压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

主持人：下面讓我們有請瑞星虛擬化產(chǎn)品開發(fā)總監(jiān)鄭斌先生和我們分享，有請。

在鄭總分享他的精彩的干貨之前，有請工作人員上臺讓鄭總先幫我們抽出三個三等獎。

鄭斌：感謝主辦方給我這么一個機會能和大家做一個溝通交流，也算不上什么演講，就和大家交流一些我們公司的想法以及我們對當前虛擬化系統(tǒng)環(huán)境下安全的一些看法。

我來自瑞星公司，我是瑞星公司的虛擬化產(chǎn)品開發(fā)總監(jiān)鄭斌，我演講的主題是虛擬化系統(tǒng)環(huán)境下的安全防護。大家對虛擬化都有一定的了解，我的演講分為三個部分，第一部分是虛擬化環(huán)境的快速發(fā)展，第二部分是虛擬化環(huán)境的安全問題，第三部分是虛擬化環(huán)境下的安全防護。作為我們是一直做安全出身的，大家也非常了解了，我之后為大家一一介紹。

首先是虛擬化環(huán)境的快速發(fā)展，虛擬化概念已經(jīng)不是一個什么新興概念了，它比云這個概念提出的更早。當然隨著近兩年比較熱的”互聯(lián)網(wǎng)+”和云計算的提出，虛擬化也越來越多的被大家提及，虛擬化的發(fā)展速度也越來越快。我們已經(jīng)從原來早先的PC時代，我們已經(jīng)完全擺脫它了，原來傳統(tǒng)的工作業(yè)務都在PC和服務器上，現(xiàn)在已經(jīng)遷到了存儲上，我們的也遷到了服務器上，以云的方式推廣給大家。隨著云的推廣，接入方式越來越多，不僅是PC機的接入，移動產(chǎn)品的接入，比如我們的筆記本、iPad和手機端都可以進行接入辦公。

我們下面看到的這些場景，以前如果我們要完成工作業(yè)務肯定要在自己的單位進行，隨著互聯(lián)網(wǎng)發(fā)展和云計算的發(fā)展，我們已經(jīng)開始用筆記本、Pad和手機進行移動辦公或者網(wǎng)絡會議，當然隨著最近的蘋果watch這樣的東西出現(xiàn)以后，我們也更多的體會到這些產(chǎn)品帶來的便捷，它可以關注我們的健康狀況，時刻反饋我們的地址和所在的導航信息之類的。再比如像特斯拉這樣的電動車等都是互聯(lián)網(wǎng)帶給我們的好處。

但隨著這些好處的產(chǎn)生，我們也會出現(xiàn)一些問題，比如我們進行電話會議和遠程視頻會議的時候，有沒有擔心一些什么，比如我們的電話會議會不會被監(jiān)聽，我們自己在使用apple? watch的時候會不會擔心我們時刻處于的位置和經(jīng)常活動的位置被暴露出來。我們的汽車以前只使用導航，當然隨著特斯拉和其他一些應用的產(chǎn)生，我們在汽車上娛樂化越來越多，但同時我們的汽車中控系統(tǒng)有可能被入侵，中控系統(tǒng)一旦被入侵很有可能造成電影中的場景，對我們的人身安全產(chǎn)生影響。

說到這些可以提到虛擬化環(huán)境面臨的安全問題。云計算和云網(wǎng)絡是一個非常龐大的議題，今天我們只講其中一部分，也就是說虛擬化環(huán)境面臨的安全問題。我們說到虛擬化環(huán)境，虛擬化環(huán)境遇到什么問題呢？其實，虛擬化環(huán)境面臨很多問題，它的風險就是在于我們使用虛擬化的時候，除了要面對傳統(tǒng)環(huán)境下的安全風險之外，我們還要面臨虛擬化自己Hypervisor層自身的安全漏洞。除此之外，由于虛擬化平臺的應用越來越廣泛，聚焦度越來越高，是也面臨了高度的APT攻擊問題和防護間隙問題。

