MENU 导航菜单

虚拟云网络专辑|VMware 网络安全新方案简述(二)

奇正资讯 > VMware资讯 更新时间:2022/10/13

无论是防火墙、入侵侦测防御、以及我们在本系列尚未讨论的网络流分析 (Network Traffic Analysis) ,主要都是针对网络连线的检查与特征比对,但对于借由网络传输内夹带的档案本身,可能是可执行档 (Executable File)、文件 (Document)、执行脚本 (Scripts)、甚至如媒体档、压缩档、资料档等等,通常不是网络连线检查的重点。但确认档案本身是否恶意,能否容许用户正常下载其实是很重要的,举最常见的例子,如果企业内用户误点了恶意连结,连到 Internet 下载勒索病毒 (Ransomware) 像是 darkside 这类,在相关的资安控管机制内能否进行侦测或是阻挡呢?


可以的,这是 VMware 网络安全新方案的强项,功能上叫做恶意软件防御 (Malware Prevention)。几个功能与架构上的重点在本篇推文内与大家进行介绍。


Malware Prevention 利用 Hash 比对、本地端分析、与云端沙箱进行档案检查


当 NSX 透过闸道或于虚机端抓取到要下载的档案,首先会透过 Hash 值比对将档案与由 Internet 取得的档案数据库进行对比,确认是否是已经认得的合法 / 非法档案。这边是第一个步骤。


若没有结果,接着 NSX 会进行本地的档案静态分析,包含了不同的技术如检查程式码或档案架构、分析 API-Call 与呼叫 URL、Script 与巨集分析等不同方式来判断档案是正常或恶意。


如果在前述步骤都无法确认,此时 NSX Application Platform 会将档案送往 Internet 上的云端沙箱 (Sandbox) 执行。VMware 之云端沙箱是由 Lastline 时代即领先安全业界的技术,透过基于全系统模拟的方式,包含恶意程式执行时使用的完整 CPU 指令集,是否有采用回避技术、加密机制等都一览无遗。而除了沙箱模拟器之外还有包含一些 Lastline 发展的统计演算法以及深度内容比对技术。透过相关技术,多面向对比下进行打分,即使是陌生的档案也能确认是否有恶意行为。


图片


透过上述 Hash 对比、本地档案分析以及云端沙箱的机制,无论服务器下载的是已知或是未知档案,都能在此流程内对比出是否为恶意软件,提供需求的警告以及必要的阻挡。


Malware Prevention 可同时于闸道以及 vSphere 端进行运作


Malware Prevention 可以在两个地方进行:闸道端(南北向)以及 vSphere上(东西向),如下图所示。


图片


于闸道端,NSX Gateway 会透过 IDPS 引擎抓取出南北向网络连线中之档案来进行必要的对比。其中


  •     各式档案支持类型完整,可支持的档案格式列表可参考:

    https://docs.vmware.com/en/VMware-NSX-T-Data-Center/3.2/administration/GUID-0EDE5C08-F59D-45F3-8E48-

    0D7D038207ED.html。

    目前于闸道端仅进行恶意档案侦测,不进行阻挡。


  •     于闸道端进行档案分析的主要问题在于若网络连线为加密,无法看到内容。因此要完整支持此功能,闸道端必须运作 TLS Decryption 机制,于 NSX-T 3.2.1 版已正式 GA 提供支持。



于 vSphere 端是透过 Service VM,也就是 Guest Introspection 的机制,搭配 VMTools 来抓取虚机系统 IO 来取得档案。因此:


  • 如同 Guest Introspection 机制的限制,仅运作于 Windows 型态虚机。


  • 因为是在虚机系统 IO 层面拦截档案,不需要考虑加解密问题。


  • 目前时间点,支持档案类型仅有 Windows Portable Executable (PE) 型态执行档。除了侦测外亦可进行阻挡。


启用 Malware Prevention 的相关资源准备


如同前面讨论,Malware Prevention 需要 NSX Application Platform 来做 Hash 比对以及将档案送往云端沙箱分析。因此部署前,必须先将 NAPP 安装完成后,再进行启用:


图片


此外,当 Malware Prevention 于 Gateway 上面运作时,由于 IDPS / TLS Decryption 等效能要求,底层的 Edge 虚机必须安装为最大的 Extra Large 型态。而 Malware Prevention于 vSphere 上启用时,每台 vSphere 上都需要配置一台对应的 Service VM (SVM)来负责此台 host 上面所有虚机的检查,各台虚机 VMTools 内也需要启用 Guest Introspection 功能。


下图是 Malware Prevention 的作业界面。当有侦测到恶意程式时,管理者可以在界面内看到事件资讯:



图片



同时我们也可以点击档案,确认相关细节,下图即为上述事件,侦测到 darkside.exe 档案(知名的勒索软件)的分析资讯:



图片




关于 Malware Prevention 方案相关介绍就先到这边。下一篇我们进行网络流分析 (Network Traffic Analysis, Suspicious Traffic) 的讨论。



      作者:Colin Jao 饶康立




VMware 资深技术顾问,主要负责 VMware NSX 产品线,目前致力于网络虚拟化、分散式安全防护技术与新应用递送方案的介绍与推广。


本文转载自VMware公众号

下一篇:虚拟云网络专辑|VMware 网络安全新方案简述(一) 上一篇:虚拟云网络专辑|VMware 网络安全新方案简述(三)