基于對全球網(wǎng)絡(luò)威脅趨勢和云數(shù)據(jù)中心安全運營需求的演進(jìn)變化，中國網(wǎng)絡(luò)安全軟件領(lǐng)域的領(lǐng)跑者亞信安全，近期正式發(fā)布亞信安全信艙（DS）——云主機安全產(chǎn)品的最新20版本（簡稱DS 20）。從推動物理主機加固到虛擬化專屬防毒，再到承載云時代安全威脅的進(jìn)階防御，DS 20已演化為全面滿足云工作負(fù)載保護(hù)平臺CWPP功能，具備自適應(yīng)安全架構(gòu)及端點檢測及響應(yīng)（EDR）等特性的一體化解決方案，“懂云”的云主機安全管理平臺進(jìn)化到新高度。

數(shù)據(jù)中心安全環(huán)境變遷，云主機威脅持續(xù)飆升

數(shù)字經(jīng)濟(jì)的快速發(fā)展和融合，給數(shù)據(jù)中心帶來了眾多挑戰(zhàn)，尤其是云數(shù)據(jù)中心面臨的安全風(fēng)險正在加?。涸骗h(huán)境數(shù)據(jù)存儲位置不受租戶控制產(chǎn)生的數(shù)據(jù)泄露、針對云環(huán)境發(fā)起的病毒與網(wǎng)絡(luò)攻擊、不同來源系統(tǒng)彼此靠近增加的系統(tǒng)漏洞、運營管理中夾雜的惡意破壞或誤操作，以及缺乏隔離機制在云共享場景下出現(xiàn)的跨站腳本攻擊、審計合規(guī)、賬戶劫持甚至是DDos攻擊等等。

持續(xù)演化的數(shù)據(jù)中心安全威脅不會遠(yuǎn)離，但同時在云的核心——云主機側(cè)也出現(xiàn)了新的安全運維難題：

l 檢測響應(yīng)弱

云主機系統(tǒng)遭受惡意攻擊的頻率上升，云主機被成功入侵平均時長縮短至約20小時。帶有開放端口和漏洞的云端主機成為黑客攻擊的首要對象，而傳統(tǒng)的云計算安全架構(gòu)下，安全防護(hù)占到了90%，檢測與響應(yīng)只有10%，一旦云主機受到攻擊，整個信息系統(tǒng)中最具價值的部分將面臨失竊和被破壞的風(fēng)險。

【圖：云主機安全風(fēng)險檢測與分析】

l 覆蓋范圍窄

多云、跨云、跨系統(tǒng)（公有云、私有云、混合云、操作系統(tǒng)）的數(shù)據(jù)中心環(huán)境日趨復(fù)雜，云主機攻擊面持續(xù)擴(kuò)大。而這些云主機上可能端存在大量易受攻擊的資產(chǎn)端口（包括遠(yuǎn)程連接服務(wù)端口、遠(yuǎn)程桌面服務(wù)端口、數(shù)據(jù)庫端口、郵件服務(wù)端口等），亦面臨較高的勒索病毒及病毒變種攻擊風(fēng)險。

l 合規(guī)落地難

即使合規(guī)標(biāo)準(zhǔn)讓運維人員有了檢查默認(rèn)風(fēng)險的標(biāo)桿，但是面對數(shù)量龐大云主機，如何快速、有效地檢查設(shè)備，又如何集中地收集核查的結(jié)果，以及制作風(fēng)險審核報告，最終識別那些與安全規(guī)范不符合的項目，以達(dá)到整改合規(guī)的要求，這些是網(wǎng)絡(luò)安全運維人員面臨的新的難題。

全面覆蓋CWPP能力

例如：亞信安全作為云安全防病毒“無代理技術(shù)”的引航者，為滿足云主機工作場景下衍生出的安全運維新需求，支撐云數(shù)據(jù)中心安全責(zé)任共擔(dān)機制，以及適應(yīng)運維流程和安全運營由外到內(nèi)變化，結(jié)合近年攻防對抗中的實際應(yīng)用場景，推出了云主機安全產(chǎn)品DS 20。在防病毒、入侵防護(hù)、完整性檢測、虛擬補丁、日志審計構(gòu)建的縱深防御基礎(chǔ)上形成了全面覆蓋云工作負(fù)載保護(hù)平臺（Cloud Workload Protection Platform，CWPP）能力的云主機安全方案。