既然使用了虛擬化，為什么還會要面臨傳統(tǒng)環(huán)境需要面臨的問題，這么先進，比傳統(tǒng)出現(xiàn)的更晚，這樣技術難道不能規(guī)避傳統(tǒng)的問題嗎？我們看一下，我們對比物理和虛擬體系的結構可以發(fā)現(xiàn)，實際上我們的虛擬結構相對于傳統(tǒng)的物理結構不但沒有減少任何部分，反而增加了Hypervisor層，每增加一部分都面臨這一部分需要面臨的風險，也就是Hypervisor層自身的漏洞風險，同時在虛擬平臺上運營的傳統(tǒng)的系統(tǒng)環(huán)境，他們還是要面臨以前同樣要面臨的風險。我們的威脅無處不在，比如我們系統(tǒng)自身，我們經(jīng)常使用windows系統(tǒng)和link系統(tǒng)，這么多年都在不停的打補丁，有各種各樣的漏洞，同樣我們的一些廠商還在不斷的完善Hypervisor層和底層，還有我們的系統(tǒng)文檔也是帶來一些風險，當然介質(zhì)也越來越多了，以前是三寸盤的時代，現(xiàn)在變成了光盤介質(zhì)和U盤介質(zhì)，我們接入的介質(zhì)越多，感染的風險就越大。現(xiàn)在大家已經(jīng)離不開網(wǎng)絡了，比如大家在座的有可能一邊聽演講，一邊在辦公，大家在刷微博，關心最近的股市，還好現(xiàn)在已經(jīng)停牌了，大家可以專心的聽聽演講了。

隨著網(wǎng)絡的接入我們也面臨了更多的接入風險，比如收發(fā)郵件中的一些附件和鏈接，有些人隨手就會點開，當然還有一些網(wǎng)頁瀏覽和其他東西的下載，以及APP的下載都會給我們帶來一些風險。

除了這些外，我更想說的是APT攻擊問題。什么是APT攻擊，為什么認為它很嚴重？APT攻擊是我們叫做高級的持續(xù)性威脅，它相對于傳統(tǒng)來說有一個很大的區(qū)別，首先我們說它高級，是說它的攻擊手段相對于傳統(tǒng)的手段來說變得更高級。我們以前說感染病毒，不管是木馬還是蠕蟲和其他類型的病毒，可能黑客自己都不知道拋給誰了，就掛在一個網(wǎng)站上或者撒網(wǎng)式的鋪出去，至于感染的用戶或肉機對我有沒有用處我都不關心，趕上一個是一個。但APT的攻擊手段不一樣了，它更高級目標更明確。

第二，它的持續(xù)性。我們以前都說攻擊了以后，比如說感染了一次性也就完了，我破壞和盜取你的數(shù)據(jù)，或者破壞你的硬盤，但現(xiàn)在不一樣了，它是持續(xù)性的，持續(xù)很久，有可能幾年甚至幾十年

當然還有一個是它的威脅，我們?yōu)槭裁凑J為它的威脅高，稍后我給大家介紹。

我們說到APT攻擊有些人可能很了解了，也有一些人不了解，我給大家介紹一下。APT攻擊其實很多了，有這么多的APT攻擊，我給大家簡單介紹一下。比如說這里面極光攻擊，它攻擊的是google，這么大的企業(yè)的資料和信息也被竊取過。作為中國國內(nèi)的人最了解的第一個APT攻擊很有可能是震網(wǎng)攻擊，大家聽過各種他的名字，其實就是震網(wǎng)攻擊，就是當時對伊朗的布什爾核電站進行過很大影響的一個攻擊行為。當然國內(nèi)當時反應也很強烈，很多涉密單位也找到我們反病毒廠商，要求我們立刻應對這種攻擊，因為它與傳統(tǒng)攻擊不同，還會竊取你一定的消息，并且它不只是針對于傳統(tǒng)的PC機或服務器，它都已經(jīng)滲透到工業(yè)層面上了，已經(jīng)影響到核電站的發(fā)展，影響到核進程。

還有RSA竊取，它是攻擊EMC旗下的RSA公司。它做了一個產(chǎn)品，這個技術叫做SQLAD（音），這就是一種訪問的控制技術，當黑客攻擊以后，它竊取了RSA公司的SQLAD（音）技術，同時竊取了它的資料和一些安全信息。用戶應用安全廠商的產(chǎn)品一定相信它能夠進行防護，這個黑客竊取了它的消息以后，拿到了SQLAD（音）技術以后就找對應的客戶，誰用我就攻擊誰，因為它現(xiàn)在已經(jīng)可以繞過這個客戶了，所以它的攻擊非常有目的性。還有其他的夜龍和暗鼠針對的是一些能源公司和軍工單位，有這么多的攻擊，我想給大家說，其實我們每個人和每個企業(yè)都無法保證自己不是下一個攻擊目標。因為我們發(fā)現(xiàn)，這種所謂的APT攻擊不僅僅攻擊一些軍工單位，一些政府機關，我去竊取你的資料，它還會攻擊google這樣的企業(yè)，攻擊類似于RSA這樣的安全廠商，像卡巴斯基等也遭受過這樣的攻擊。我們每個人的資料，現(xiàn)在快遞之前產(chǎn)生過賣資料的行為，現(xiàn)在也是這樣，每個人的資料在很多網(wǎng)站上登，你輸入的資料都是非常正確的資料，你的姓名、你的電話、甚至于有些調(diào)查表調(diào)查你的收入，這些資料被拿到以后就會產(chǎn)生一些詐騙行為，所以每個人都要防范APT攻擊。

