近日,品高云与默安科技联合宣布,品高云 BingoCloudOS 云操作系统 V8.0 成功全面适配默安科技的磐石云平台安全管控系统的虚拟化版本。
随着云计算的迅速发展,越来越多的信息在通过云端传递,企业网络将比以往任何时候都更加宽广,但也因此更加难以保证网络及信息安全。在此背景下,云计算的安全问题引起了用户的密切关注。
通常,私有云和行业云由于其服务质量和可控性上的优势,成为将业务和数据视为生命线的政企用户的上云首选。然而当前很多云平台都暴露在病毒、木马、APT 攻击等多种网络威胁之中,如何在保证享受云计算的便利和价值的同时,保障业务的连续性和数据的完整性?相信这是不少政企云用户的疑惑。联系品高云家的小表妹(ID:pingaoyunzzm)了解更多。
品高云操作系统“云甲”服务架构示意图
依托于 NFV 技术架构与 BingoSDN 的开放能力,品高云操作系统的“云甲”安全防护服务不仅可以提供品高云原生的安全功能,还能够快速平滑地接入第三方专业安全产品,这为品高云的安全能力提供了无限可能。
磐石云平台安全管控系统架构示意图
默安科技作为国内领先的第三方云计算安全服务商,2017 年旗下发布的磐石云平台安全管控系统于近期完成了重磅升级,通过与云操作系统的技术耦合,磐石不仅能够提供传统流量安全检测的基本能力,还兼具云平台弹性和可扩展的先天优势,能有效检测云平台南北向和东西向的安全风险,持续保护云内租户资产以及云平台自身安全,满足各种行业云、以及自建私有云的安全管理需求。
日前,品高云与默安科技联合双方的技术专家,通过多项严格测试完成了磐石云平台安全管控系统在 BingoCloudOS 云操作系统 V8.0 上的兼容性认证,测试内容包括:
磐石云平台安全管控系统在品高云上的部署与运行
磐石云平台安全管控系统在品高云上实现了通过攻击行为分析、异常主机分析、违规主机分析、资产安全分析、事件展示和还原、威胁情报分析和历史数据关联功能对云平台的安全防护
在品高云上实现旁路监控模式安全防护
实现对多个云节点的集中管理
经实验证明,BingoCloudOS 云操作系统与磐石云平台安全管控系统存在良好的兼容性,双方产品的结合可以切实保护云内资产安全,实现智能化的安全运营能力。这意味着,默安科技全面升级的磐石系统将能无缝接入品高云实现虚拟化部署,从云平台网络、宿主机、虚拟化、租户等多个维度为品高云用户提供更具有弹性和扩展性的关键设施安全保障方案。
相信在今后,品高云与默安科技将继续凭借各自在云计算安全领域的前瞻和经验积累深化合作,共同为政企云用户提供能保障业务连续性和数据完整性的云安全服务,携手打造一朵“更懂企业的安全云”;另一方面,品高云也将依然秉持开放的态度,与更多像默安科技这样的优秀安全厂商进行合作,为用户提供安全无虞的云中环境。联系品高云家的小表妹(ID:pingaoyunzzm)了解更多。
下附测试详情:
BingoCloudOS 版本:V8.0.0
默安科技磐石云平台安全管控系统:V1.3.0
用例一 默安磐石云平台安全管控系统与品高云的兼容性测试
测试目的:
验证默安磐石云平台安全管控系统与品高云是否兼容;
测试条件:
1、计算资源要求
2、网络资源要求
各个测试主机之间网络互联互通;
需要获取虚拟机对应的 mac 地址列表等信息;
需要将宿主机流量镜像到该宿主机中的磐石流量采集模块中;
需要云平台管理员账号以获取整个云的网络流量;
预期目标:
可通过品高云虚拟机 IP 访问磐石 Web 管理界面;
测试过程:
1. 登录品高云测试云平台;
2. 在品高云平台上创建八台 CentOS 7.1 虚拟机,按照测试要求配置好虚拟机资源;
3. 通过 Xshell 工具向虚拟机中上传磐石云平台安全管控系统安装包,并安装各个服务器;
4. 在浏览器上访问 磐石 Web 虚拟机 IP ,可以登录磐石云平台安全管控系统管理页面;
用例二 云内主机异常分析功能验证
异常主机是指某一台主机进行恶意挖矿、被种植恶意后门或成为僵尸主机;
