背景及概览

近期全球爆发了多起大规模的 Windows 勒索软件病毒攻击事件,WannaCry 病毒肆虐于整个 IT 领域,众多 Windows 系统用户受到影响,磁盘文件被病毒加密,对数据与业务造成严重危害,安全问题又成为了风口浪尖上的话题。在事件爆发之后,品高云立即采取有效的应对措施,建议用户针对安全组及网络规则作出调整,对虚拟机系统做补丁更新,对重要业务系统立马进行备份,与此同时,我们也建议用户安装专业级的杀毒软件,以确保云平台及云上系统的安全。

品高云在安全领域,除却云平台上已包含的秘钥、安全组、IP 防伪装、SSL 加密等手段和机制外,也秉着开放兼容的态度,积极与业内专业的安全厂商进行产品级安全测试,整合云及云安全的解决方案,力争为广大客户提供高可靠、易管控、自动化、高安全的一站式云服务。本月上旬,品高云与国内知名安全厂商 360 进行了联合测试,针对 BingoCloudOS 与 360 虚拟化安全管理系统进行了验证测试,内容大致包含三大模块:产品级兼容耦合测试,360 杀毒功能在品高云的实现,360 网络安全在品高云上的实现。

360 虚拟化安全管理系统简介

随着云计算的发展,企业环境逐步由物理环境转变为物理环境、私有云及公有云的混合环境,传统的内外网的网络边界消失了;不同组织的网络数据在数据中心内部、甚至是在同一台物理主机上进行交换,传统的安全设备已经无法对其进行检测及防护。云计算环境下需要基于每个终端节点、并且每个节点具有相同的安全防护等级的全新的安全防护模型。

360 虚拟化安全管理系统提供了中央控管的全方位云安全管理平台,集成了防恶意软件、防火墙、应用控制、入侵检测等多个模块,以确保云服务器的应用及数据安全,另外采用无代理的部署模式,在云服务器的外部进行文件及网络的安全检测,极大的提高了系统的安全防护效率,提升了虚拟化、云计算的投资回报率。其产品架构图如下图所示:

部署架构及说明

360 虚拟化安全由管理中心、主机无代理安全组件和消息中心组成。其中管理中心部署于品高云平台虚拟机上,用以管理云平台所有的无代理安全组件,并提供报表及数据分析服务;主机无代理安全组件部署在品高云节点上,接受管理中心的统一管理,实时防护节点上所有虚拟机的网络及文件系统,并将检测结果通知管理中心;消息中心则部署在品高云待防护虚拟机上,负责虚拟机上网络及文件系统的检测结果的显示、并上传至管理中心。

测试环境(相关软件版本)

KVM Qemu 版本:1.5.3

Libvirt 版本:2.0.0

BingoSDN 版本:3.1.8

BingoCloud 版本:v7.0.0

360 虚拟化安全管理系统: v6.1.0

测试目的及用例

用例一:360 虚拟化安全管理系统在品高云的安装

测试目的: 测试 360 企业安全与品高云的兼容性、耦合性,其中包含管理中心,消息中心,无代理组件的安装,以及品高云平台的添加。

测试过程:

  1. 在品高云平台上中创建虚拟机,导入 360 虚拟化 ISO 制作镜像,根据安装向导一步步安装;
  2. 进入选择操作系统安装文件页面,选择管理中心安装包,虚拟机起来后会进入管理中心安装界面,进入系统进行安装与配置;
  3. 使用系统默认的用户名、密码能正确登录管理中心;
  4. 对无代理组件以及消息中心组件安装,其中无代理组件安装在 10.201.83.1 节点上;
  5. 登陆 360 虚拟化管理中心并激活,在管理中心进行云平台的添加,完成后平台成功保存,出现平台主机列表,与品高云节点 IP 相同;
  6. 可在 360 虚拟化安全平台上查看对品高云平台的监控情况;

测试结果:

 360 虚拟化安全所以组件模块在品高云上安装完毕,可正常登陆访问,两款产品兼容性良好,测试通过。

用例二:Windows 和 Linux 虚拟机的病毒实时防护测试

测试目的: 验证 360 虚拟化安全对品高云平台 Windows 及 Linux 虚拟机的病毒实时防护效果

测试过程:

  1. 下载测试病毒文件至 Windows 虚拟机,http://www.eicar.org/download/eicar.com.txt
  2. 查看发现病毒文件被检测并杀掉,结果显示成功,并产生病毒查杀日志;
  3. 下载测试病毒文件至 Linux 虚拟机,http://www.eicar.org/download/eicar.com.txt
  4. 病毒文件被检测并杀掉,并产生病毒查杀日志;

测试结果:

验证 360 虚拟化安全对品高云平台 Windows 及 Linux 虚拟机的病毒实时防护效果

用例三: 手动扫描测试

测试目的: 验证在品高云平台上,手动扫描功能是否正常工作,当扫描到病毒文件时是否会将其隔离;