如何防范APT攻擊呢？它是怎樣攻擊的？我給大家簡單介紹一下。我們說它這么高級，攻擊手段這樣那樣，我們還可以簡單的總結一下它是怎樣攻擊的。為什么說它是很高級的攻擊手段，就是它有針對性了。比如我想攻擊一個單位，我首先會通過facebook、推特、微信之類的一些公司的公眾帳號，我先關注這個公司的高管是誰，這個公司有什么相應的發(fā)布行為，它經(jīng)常需要和哪些單位聯(lián)系，我通過對它的研究，我來定制接下來的一些攻擊手段。我不是盲目的攻擊了，就像電影里的殺手一樣，殺手出手和惡棍不同，惡棍出手過去直接給一棍子，行不行就不知道，很有可能被練過武術的人就給打倒了。殺手是調(diào)查完數(shù)據(jù)以后才會攻擊。怎么攻擊呢？比如說，非常常見的是叫做魚叉類型的攻擊，我既然收集了這個高管的資料，知道他平常的一些行為，我會發(fā)一些郵件，偽裝成他的領導發(fā)給他，你去查一下這個郵件，看完以后二十分鐘來我的單位，我和你詳細談里面的內(nèi)容，你可能就會把這個附件打開。或者我投放一些你感興趣的，比如你對戶外登山感興趣，我給你投放一些鏈接告訴你新出現(xiàn)的器械，或者新出現(xiàn)的旅游咨詢，你會點這些鏈接，你一旦打開這些鏈接以后我就把惡意程序投放給你，之后惡意程序會在感染的機器上開后門。開后門以后，我就直接利用這臺機器嗎？它關了怎么辦？我的后臺有一個comne? coter? 服務器（音），我把之前開了后門的機器進行操控，我通過它返回這個機器繼續(xù)攻擊對應需要攻擊環(huán)境的其他機器，內(nèi)部的，外部攻擊非常難，我不能沒事老給他發(fā)郵件。比如現(xiàn)在微信圈大家一點兒都不猶豫直接就打開了，反正是朋友發(fā)的，他跟你要個銀行卡密碼你不會給，但你發(fā)這個游戲很好玩，你一點兒都不猶豫就會打開，但一旦你發(fā)現(xiàn)你的手機中毒以后再發(fā)你會很謹慎，所以他不會利用外部的攻擊行為，它可以在內(nèi)部不停的擴散攻擊。因為它可以利用更多的服務器去干嗎呢？去以合法的身份訪問你的存儲和你的文件服務器，去獲取它對應需要的資料，這個資料我拿到不行，它拿到以后還在你的環(huán)境內(nèi)，它要想辦法把你的東西傳出來。它里面有一個暫存服務器，最后利用這個服務器返過來傳給黑客。這是它的攻擊步驟。

它比較重要的有幾個病毒。大家聽得比較多的是Stuxnet震網(wǎng)病毒，當時它感染了伊朗的布什爾核電站，發(fā)現(xiàn)的時間是2010年6月，但因為不是因為它自身小的Bug我們很難發(fā)現(xiàn)它，因為它很先進，它無法在酒吧那樣的系統(tǒng)上運行，但有一個代碼編寫失誤了，它在酒吧上啟動了，造成藍屏，大家調(diào)查了以后發(fā)現(xiàn)了它，要不然它的潛伏期很長的。

除了這個之外還有Duqu，這是2011年9月發(fā)現(xiàn)的，我們發(fā)現(xiàn)它里面有一種我們從來沒有看到過的編程語言來編寫，這就很麻煩了，這是說編輯這個病毒的人員能力非常強，可以自創(chuàng)編程語言。以前我們可以知道他想干什么，但現(xiàn)在很難。

還有一個Flame，它的構造更復雜，危害性更大，傳播方式比以前更豐富，它通過USB、網(wǎng)絡多種方式傳播，可以說是目前世界上最復雜的病毒，我們也說它是最危險的病毒，它除了自身傳播之外，還會借助它自身去傳播震網(wǎng)這種具有影響力的病毒。