测试目的:
验证默安磐石云平台安全管控系统在品高云内的实例主机发生异常行为时,能及时定位并预警;
测试条件:
1.默安磐石云平台安全管控系统成功部署在品高云环境中;
2.在已部署磐石云平台安全管控系统的平台内创建一台主机,作为异常主机测试。(主机 IP:10.202.233.186);
预期目标:
可通过磐石 Web 管理界面查看到相关主机的异常信息;
测试拓扑 :
测试过程:
僵尸主机事件测试:
僵尸主机是指感染僵尸程序病毒,从而被黑客控制的计算机设备,黑客可利用僵尸主机进行恶意挖矿、DDoS、发送垃圾邮件、窃取敏感资料等等;
1. 通过 Xshell 连接到异常测试主机(主机 IP:10.202.233.186),运行 dga-test.sh 文件与 DGA 域名通信,模拟僵尸主机;
2. 该主机(主机 ID:i-D7F60673)与 DGA 的通信行为被记录,并发现此次为僵尸主机事件,可打开磐石 Web 界面,进入事件中心-失陷主机-僵尸主机查看该事件;
3. 可查看风险还原,查看此次违规事件的具体信息;
挖矿主机事件测试:
挖矿主机是指感染了挖矿病毒,从而抢占系统计算资源为攻击者挖取比特币等虚拟货币的主机。攻击者可以利用挖矿主机进行非法挖矿等行为;
1. 通过 Xshell 连接到异常测试主机(主机 IP:10.202.233.186),运行模拟挖矿脚本,模拟恶意挖矿;
2. 该主机(主机 ID:i-D7F60673)与矿池的通信行为被事件中心记录,并发现此次为恶意挖矿事件,可打开磐石 Web 界面,进入事件中心-失陷主机-恶意挖矿查看该事件;
3. 可查看风险还原,查看此次违规事件的具体信息;
恶意后门事件测试:
恶意后门就是以 ASP、JSP、PHP 或者 CGI 等网页文件形式存在的一种命令执行环境,攻击者在入侵一个网站后,通常会将 ASP 或者 PHP 后门文件与网站 Web 目录下正常的网页文件混在一起,然后使用黑客工具菜刀连接,已达到控制网站服务器的目的;
1. 在异常测试主机(主机 IP:10.202.233.186)的 Web 目录下放置 PHP 后门文件;
2. 在另一台 Window 主机上运行菜刀工具,并通过 PHP 后门文件控制异常测试主机;
3. 该主机(主机 ID:i-D7F60673)的异常行为会被数据分析模块检测出,可打开磐石 Web 界面,进入事件中心-失陷主机-恶意后门查看该事件;
4. 可查看风险还原,查看此次违规事件的具体信息,并可以查看具体的通信包内容;
在磐石 Web 界面,进入事件中心-失陷主机中可以查看到整个测试过程中的异常主机信息;
用例三 云内主机违规行为分析功能验证
违规主机是指平台内某一主机向外进行暴力密码破解、端口扫描、Web 攻击等攻击行为;
测试目的:
验证默安磐石云平台安全管控系统在品高云内的实例主机发生违规行为时,能及时定位并预警;
测试条件:
1. 默安磐石云平台安全管控系统成功部署在品高云环境中;
2.在已部署磐石云平台安全管控系统的平台内创建一台主机,作为违规主机测试。(主机 IP:10.202.233.166);
预期目标:
可通过磐石 Web 管理界面查看到相关主机的违规信息;
测试拓扑:
测试过程:
对外暴力破解测试
对外暴力破解是指云内攻击者使用用户名字典和密码字典对 SSH、FTP、Redis、MongoDB 等等云外服务进行尝试登录。攻击者通过暴力破解的攻击说法,极大可能会获得正确的登录口令,可能会造成数据泄露,严重威胁系统安全;
1. 通过 Xshell 连接到违规测试主机(主机 IP:10.202.233.166),运行命令模拟对外主机(主机 IP:10.202.70.1)暴力破解行为;
2. 该主机(主机 ID:i-CE0E06B7)的对外暴力破解行为会被数据分析模块检测到,并记录关联风险实例 ID,可打开磐石 Web 界面,进入事件中心-违规主机-对外暴力破解查看该事件;
