近日,品高云与默安磐石云平台安全管控系统完成兼容性与功能性测试,发布官方认证报告。在云计算的架构下,云计算开放网络和业务共享场景更加复杂多变,安全性方面的挑战更加严峻,新型的安全问题变得更加突出, 磐石云平台安全系统能够从云平台网络、宿主机、虚拟化、租户等多个维度提供全面的关键设施安全保护方案,与品高云操作系统相结合,可以为用户提供一朵自主可控、性能优良、安全稳定的云计算服务环境。

测试内容

本次测试内容包括:默安磐石云平台安全管控系统在品高云上部署运行,实现云内主机异常分析功能验证、云内主机违规行为分析功能验证、攻击行为分析功能验证、自定义威胁情报功能验证及资产安全分析功能验证,通过双方产品的结合,赋予云平台更加智能化的安全运营能力。

默安磐石云平台安全管控系统

默安磐石云平台安全管控系统提供全面的关键基础设施安全保护方案,从云平台网络、宿主机、虚拟化、租户等多个维度,全面解决等保合规、系统入侵防护、可用性和敏感信息监测、安全大数据和安全可视化等问题。

默安科技磐石云平台安全管控系统包括决策管理中心、流量大数据分析平台、虚拟流量采集系统。决策管理中心、流量大数据分析平台、虚拟流量采集系统通过决策管理中心进行联动,三个模块组合解决云外对云内的攻击、云内对云外的攻击、云内对云攻击、及上层租户业务不合规安全问题。

部署架构及说明

磐石云平台安全管控系统架构示意图

磐石云平台安全管控系统由流量采集节点群、大数据分析集群及安全控制台组成。其中在品高云的每一个云节点上部署一台流量采集虚拟机构成流量采集节点群,以此获取云平台内的所有虚拟机的流量并上报到大数据分析集群,大数据分析集群对流量数据进行处理分析后再同步到安全控制台,从而帮助用户快速掌握云内资产的安全,获取智能化的安全运营能力。

软件版本

BingoCloud 版本:V8.0.0

默安磐石云平台安全管控系统:V1.3.0

用例一: 默安磐石云平台安全管控系统与品高云的兼容性测试

测试目的:

验证默安磐石云平台安全管控系统与品高云是否兼容;

测试条件:

1、计算资源要求

2、网络资源要求

  1. 各个测试主机之间网络互联互通;
  2. 需要获取虚拟机对应的 mac 地址列表等信息;
  3. 需要将宿主机流量镜像到该宿主机中的磐石流量采集模块中;
  4. 需要云平台管理员账号以获取整个云的网络流量;

预期目标:

可通过品高云虚拟机 IP 访问磐石 Web 管理界面;

测试过程:

  1. 登录品高云测试云平台;
  2. 在品高云平台上创建八台 CentOS 7.1 虚拟机,按照测试要求配置好虚拟机资源;
  3. 通过 xshell 工具向虚拟机中上传磐石云平台安全管控系统安装包,并安装各个服务器;
  4. 在浏览器上访问 磐石 web 虚拟机 IP ,可以登录磐石云平台安全管控系统管理页面;

用例二: 云内主机异常分析功能验证

异常主机是指某一台主机进行恶意挖矿、被种植恶意后门或成为僵尸主机;

测试目的:

验证默安磐石云平台安全管控系统在品高云内的实例主机发生异常行为时,能及时定位并预警;

测试条件:

  1. 默安磐石云平台安全管控系统成功部署在品高云环境中;
  2. 在已部署磐石云平台安全管控系统的平台内创建一台主机,作为异常主机测试。(主机 IP:10.202.233.186);

预期目标:

可通过磐石 Web 管理界面查看到相关主机的异常信息;

测试拓扑

测试过程:

僵尸主机事件测试:

僵尸主机是指感染僵尸程序病毒,从而被黑客控制的计算机设备,黑客可利用僵尸主机进行恶意挖矿、ddos、发送垃圾邮件、窃取敏感资料等等;

  1. 通过 xshell 连接到异常测试主机(主机 IP:10.202.233.186),运行 dga-test.sh 文件与 DGA 域名通信,模拟僵尸主机;
  2. 该主机(主机 ID:i-D7F60673)与 DGA 的通信行为被记录,并发现此次为僵尸主机事件,可打开磐石 Web 界面,进入事件中心-失陷主机-僵尸主机查看该事件;
  3. 可查看风险还原,查看此次违规事件的具体信息;

挖矿主机事件测试:

挖矿主机是指感染了挖矿病毒,从而抢占系统计算资源为攻击者挖取比特币等虚拟货币的主机。攻击者可以利用挖矿主机进行非法挖矿等行为;

  1. 通过 xshell 连接到异常测试主机(主机 IP:10.202.233.186),运行模拟挖矿脚本,模拟恶意挖矿;
  2. 该主机(主机 ID:i-D7F60673)与矿池的通信行为被事件中心记录,并发现此次为恶意挖矿事件,可打开磐石 Web 界面,进入事件中心-失陷主机-恶意挖矿查看该事件;
  3. 可查看风险还原,查看此次违规事件的具体信息;

恶意后门事件测试:

恶意后门就是以 asp、jsp、php 或者 cgi 等网页文件形式存在的一种命令执行环境,攻击者在入侵一个网站后,通常会将 asp 或者 php 后门文件与网站 web 目录下正常的网页文件混在一起,然后使用黑客工具菜刀连接,已达到控制网站服务器的目的;

  1. 在异常测试主机(主机 IP:10.202.233.186)的 web 目录下放置 php 后门文件;
  2. 在另一台 window 主机上运行菜刀工具,并通过 php 后门文件控制异常测试主机;
  3. 该主机(主机 ID:i-D7F60673)的异常行为会被数据分析模块检测出,可打开磐石 Web 界面,进入事件中心-失陷主机-恶意后门查看该事件;
  4. 可查看风险还原,查看此次违规事件的具体信息,并可以查看具体的通信包内容;

在磐石 Web 界面,进入事件中心-失陷主机中可以查看到整个测试过程中的异常主机信息;

用例三:云内主机违规行为分析功能验证

违规主机是指平台内某一主机向外进行暴力密码破解、端口扫描、web 攻击等攻击行为;

测试目的:

验证默安磐石云平台安全管控系统在品高云内的实例主机发生违规行为时,能及时定位并预警;

测试条件:

  1. 默安磐石云平台安全管控系统成功部署在品高云环境中;
  2. 在已部署磐石云平台安全管控系统的平台内创建一台主机,作为违规主机测试。(主机 IP:10.202.233.166);

预期目标:

可通过磐石 Web 管理界面查看到相关主机的违规信息;

测试拓扑  :

测试过程:

对外暴力破解测试

对外暴力破解是指云内攻击者使用用户名字典和密码字典对 ssh、ftp、redis、mongod 等等云外服务进行尝试登录。攻击者通过暴力破解的攻击说法,极大可能会获得正确的登录口令,可能会造成数据泄露,严重威胁系统安全;

  1. 通过 xshell 连接到违规测试主机(主机 IP:10.202.233.166),运行命令模拟对外主机(主机 IP:10.202.70.1)暴力破解行为;
  2. 该主机(主机 ID:i-CE0E06B7)的对外暴力破解行为会被数据分析模块检测到,并记录关联风险实例 id,可打开磐石 Web 界面,进入事件中心-违规主机-对外暴力破解查看该事件;
  3. 可查看风险还原,查看此次违规事件的具体信息,如对外暴力破解目标地址、端口号及攻击次数等;

对外端口扫描测试

对外端口扫描是指云内攻击者使用 nmap、zmap、masscan 等工具对云外 IP 进行端口探测,为下一步的攻击进行信息搜集;

