拒絕服務(wù)、惡意軟件和攻擊行為分析檢測(cè)、威脅捕獲等方面的技術(shù)水平。同時(shí)在如云安全和虛擬化安全、下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、數(shù)據(jù)智能、區(qū)塊鏈安全、物聯(lián)網(wǎng)安全、威脅情報(bào)等前沿安全領(lǐng)域進(jìn)行積極的研究探索。這些安全攻防和前沿戰(zhàn)略性研究成果，為綠盟科技的核心競(jìng)爭(zhēng)力和持續(xù)的技術(shù)創(chuàng)新提供了有力的保障。在云安全領(lǐng)域，公司是國(guó)內(nèi)首批加入云安全聯(lián)盟CSA的企業(yè)單位，是國(guó)內(nèi)最早進(jìn)入云安全領(lǐng)域的安全廠商之一，已累計(jì)服務(wù)十余個(gè)省級(jí)和數(shù)十個(gè)市級(jí)政務(wù)云。公司一直在致力于云計(jì)算安全和創(chuàng)新產(chǎn)品研究工作，基于多年對(duì)市場(chǎng)需求及行業(yè)趨勢(shì)的深刻洞察，以及最新的安全防護(hù)技術(shù)研究進(jìn)展，發(fā)布了覆蓋公有云、私有云/行業(yè)云的安全產(chǎn)品和解決方案，提供無(wú)縫的安全防護(hù)和一致的安全使用體驗(yàn)，收獲多項(xiàng)榮譽(yù)。

四、應(yīng)用效果

信創(chuàng)云下容器及虛擬機(jī)威脅態(tài)勢(shì)分析解決方案廣泛應(yīng)用于政府、企業(yè)、運(yùn)營(yíng)商等重點(diǎn)領(lǐng)域，已在中央和國(guó)家機(jī)關(guān)單位以及多個(gè)省市（自治區(qū)）單位得到落地應(yīng)用。

應(yīng)用案例：信創(chuàng)云下容器及虛擬機(jī)威脅態(tài)勢(shì)分析解決方案

項(xiàng)目介紹

用戶(hù)的數(shù)據(jù)中心向云計(jì)算平臺(tái)遷移，業(yè)務(wù)上云后流量模型發(fā)生了變化，東西向流量在整個(gè)數(shù)據(jù)中心的流量占比中越來(lái)越大，不可視的東西向流量容易造成相關(guān)風(fēng)險(xiǎn)，橫向蔓延污染云內(nèi)部虛機(jī)網(wǎng)絡(luò)，而傳統(tǒng)的安全產(chǎn)品已經(jīng)無(wú)法解決云上的安全威脅。通過(guò)在云內(nèi)部署相應(yīng)的安全能力對(duì)租戶(hù)不同虛擬機(jī)間以及不同容器POD間的流量進(jìn)行安全檢測(cè)，保護(hù)單位網(wǎng)絡(luò)正常運(yùn)行、單位業(yè)務(wù)順暢、避免業(yè)務(wù)中斷造成的安全損失。實(shí)時(shí)發(fā)現(xiàn)蠕蟲(chóng)、病毒、Web攻擊、間諜軟件和黑客等安全問(wèn)題，并且可以在態(tài)勢(shì)感知平臺(tái)上統(tǒng)一展示和研判。

實(shí)施效果

終端安全管理系統(tǒng)150點(diǎn)，綜合威脅探針12套，容器安全管理系統(tǒng)300套，態(tài)勢(shì)感知平臺(tái)1套，實(shí)施周期約為5工作日。通過(guò)對(duì)虛擬機(jī)以及容器流量進(jìn)行安全檢測(cè)，實(shí)時(shí)發(fā)現(xiàn)蠕蟲(chóng)、病毒、Web攻擊、間諜軟件和黑客等攻擊和入侵，保護(hù)單位網(wǎng)絡(luò)正常運(yùn)行、單位業(yè)務(wù)順暢、避免業(yè)務(wù)中斷造成的安全損失。

五、示范效應(yīng)

信創(chuàng)云下容器及虛擬機(jī)威脅態(tài)勢(shì)分析方案為用戶(hù)構(gòu)建安全增值服務(wù)，滿(mǎn)足其安全和合規(guī)性要求。本方案中所涉及的基礎(chǔ)設(shè)施、基礎(chǔ)軟件都是我們自己可掌控、可研究、可發(fā)展、可生產(chǎn)的，在實(shí)現(xiàn)全面適配國(guó)產(chǎn)化環(huán)境的前提下，為私有云上的業(yè)務(wù)實(shí)現(xiàn)提供網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)病毒、異常流量的檢測(cè)和防御。保護(hù)單位網(wǎng)絡(luò)正常運(yùn)行、單位業(yè)務(wù)順暢、避免業(yè)務(wù)中斷造成的安全損失。本方案中所涉及的基礎(chǔ)設(shè)施、基礎(chǔ)軟件都是我們自己可掌控、可研究、可發(fā)展、可生產(chǎn)的，推動(dòng)信創(chuàng)產(chǎn)業(yè)加速發(fā)展。