3. 可查看风险还原,查看此次违规事件的具体信息,如对外暴力破解目标地址、端口号及攻击次数等;
对外端口扫描测试
对外端口扫描是指云内攻击者使用 Nmap、Zmap、Masscan 等工具对云外 IP 进行端口探测,为下一步的攻击进行信息搜集;
1. 通过 Xshell 连接到违规测试主机(主机 IP:10.202.233.166),运行命令模拟对外主机(主机 IP:10.202.70.1)端口扫描行为;
2. 该主机(主机 ID:i-CE0E06B7)的对外端口扫描行为会被数据分析模块检测到,并记录关联风险实例 ID,可打开磐石 Web 界面,进入事件中心-违规主机-对外端口扫描查看该事件;
3. 可查看风险还原,查看此次违规事件的具体信息,如对外端口扫描类型、目标 IP 及目标端口等;
对外 Web 攻击测试:
对外 Web 攻击是指云内攻击者通过利用 XSS、注入、代码执行、命令执行等常规 TOP10 漏洞对云外 Web 服务器程序进行攻击并获取 Web 服务器权限,轻则篡改网页内容,重则窃取重要内部数据,严重威胁系统安全;
1. 通过 Xshell 连接到违规测试主机(主机 IP:10.202.233.166),运行命令模拟对外主机(主机 IP:10.202.70.1)Web 攻击行为;
2. 该主机(主机 ID:i-CE0E06B7)的对外 Web 攻击行为会被数据分析模块检测到,并记录关联风险实例 ID,可打开磐石 Web 界面,进入事件中心-违规主机-对外 Web 攻击查看该事件;
3. 可查看风险还原,查看此次违规事件的具体信息,如对外 Web 攻击目标地址、请求数据包及响应数据包等;
在磐石 Web 界面,进入事件中心-违规主机中可以查看到整个测试过程中的违规主机的相关信息;
用例四 攻击行为分析功能验证
被攻击主机是指平台内主机被外界攻击源进行暴力密码破解、端口扫描、Web 攻击;
测试目的:
验证默安磐石云平台安全管控系统在品高云内的实例主机被攻击时,能及时定位并预警;
测试条件:
1. 默安磐石云平台安全管控系统成功部署在品高云环境中;
2. 准备一台外部主机,作为外部攻击主机。(主机 IP:10.202.70.202);
3. 在已部署磐石云平台安全管控系统的平台内创建一台主机,作为被攻击主机测试。(被攻击主机 IP:10.202.233.100);
预期目标:
可通过磐石 Web 管理界面查看到相关攻击信息;
测试拓扑:
测试过程:
暴力破解测试
暴力破解是指云外攻击者使用用户名字典和密码字典对 SSH、FTP、Redis、MongoDB 等等云内服务进行尝试登录。攻击者通过暴力破解的攻击说法,极大可能会获得正确的登录口令,可能会造成数据泄露,严重威胁系统安全;联系品高云家的小表妹(ID:pingaoyunzzm)了解更多。
1. 通过 Xshell 连接到外部攻击主机(主机 IP:10.202.70.202),运行命令模拟对云内主机(主机 IP:10.202.233.100)暴力破解行为;
2. 云内主机(主机 ID:i-364BA15F)被暴力破解事件会被数据分析模块检测到,可打开磐石 Web 界面,进入事件中心-被攻击事件-暴力破解查看该事件;
3. 可通过攻击还原,查看此次攻击事件的具体信息,如攻击者 IP、目标端口及攻击次数等;
端口扫描测试
端口扫描是指云外攻击者使用 Nmap、Zmap、Masscan 等工具对云内 IP 进行端口探测,为下一步的攻击进行信息搜集;
1. 通过 Xshell 连接到外部攻击主机(主机 IP:10.202.70.202),运行命令模拟对云内主机(主机 IP:10.202.233.100)端口扫描行为;
2. 云内主机(主机 ID:i-364BA15F)被端口扫描事件会被数据分析模块检测到,可打开磐石 Web 界面,进入事件中心-被攻击事件-端口扫描查看该事件;
3. 可通过攻击还原,查看此次攻击事件的具体信息,如攻击者 IP、扫描工具及扫描类型等;