  1. 通过 xshell 连接到违规测试主机(主机 IP:10.202.233.166),运行命令模拟对外主机(主机 IP:10.202.70.1)端口扫描行为;
  2. 该主机(主机 ID:i-CE0E06B7)的对外端口扫描行为会被数据分析模块检测到,并记录关联风险实例 id,可打开磐石 Web 界面,进入事件中心-违规主机-对外端口扫描查看该事件;
  3. 可查看风险还原,查看此次违规事件的具体信息,如对外端口扫描类型、目标 IP 及目标端口等;

对外 web 攻击测试:

对外 web 攻击是指云内攻击者通过利用 xss、注入、代码执行、命令执行等常规 TOP10 漏洞对云外 web 服务器程序进行攻击并获取 web 服务器权限,轻则篡改网页内容,重则窃取重要内部数据,严重威胁系统安全;

  1. 通过 xshell 连接到违规测试主机(主机 IP:10.202.233.166),运行命令模拟对外主机(主机 IP:10.202.70.1)web 攻击行为;
  2. 该主机(主机 ID:i-CE0E06B7)的对外 web 攻击行为会被数据分析模块检测到,并记录关联风险实例 id,可打开磐石 Web 界面,进入事件中心-违规主机-对外 web 攻击查看该事件;
  3. 可查看风险还原,查看此次违规事件的具体信息,如对外 web 攻击目标地址、请求数据包及响应数据包等;

在磐石 Web 界面,进入事件中心-违规主机中可以查看到整个测试过程中的违规主机的相关信息;

用例四:攻击行为分析功能验证

被攻击主机是指平台内主机被外界攻击源进行暴力密码破解、端口扫描、web 攻击;

测试目的:

验证默安磐石云平台安全管控系统在品高云内的实例主机被攻击时,能及时定位并预警;

测试条件:

  1. 默安磐石云平台安全管控系统成功部署在品高云环境中;
  2. 准备一台外部主机,作为外部攻击主机。(主机 IP:10.202.70.202);
  3. 在已部署磐石云平台安全管控系统的平台内创建一台主机,作为被攻击主机测试。(被攻击主机 IP:10.202.233.100);

预期目标:

可通过磐石 Web 管理界面查看到相关攻击信息;

测试拓扑  :

测试过程:

暴力破解测试

暴力破解是指云外攻击者使用用户名字典和密码字典对 ssh、ftp、redis、mongod 等等云内服务进行尝试登录。攻击者通过暴力破解的攻击说法,极大可能会获得正确的登录口令,可能会造成数据泄露,严重威胁系统安全;

  1. 通过 xshell 连接到外部攻击主机(主机 IP:10.202.70.202),运行命令模拟对云内主机(主机 IP:10.202.233.100)暴力破解行为;
  2. 云内主机(主机 ID:i-364BA15F)被暴力破解事件会被数据分析模块检测到,可打开磐石 Web 界面,进入事件中心-被攻击事件-暴力破解查看该事件;
  3. 可通过攻击还原,查看此次攻击事件的具体信息,如攻击者 IP、目标端口及攻击次数等;

端口扫描测试

端口扫描是指云外攻击者使用 nmap、zmap、masscan 等工具对云内 ip 进行端口探测,为下一步的攻击进行信息搜集;

  1. 通过 xshell 连接到外部攻击主机(主机 IP:10.202.70.202),运行命令模拟对云内主机(主机 IP:10.202.233.100)端口扫描行为;
  2. 云内主机(主机 ID:i-364BA15F)被端口扫描事件会被数据分析模块检测到,可打开磐石 Web 界面,进入事件中心-被攻击事件-端口扫描查看该事件;
  3. 可通过攻击还原,查看此次攻击事件的具体信息,如攻击者 IP、扫描工具及扫描类型等;

web 攻击测试:

web 攻击是指云外攻击者通过利用 xss、注入、代码执行、命令执行等常规 TOP10 漏洞对云内 web 服务器程序进行攻击并获取 web 服务器权限,轻则篡改网页内容,重则窃取重要内部数据,严重威胁系统安全;