测试过程:

  1. 系统开始对虚拟机进行全盘扫描, 虚拟机右侧的“安全检测状态”栏会显示扫描进度和扫描结果;
  2. 虚拟机中病毒文件被成功杀掉,分析-文件安全页面中显示了病毒查杀的日志;

测试结果

手动扫描病毒查杀成功,有页面显示

用例四:文件白名单测试

测试目的: 验证对于品高云的虚拟机,被加入白名单的文件或文件夹是否会被安全模块扫描;

测试过程:

  1. 进入管理中心,安全策略-安全配置页面,点击“windows 安全配置”,进入“防恶意软件标签页”;
  2. 在页面中配置文件白名单为:C:\360test\white\,点击确定按钮,点击保存按钮,成功保存安全配置;
  3. 将测试病毒文件下载至应用了 windows 安全配置的虚拟机中,保存至 C:\360test\white\病毒保存成功,没有被系统检测到;

测试结果:

文件白名单配置成功,病毒文件保存成功,没有被系统检测到;

用例五:扫描指定目录

测试目的: 验证对于品高云的虚拟机测试扫描指定目录功能是否正常工作,只有指定目录中的病毒文件会被查杀,其他目录中的病毒文件不会被查杀

测试过程:

  1. 进入管理中心计算机-> 虚拟机 页面,将需要扫描的虚拟机的安全配置中的实时防护状态关闭;
  2. 从 http://www.eicar.org/下载 eicar 测试病毒分别至虚拟机的 C:\ 360test 目录和 C:\360test\white 目录中;
  3. 在虚拟机页面,选择对应的虚拟机,点击 安全检测-> 扫描指定目录,在打开的对话框中配置需要扫描的目录为 C:\360test;
  4. 系统开始对虚拟机的 C:\360test 目录进行扫描, 虚拟机右侧的“安全检测状态”栏会显示扫描进度和扫描结果;
  5.    查看虚拟机 C:\360test\white 目录中的病毒文件没有被系统检测并查杀,并有病毒查杀日志;

测试结果: 对品高云中的虚拟机,360 虚拟化安全可以指定目录进行杀毒;

用例六:防火墙功能测试

测试目的: 验证对于品高云的虚拟机,配置防火墙规则,阻止远程访问测试虚拟机,查看该规则能否生效;

测试过程:

  1. 进入管理中心 安全策略-安全配置页面,点击“windows 安全配置”,进行防火墙规则的相关配置;
  2. 在其他虚拟机上通过远程连接,显示失败访问测试虚拟机,不能成功访问;
  3. 管理中心上有防火墙规则阻止成功的日志;

测试结果:360 虚拟化安全可以对品高云平台上虚拟机进行防火墙级的防护;

用例七:应用程序控制测试

测试目的: 验证对品高云中虚拟机阻止登录某程序,查看登录是否成功。

测试过程:

  1. 进入管理中心安全策略– 安全配置页面,点击“windows 安全配置”,进入“应用程序控制”标签页;
  2. 在搜索栏中中输入“新浪体育”,下方的应用程序狂中会显示名称包含新浪体育的应用程序,选择新浪体育,点击“阻止”按钮;
  3. 在虚拟机上登录新浪体育,登录失败;
  4. 在管理中心上能看到新浪体育被阻止的日志;

测试结果:360 虚拟化安全可以对品高云平台上虚拟机上的应用做访问限制,测试通过;

用例八:入侵防御功能验证

测试目的: 验证对品高云中虚拟机,360 虚拟化安全入侵防御功能的实现效果 ;

测试步骤:

  1. 进入管理中心 安全策略-安全配置页面,进行“入侵防御规则“配置,搜索 CVE 规则”CVE-2012-0002”, 并将该规则关闭;
  2. 在攻击者所在的虚拟机上利用 metasploit 构造 cve number 为 CVE-2012-0002 的攻击,被攻击虚拟机攻击成功并且蓝屏;
  3. 进入“入侵防御规则”页面,开启 CVE-2012-0002 的防护规则,重新攻击虚拟机,被攻击虚拟机没有蓝屏,正常运行;
  4. 查看管理中心是否产生了入侵防御的日志;

测试结果:

360 虚拟化安全可以对品高云平台上虚拟机上起入侵防御的作用;

总结

经过本次测试,360 企业安全与品高云在云安全领域取得了很好的融合效果,无论是产品耦合性,还是杀毒和网络安全的实践,都获得了不错的成绩,并且部署模式的多样化不仅可以有效控制成本,还可以结合品高云的特性实现安全层面的高可用高灵活。事实实践的证明,品高云操作系统与 360 虚拟化安全的结合,极大提高了云平台的安全防护效果,云计算的投资回报率大大提高,可谓是强强联合,共筑云安全的典范。