一、方案介绍
信创云下容器及虚拟机威胁态势分析解决方案是基于国产化私有云的平台,主要功能包括:XC私有云下资产感知,检测分析,用户异常行为分析,安全响应,全流量威胁管理,漏洞风险管理,安全态势可视化。通过对全流量的分析,可以充分了解资产异常情况与安全事件,为单位网络正常运行、单位业务顺畅提供有力保障,避免业务中断造成的安全损失。
二、总体架构
方案整体架构分为功能架构层与部署架构层,如图所示
图样例
信创云下容器及虚拟机威胁态势分析解决方案可以分为终端安全管理系统(Agent)、综合威胁探针、容器安全控制器、容器安全控制器、安全检测引擎、态势感知平台。
(一)【终端安全管理系统(Agent)】
提供基于云主机的终端流量牵引能力,通过将镜像流量加密压缩后封装为UDP报文发送至综合威胁探针,支持配置流量过滤和牵引策略。
(二)【综合威胁探针】
供全流量采集和存储,满足大流量安全场景下各类数据采集的完整性并将其存储方便后续的0day、APT等高级入侵行为的回溯分析和取证;集成了WAF和IDS全部检测规则能精准的识别《OWASPTOP10》中攻击行为;具备异常行为检测能力,支持自定义敏感信息识别,能识别多种敏感数据并结合业务快速发现违规行为;对流量日志进行标准化输出,对接态势感知平台。
(三)【容器安全控制器】
监控容器集群POD启停情况,动态下发流量镜像策略到流量探针POD,实现需要防护POD网卡流量镜像。同时接收集群攻击日志。
(四)【容器安全控制器】
根据控制端下发的流量镜像策略,找到待防护POD对应的虚拟网卡,并镜像该虚拟网卡流量,然后通过VXLAN隧道发送到检测引擎POD。
(五)【安全检测引擎】
POD通过接收VXLAN隧道流量,将隧道负载内容通过安全引擎检测,如果是攻击流量,则将日志上传到安全控制器,支持WEB常见安全攻击和网络攻击能力
(六)【态势感知平台】
通过绿盟A接口、FTP/SFTP、Netflow等不同的方式接收现网中部署的不同种设备产生的安全日志。不同种类日志接入平台后,实现异构日志格式归一化。基于绿盟独创的威胁分析建模引擎、异常行为分析引擎、安全治理分析引擎进行深度威胁关联分析,实现已知、未知和灰度行为的检测与分析,同事基于可视化技术从不同安全运营与分析角度对网络安全态势呈现。
三、技术优势
(一)【自主程度方面】
使用飞腾、鲲鹏等芯片;已完成银河麒麟操作系统兼容,完成华为泰山服务器适配。
(二)【分析协议覆盖面广】
综合威胁探针支持各类网络协议、5G协议、工控协议、物联网协议和传统协议的识别和解析并生成日志为后续分析提供有力保障。
(三)【资产生命周期管理】
各组件联动实现内部网络的各类型资产的安全管理,并可对资产进行持续监控,结合资产变革和资产基线异常检测,进一步分析变更和异常资产带来的安全风险,实现资产变更风险预警和资产安全修正,帮助客户维护百万级资产安全台账和细粒度资产信息管理。
(四)【用户行为分析技术】
平台提供用户异常行为分析能力,基于海量的数据,使用高级分析方法和机器学习的模型,对用户和实体(例如IP地址、应用、设备和网络等)的行为进行评估、关联并建立基线,以发现内部威胁以及外部入侵行为。异常行为分析覆盖内部访问、数据泄露、风险账号、风险终端四大类百余个子场景,可从海量数据中找到主体与客体间潜在的异常关联行为,提前防患于未然。
(五)【容器生命周期安全防护】
覆盖容器镜像、容器环境、容器运行时安全管理、满足全生命周期安全风险检测要求,提供基于策略的容器启动、运行管理,避免有风险、漏洞的镜像被拉起对其他容器运行造成风险或者运行中的容器异常行为依据策略进行挂起,等待管理员验证。
(六)【核心竞争力】
绿盟科技始终致力于跟踪国内外最新网络安全和漏洞研究动向,持续开展漏洞分析和挖掘、逆向工程技术等安全专项研究,不断提高在入侵检测和防御、抗分布式拒绝服务、恶意软件和攻击行为分析检测、威胁捕获等方面的技术水平。同时在如云安全和虚拟化安全、下一代网络基础设施安全、数据智能、区块链安全、物联网安全、威胁情报等前沿安全领域进行积极的研究探索。这些安全攻防和前沿战略性研究成果,为绿盟科技的核心竞争力和持续的技术创新提供了有力的保障。在云安全领域,公司是国内首批加入云安全联盟CSA的企业单位,是国内最早进入云安全领域的安全厂商之一,已累计服务十余个省级和数十个市级政务云。公司一直在致力于云计算安全和创新产品研究工作,基于多年对市场需求及行业趋势的深刻洞察,以及最新的安全防护技术研究进展,发布了覆盖公有云、私有云/行业云的安全产品和解决方案,提供无缝的安全防护和一致的安全使用体验,收获多项荣誉。
四、应用效果
信创云下容器及虚拟机威胁态势分析解决方案广泛应用于政府、企业、运营商等重点领域,已在中央和国家机关单位以及多个省市(自治区)单位得到落地应用。
应用案例:信创云下容器及虚拟机威胁态势分析解决方案
项目介绍
用户的数据中心向云计算平台迁移,业务上云后流量模型发生了变化,东西向流量在整个数据中心的流量占比中越来越大,不可视的东西向流量容易造成相关风险,横向蔓延污染云内部虚机网络,而传统的安全产品已经无法解决云上的安全威胁。通过在云内部署相应的安全能力对租户不同虚拟机间以及不同容器POD间的流量进行安全检测,保护单位网络正常运行、单位业务顺畅、避免业务中断造成的安全损失。实时发现蠕虫、病毒、Web攻击、间谍软件和黑客等安全问题,并且可以在态势感知平台上统一展示和研判。
实施效果
终端安全管理系统150点,综合威胁探针12套,容器安全管理系统300套,态势感知平台1套,实施周期约为5工作日。通过对虚拟机以及容器流量进行安全检测,实时发现蠕虫、病毒、Web攻击、间谍软件和黑客等攻击和入侵,保护单位网络正常运行、单位业务顺畅、避免业务中断造成的安全损失。
五、示范效应
信创云下容器及虚拟机威胁态势分析方案为用户构建安全增值服务,满足其安全和合规性要求。本方案中所涉及的基础设施、基础软件都是我们自己可掌控、可研究、可发展、可生产的,在实现全面适配国产化环境的前提下,为私有云上的业务实现提供网络入侵、网络病毒、异常流量的检测和防御。保护单位网络正常运行、单位业务顺畅、避免业务中断造成的安全损失。本方案中所涉及的基础设施、基础软件都是我们自己可掌控、可研究、可发展、可生产的,推动信创产业加速发展。