云安全
● SQL Inject ● DDOS ● XSS ● 爆破
云盾
云盾防护web攻击， DDOS攻击，爆破攻击
● Rootkit ● Trojans
● Backdoor ● Virus
主机卫士
主机卫士防护虚拟机恶 意代码攻击 类型：有代理，无代理
Hypervisor
Service
毒液漏洞无解！
vcpu device interface vmm
vmmu control interface
service
虚拟系统
设备仿真 设备仿真
宿主机 物理设备 普通服务器 物理设备 虚拟化服务器
设备仿真原理
• 用户空间
send • 内核空间 syscall tcp_* ip_* dev_* e1000_* • 仿真设备 网卡 hub slirp app app app
管理中心 样本缓存 补丁缓存
展望
关注虚拟化，关注360 Marvel Team Email：tangqinghao@ QQ：702108451
逃逸攻击 拒绝服务攻击
• 虚拟机 => 虚拟机
侧信道攻击
恶意扫描
虚拟机逃逸
毒液漏洞
毒液漏洞
补丁代码分析
Linux上重现成功
Windows上重现成功
其他重要漏洞
• CVE-2012-0217 XEN SYSRET 指令漏洞 • CVE-2014-3610 KVM 指令解码漏洞 • CVE-2015-6815 qemu e1000 网卡设备漏洞
网络隔离 资源消耗
• 不能解决新型安全问题
Linux系统安全技术储备严重不足
关键技术1：虚拟化漏洞挖掘
自动化漏洞挖掘成果显著
• 70天
Step 2
• 2种平台
• 16枚漏洞
test Control Center
Step 1
feedback
Step 3
analysis
关键技术2：热补丁技术
• user space层
贯 穿 始 终 的 安 全 审 计
漏洞扫描与检测
应用安全
各级OS加固
主机备份与销毁
多租户隔离
系统安全
威胁管控
hypervisor加固
漏洞研究
虚拟化安全
网络攻击防御
防火墙与IPS
网络安全
物理隔离
生物识别
电力保障
介质管理
物理安全
360云虚拟化加固方案
深入，高效，便捷地解决云虚拟化安全问题
• • • 加固虚拟化层 实时监控虚拟设备 统一安全风险感知 适配层 vm 适配层 vm 核心引 vm擎 加固虚拟层 加固虚拟层 白名单
Host Server
360掌握更多“毒液漏洞”
360 Marvel Team 目前总计发现16个虚拟化安全漏洞， 可以通过在单台虚拟机中执行漏洞利用程序，造成虚拟机 逃逸和服务器宕机的效果。
第一章
什么是虚拟化
虚拟化系统
国内主流
Xen
Kvm Vmware系统
功能
量化分配 灵活调度
虚拟化服务器体系
• hypervisor层
• 优势
业务无需中断 快速修复
关键技术3：无代理技术
• 穿透hypervisor
• 通过共享设备完成传输
• 优势
保证网络隔离 相比轻代理效率高
360云安全架构
360云安全体系
360云安全保障体系 数据防泄密 访问控制 加密传输 用户控制 分层隔离 数据安全
Web云防护系统
kernel 网卡设备仿真器 qemu
第二章
安全风险
虚拟化漏洞爆发
xen
2012 2013 2014 35 43 53
vm-es
12 13 15
kvm
8 16 25
Total
50 72 103
xen 60 50 40 30 20 10 0
2012
vm-es
kvm
2013
2014
风险来源
• 虚拟化 => 宿主机
• More 360 0days
第三章
解决方案
虚拟化带来的典型安全问题
• 预防并阻断黑客利用虚
拟系统漏洞 • 在网络隔离和虚拟化接 口上限制非授权虚拟机 对网络的渗透
VM
VM Hypervisor
VM
最接近的终端安全产品
轻代理 杀毒客
户端
控制 中心
虚拟化 主机
终端安全产品并不能解决问题
• 轻代理和云架构冲突
云虚拟化威胁分析
云安全
毒液漏洞
关键词
解决方案 虚拟化
虚拟机逃逸
序章
云计算和云安全
云业务
SAAS 邮件
oa
crm
媒体云
医疗云
门户
游戏云
政务云
物联网云 智能硬件云 基础设施云
PAAS
中间件
电商云 o2o云
IAAS
金融云
云计算
记录 音乐 邮件 网络
聊天
图片
更多
安全事件
• 网易大面积服务器瘫痪 • 艺龙网遭受DDOS攻击 • 大麦网千万数据泄露 • 亚马逊云业务遭受毒液漏洞