Web 攻击测试:
Web 攻击是指云外攻击者通过利用 XSS、注入、代码执行、命令执行等常规 TOP10 漏洞对云内 Web 服务器程序进行攻击并获取 Web 服务器权限,轻则篡改网页内容,重则窃取重要内部数据,严重威胁系统安全;
1. 通过 Xshell 连接到外部攻击主机(主机 IP:10.202.70.202),运行命令模拟对云内主机(主机 IP:10.202.233.100)Web 攻击行为;
2. 云内主机(主机 ID:i-364BA15F)被 Web 攻击事件会被数据分析模块检测到,可打开磐石 Web 界面,进入事件中心-被攻击事件-Web 攻击查看该事件;
3. 可通过攻击还原,查看此次攻击事件的具体信息,如攻击者 IP、目标端口及攻击类型等,并可查看通信包详情;
在磐石 Web 界面,进入攻击源中可以查看到整个测试过程中的攻击主机的相关信息;
用例五 自定义威胁情报功能验证
威胁情报是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。安全分析人员通过对以上威胁指标进行安全分析与取证。可以迅速确定攻击者的攻击行为并对攻击者作出明确处罚;
测试目的:
验证默安磐石云平台安全管控系统在管理员自主定义任意 IP 或域名的类型后,当云内主机与定义的 IP 或域名通信时,能定位并预警;
测试条件:
1. 默安磐石云平台安全管控系统成功部署在品高云环境中;
2. 在已部署磐石云平台安全管控系统的平台内创建一台主机,作为自定义威胁主机测试。(主机 IP:10.202.233.185);
预期目标:
可通过磐石 Web 管理界面查看到主机与自定义威胁情报通信的相关通信信息;
测试拓扑:
测试过程:
1. 在磐石 Web 界面中,进入威胁情报管理–> 添加情报功能处添加一个威胁情报;
2. 通过 Xshell 连接到自定义威胁主机(主机 IP:10.202.233.185),运行命令模拟与定义的矿池地址通信;
3. 分析系统记录此次通信,并标记为该自定义情报的恶意矿池命中事件,可打开磐石 Web 界面,进入事件中心-威胁情报管理查看该事件;
用例六 资产安全分析功能验证
测试目的:
验证默安磐石云平台安全管控系统能在云中实例发生失陷事件、违规事件、被攻击事件后,综合该实例所有行为进行风险值评估,并展示该实例近 30 天的风险趋势变化;联系品高云家的小表妹(ID:pingaoyunzzm)了解更多。
测试条件:
默安磐石云平台安全管控系统成功部署在品高云环境中;
云中有主机发生失陷事件、违规事件、被攻击事件;
预期目标:
可通过磐石 Web 管理界面—资产安全分析查看到相关资产信息;
测试过程:
1. 在磐石 Web 界面中,点击资产安全分析可以看到平台所有资产的安全状况,并进行整体风险的评估,第一行为该实例的实例 ID,第二行为该实例目前的安全状态标签;
2. 高级搜索可进行多条件的联合搜索,搜索条件之间为“与”关系;
3. 点击【详情】,可查看该资产的风险详情,以及资产风险变化趋势、失陷情况、违规情况和被攻击情况;
测试总结
本次测试总体效果良好,经验证品高云平台与默安科技磐石安全管控系统具有很好的兼容性。能够从云平台网络、宿主机、虚拟化、租户等多个维度,对异常主机、违规主机、被攻击主机等问题进行分析检测,还可以自定义威胁。同时,还能够对用户资产进行安全分析以及风险值评估,并展示用户资产近 30 天的风险趋势变化。
云平台作为关键性基础设施,安全体系非常复杂,涉及到多个维度和层面,因此,云计算时代的企业需要更加智能化的安全运营能力。因此,本次合作,通过在品高云平台基本安全功能的基础之上与默安科技专业安全产品的结合,可以为用户提供一朵自主可控、性能优良、安全稳定的云计算服务环境。
联系我们
如想了解更多品高云或索取产品文档,请联系品高云家的客服小表妹!添加她为好友,任何需求一键直达。
网友评论