  1. 通过 xshell 连接到外部攻击主机(主机 IP:10.202.70.202),运行命令模拟对云内主机(主机 IP:10.202.233.100)web 攻击行为;
  2. 云内主机(主机 ID:i-364BA15F)被 web 攻击事件会被数据分析模块检测到,可打开磐石 Web 界面,进入事件中心-被攻击事件-web 攻击查看该事件;
  3. 可通过攻击还原,查看此次攻击事件的具体信息,如攻击者 IP、目标端口及攻击类型等,并可查看通信包详情;

在磐石 Web 界面,进入攻击源中可以查看到整个测试过程中的攻击主机的相关信息;

用例五:自定义威胁情报功能验证

威胁情报是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。安全分析人员通过对以上威胁指标进行安全分析与取证。可以迅速确定攻击者的攻击行为并对攻击者作出明确处罚;

测试目的:

验证默安磐石云平台安全管控系统在管理员自主定义任意 IP 或域名的类型后,当云内主机与定义的 IP 或域名通信时,能定位并预警;

测试条件:

  1. 默安磐石云平台安全管控系统成功部署在品高云环境中;
  2. 在已部署磐石云平台安全管控系统的平台内创建一台主机,作为自定义威胁主机测试。(主机 IP:10.202.233.185);

预期目标:

可通过磐石 Web 管理界面查看到主机与自定义威胁情报通信的相关通信信息;

测试拓扑  :

测试过程:

  1. 在磐石 Web 界面中,进入威胁情报管理–> 添加情报功能处添加一个威胁情报;
  2. 通过 xshell 连接到自定义威胁主机(主机 IP:10.202.233.185),运行命令模拟与定义的矿池地址通信;
  3. 分析系统记录此次通信,并标记为该自定义情报的恶意矿池命中事件,可打开磐石 Web 界面,进入事件中心-威胁情报管理查看该事件;

用例六:资产安全分析功能验证

测试目的:

验证默安磐石云平台安全管控系统能在云中实例发生失陷事件、违规事件、被攻击事件后,综合该实例所有行为进行风险值评估,并展示该实例近 30 天的风险趋势变化;

测试条件:

  • 默安磐石云平台安全管控系统成功部署在品高云环境中;
  • 云中有主机发生失陷事件、违规事件、被攻击事件;

预期目标:

可通过磐石 Web 管理界面—资产安全分析查看到相关资产信息;

测试过程:

  1. 在磐石 Web 界面中,点击资产安全分析可以看到平台所有资产的安全状况,并进行整体风险的评估,第一行为该实例的实例 id,第二行为该实例目前的安全状态标签;
  2. 高级搜索可进行多条件的联合搜索,搜索条件之间为’ 与’ 关系;
  3. 点击【详情】,可查看该资产的风险详情,以及资产风险变化趋势、失陷情况、违规情况和被攻击情况;

测试总结

本次测试总体效果良好,经验证品高云平台与默安科技磐石安全管控系统具有很好的兼容性。能够从云平台网络、宿主机、虚拟化、租户等多个维度,对异常主机、违规主机、被攻击主机等问题进行分析检测,还可以自定义威胁。同时,还能够对用户资产进行安全分析以及风险值评估,并展示用户资产近 30 天的风险趋势变化。

云平台作为关键性基础设施,安全体系非常复杂,涉及到多个维度和层面,因此,云计算时代的企业需要更加智能化的安全运营能力。因此,本次合作,通过在品高云平台基本安全功能的基础之上与默安科技专业安全产品的结合,可以为用户提供一朵自主可控、性能优良、安全稳定的云计算服务环境。

视频展示