這張圖表是近些年APT攻擊的統(tǒng)計，我們發(fā)現(xiàn)近些年這個數(shù)據(jù)呈現(xiàn)爆發(fā)式增長，其實不是這些年，而是它潛伏了很久，近些年才被我們逐一發(fā)現(xiàn)。

我們發(fā)現(xiàn)了這個問題，就看到虛擬化面臨這么高危險的事情，我們?nèi)绾螌ξ覀兊奶摂M化進行安全防護呢？首先，不防護是肯定不行的，因為一旦你不防護，就面臨病毒交叉感染，核心企業(yè)的數(shù)據(jù)和用戶數(shù)據(jù)會泄露，黑客入侵我們的系統(tǒng)，我們會面臨更多的系統(tǒng)漏洞問題。有的人說我們就安全防護，我們使用這么多年的安全防護產(chǎn)品了，我就接著在虛擬化環(huán)境上部署。但如果我們部署傳統(tǒng)的安全防護軟件可以嗎？實際上它有一些弊端。比如說，最主要的大家都了解了，就是一個過度的資源消耗問題，我們需要反復在每一臺虛擬服務器上部署我們的安全產(chǎn)品，它可能對存儲有一定的消耗。另外，企業(yè)級安全防護會有一些定時查殺，要定時進行安全防護檢查，定時啟動都會造成我們的CPU和I/O資源的過大占用。還有一個定時更新的風暴，我們?yōu)榱税踩雷o，我們會不停的更新病毒碼，它會進行網(wǎng)絡帶寬的使用。有的企業(yè)說我們不擔心這樣的資源損耗，我就部署傳統(tǒng)的，也行，但還有一個問題，它會存在防護間隙。我們使用虛擬化知道虛擬化有很多功能，我們主要使用的功能，就在于我們的業(yè)務在向虛擬化遷移的時候我們會用模板分發(fā)的功能，這個功能好用，第一，非常快速，當我們想擴展業(yè)務的時候，通過模板可以快速的部署我們的新業(yè)務。第二，就是DPM業(yè)務，這是電源管理，我們使用虛擬化就是為了持久性和節(jié)約資源，DPM肯定是我們常用的，它會進行電源管理。第三是恢復快照功能，這些功能會給我們帶來什么樣的防護間隙。我們部署一臺虛擬機以后，我們會給它部署安全產(chǎn)品，之后我們把它變成模板，很簡單，我們有業(yè)務就分發(fā)，新加機器就加，但既然是我們的模板就不會經(jīng)常更新，模板不更新的話，我們的模板就是舊的，一旦分發(fā)虛擬機，虛擬機一開啟，它的病毒碼就不是最新的，它就會面臨最新的防護安全問題。

DPM功能是同樣的，當我們發(fā)現(xiàn)物理服務器上有很多的虛擬機不再工作的時候，那我們就會進行電源管理把它遷移走，然后我們會把主機關閉，主機上相對應的它的虛擬機也關閉了。之后我們想用這個機器的時候會把它再開啟，病毒碼又過期了，比如我們有一個禮拜沒有開，這個禮拜新產(chǎn)生的病毒是防護不了的。

很多企業(yè)都說中毒了恢復快照。首先你不知道病毒什么時候潛入的，其次你恢復快照，很多企業(yè)對業(yè)務連續(xù)性要求非常高，是不允許中斷的，哪怕重啟都不行，更何況恢復快照，哪怕你一旦恢復快照，你就恢復到之前的病毒碼了，你還是暴露出來你的防護間隙。除此之外，我們知道在進行環(huán)境部署的時候，我們會用一些設備，比如ADS、APS這些設備，防止外部網(wǎng)絡入侵。但我們知道傳統(tǒng)的ADS和APS設備只能阻攔外部的入侵，我們使用虛擬化以后，知道里面有很多虛擬交換機，同一個主機上的其他虛擬機互相間進行通訊的時候，實際上不經(jīng)過外部的虛擬機，這一部分怎么辦？我們的程序和黑客會利用合法的身份訪問登錄你的辦公環(huán)境，進入以后才會進行病毒的分發(fā)和傳播，你的內(nèi)部沒有任何的網(wǎng)絡安全防護，一旦被入侵后，我們就無法阻止網(wǎng)絡安全的傳播。我們沒有任何的ADS設備或其他的防火墻能保證防護的非常全面，一點兒入侵都沒有，這是不可能的。