Gartner提出的云工作負(fù)載保護(hù)平臺（CWPP）滿足云原生安全對于租戶安全、敏捷性、細(xì)粒度和復(fù)雜性的要求。云工作負(fù)載是承載云計算的節(jié)點，包括物理機、虛擬機、容器、微服務(wù)和無服務(wù)器等，而CWPP則是為混合云、多云工作負(fù)載提供保護(hù)的方法，可為不同位置、不同粒度的工作負(fù)載提供統(tǒng)一的監(jiān)控和展示。

【圖：CWPP模型要求的云主機安全能力】

CWPP能力金字塔包括：

• 加固、配置和漏洞管理；
• 基于身份的隔離和流量可視化；
• 系統(tǒng)完整性保證；
• 應(yīng)用控制與白名單；
• 漏洞利用預(yù)防和內(nèi)存保護(hù)；
• 服務(wù)器工作負(fù)載EDR行為監(jiān)測、威脅檢測和響應(yīng)；
• 具有漏洞屏蔽功能的主機防入侵；
• 反惡意軟件掃描。

亞信安全云主機安全產(chǎn)品針對CWPP所定義的8個不同層面的安全能力全面覆蓋，并可以將偵測Agent所占用的計算資源，并可根據(jù)閾值智能調(diào)節(jié)計算資源占用比率使之達(dá)到合理的使用范圍，以最優(yōu)性能實現(xiàn)安全進(jìn)階。除此以外，DS 20還對歐拉、麒麟、凝思、中興、UOS等國產(chǎn)操作系統(tǒng)具備支持能力,更好的適配信創(chuàng)場景。

五大新功能加入

DS 20可以通過虛擬補丁、病毒防護(hù)以及XDR形成云工作負(fù)載聯(lián)合防御，同時還新增了資產(chǎn)、漏洞、資源監(jiān)控和主機加固等特性，為跨云環(huán)境提供了持續(xù)監(jiān)控及強大的對接功能。

【圖：DS 20云安全防護(hù)擴(kuò)展能力一覽圖】

亞信安全云主機安全產(chǎn)品新增功能如下：

• 跨平臺無代理支持功能

企業(yè)通過華為、華三、vmware等虛擬化技術(shù)構(gòu)建的虛擬化平臺，容易受到黑客攻擊、勒索及挖礦、木馬、蠕蟲等多種病毒攻擊 、系統(tǒng)及應(yīng)用的0day、補丁安全風(fēng)險等問題，企業(yè)需要進(jìn)行虛擬化安全建設(shè)，DS 20保障跨多個云平臺的虛擬化安全；

• 企業(yè)資產(chǎn)風(fēng)險管理功能

加入資產(chǎn)檢查和風(fēng)險評估模塊，將安全管理貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)、運行維護(hù)等設(shè)備運行的全部生命周期；

• 用戶行為檢測與響應(yīng)功能

通過對終端操作系統(tǒng)、應(yīng)用及用戶的行為持續(xù)的詳細(xì)記錄和分析，實現(xiàn)對企業(yè)終端和網(wǎng)絡(luò)中惡意威脅的檢測、遏制、調(diào)查、修復(fù)等場景的安全閉環(huán)；

• 云主機基線合規(guī)檢查功能

針對行業(yè)規(guī)范和等級保護(hù)綱領(lǐng)性規(guī)范要求，幫助用戶快速、有效的檢查云主機操作系統(tǒng)及應(yīng)用的弱口令、高危賬號、配置缺陷、網(wǎng)頁后門、反彈shell等問題，實現(xiàn)對業(yè)務(wù)系統(tǒng)資產(chǎn)進(jìn)行等保定級跟蹤，根據(jù)資產(chǎn)定級自動進(jìn)行對應(yīng)級別的安全配置檢查，對合規(guī)情況出具等保符合性報告；

• 云主機漏洞風(fēng)險管理功能

云主機漏洞風(fēng)險管理即能實現(xiàn)對服務(wù)器及應(yīng)用的漏洞掃描、風(fēng)險評估、修復(fù)建議，滿足用戶對漏洞修復(fù)的需求，也能通過虛擬補丁能力，在面對0Day漏洞無法快速防護(hù)漏洞、老舊操作系統(tǒng)及應(yīng)用無法修復(fù)補丁、關(guān)鍵服務(wù)器無法重啟的情況下，通過虛擬補丁幫助用戶在無須重啟的情況下，實現(xiàn)服務(wù)器及應(yīng)用系統(tǒng)漏洞批量管理。