除此之外我們面臨的是資源壓力不斷的上升，資源的索取，我們的病毒碼不斷的更新，存儲要求越來越高。以前大家都抱怨，一開你們的安全防護產(chǎn)品我們的機子卡得要命這就是安全索取的問題。我們的管理員為了保證我們的病毒碼都是最新的，會不停的更新病毒碼，做的工作量非常大，而我們索取的資源和利用的人工資源最后都轉(zhuǎn)化成我們的人工成本，我們一次性投入的成本無法一次性兌現(xiàn)，要不斷的進行追加成本。有沒有一種方法我們有沒有辦法解決虛擬化的防護呢？

我們作為安全廠商提供了無代理安全防護。我們看到這種環(huán)境就是一臺物理服務器上有很多臺虛擬機，每個虛擬機上我們都部署了安全防護產(chǎn)品，這是傳統(tǒng)的方式。這些安全防護產(chǎn)品很占用資源，我們有沒有辦法精簡或者減少這些資源消耗。有的安全廠商提出來我們精簡客戶端，以前500兆現(xiàn)在50兆，精簡客戶端帶來的就是功能的減少，安全防護能力的下降，再說了，你再精簡它還在，你也不能解決這個問題，怎么辦？我們就提出來，那就是無代理。我們把所有的代理都卸掉，我們的虛擬機里不需要部署這種安全產(chǎn)品，我們只是針對于主機的，以前我們說一個物理機就部署一個，現(xiàn)在我們就這么做。一個物理機部署一個安全產(chǎn)品，這個安全產(chǎn)品保護整臺物理機上所有的虛擬化安全。我們現(xiàn)在有使用過虛擬化的單位可以知道，它可能一個物理機上，我們能放甚至于三百左右的虛擬桌面，幾十臺虛擬服務器，這都是可以做到的，你部署一次全都保護，那多好。

除此之外無代理安全防護產(chǎn)品還有其他的一些優(yōu)勢，比如我們部署上非常快捷。我們知道隨著我們虛擬不斷的腳步的加快，我們肯定有一些擴展問題。隨著虛擬化擴展，你的安全防護邊界也會不斷的擴展，擴展起來非常麻煩，無代理安全防護就非常簡單。假如我們的安全環(huán)境中需要增加一臺物理服務器，如果我們是傳統(tǒng)的，一家虛擬機就要做這么多事，開機、安裝、部署網(wǎng)絡、重啟等很多事，無代理我們只需要這些操作，導入設備、配置網(wǎng)絡、開啟設備。為什么呢？剛才說了，我們針對這臺物理服務器的安全防護產(chǎn)品只需要部署一次，并且我們用模板的方式提供的，大家使用虛擬化都知道模板只需要導入就可以了，很簡單。怎么看出它很簡單，我的物理服務器上這次要增加100臺虛擬機，傳統(tǒng)的方式你這種工作來一百次，如果是我們呢，一次就夠了，因為部署一次保護這上面所有的虛擬機。增加虛擬服務器，當然就更明顯了，傳統(tǒng)的我們來一遍吧，對于我們來說，增加任何一臺十臺五十臺你都不需要做，以后你只要部署了一次，整個物理服務器上所有的虛擬機我們都保護你的安全。

除了這些，部署快捷和節(jié)約資源以外，你們把存儲資源節(jié)約了，部署也很快捷，我們更關心安全防護，你是安全產(chǎn)品，功能全不全。那肯定的，我們有很全面的功能，比如主動掃描、實時監(jiān)控、防火墻、惡意攻擊防護等等的，架設你外部漏入的惡意程序來進行內(nèi)部擴散的時候我們同樣能夠進行安全防護。我們的產(chǎn)品就有這樣的特點，與虛擬化環(huán)境完美結合，能夠降低成本，部署也非常快捷，建議擴展，功能完善而且能夠全面防護，但我說的其實是無代理安全產(chǎn)品，并不一定說這一個產(chǎn)品，只是提出一個無代理安全的防護方式。

當然虛擬化環(huán)境下，我們需要更加全面的防護，我們說虛擬化只是云計算的一部分，我們除了對虛擬化層的安全防護之外，還有更多的安全防護。比如說移動辦公，我們移動接入難道就不需要它辦公了嗎？也需要辦公，我們需要用移動安全的管理，我們的網(wǎng)站和云安全平臺是不是真正的安全，我們有這種兼容性的檢查需要做，并且我們每個人其實我們只是做自己的本職工作，安全的工作有安全的專家來評估更好，所以也需要一些安全的團隊對你的網(wǎng)站的建裝性和當前的環(huán)境進行一些評估，確定它是不是真正的安全，所以以整套的安全防護需要各個產(chǎn)品的互相結合，當你做好全面的防護以后，就再也不怕APT攻擊了。

謝謝大家。