BingoCloudOS V8.0 彈性漏洞掃描功能實踐

最新 04-21

▲ 雲乾貨、雲趣事一點"藍字"就有 ▲

品高雲操作系統 V8.0 已於 2018 年 1 月正式發布，本次版本升級帶來了雲數據湖、SDN v4.0、應用交付流水線、彈性漏掃服務、全局業務標籤、彈性文件系統、加速設備即服務、智能化體檢、Power 架構服務化以及微軟 Azure 公有雲納管等多個頗具亮點的新功能特性。

本文將通過對雲內虛擬機定期進行漏洞安全檢測的操作實踐，深度分析彈性漏洞掃描功能在實際場景中的應用。後續我們還將邀請產品專家逐一對品高雲操作系統 V8.0 中的其他功能進行詳解，敬請關注。

網路安全對政府企業 IT 系統影響致命

2017 年，網路黑產所帶來的安全挑戰愈加嚴峻，各種利用互聯網技術進行偷盜、詐騙、敲詐等案件不斷發生，圍繞互聯網的黑灰產業正以極快的速度蔓延。從各個主要國家的統計數據看，利用互聯網技術實施偷盜、詐騙、敲詐的案件數每年以超過 30% 的增速在增長。據測算，僅中國「網路黑產從業人員」就已超過 150 萬，「市場規模」也已高達千億級別。

2018 年 1 月，由安恆信息和中國科學院計算技術研究所、中國電子信息產業發展研究院聯合策劃編撰的《2017 年度網路空間安全報告》發布。《報告》指出，全球約 6300 個平台提供勒索軟體交易，WannaCry 勒索軟體、「壞兔子」（Bad Rabbit）、GIBON、Sage、Matrix 等 10 大勒索軟體等在全球迅速蔓延，使多國遭遇網路攻擊。勒索軟體在 2016-2017 年期間的銷售量增長了約 2502%，惡意分子傾向於加密被感染設備的數據，向受害者勒索加密貨幣（以比特幣為主），也進一步導致加密貨幣市場價格一路飆升。

隨著互聯網和移動互聯網的快速發展，企業信息化進程的逐漸加快，其中蘊含了越來越多的經濟價值，而企業信息化應用系統在被廣泛應用的同時，因其互聯、開放等特性，更容易遭受黑客的攻擊。每年都有數以千計的網路安全漏洞被發現和公布，加上攻擊者手段層出不窮變化多端，網路安全狀況也隨著安全漏洞的增加變得日益嚴峻。研究表明，99% 的攻擊事件都是利用了未修補的漏洞，使得許多已經部署了防火牆、入侵檢測系統和防病毒軟體的企業仍然飽受漏洞攻擊之苦，最後蒙受巨大的經濟損失。

面對頻繁發生的網路安全事件，相對於出現安全事件後的補救，前期的安全漏洞掃描顯得更為重要，能夠提前發現問題，將安全事件遏制在萌芽狀態。

漏洞掃描是預防網路安全的最佳方案之一

漏洞掃描是指基於漏洞資料庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測 (滲透攻擊) 行為，可全面深度檢測企業暴露在互聯網邊界上的安全風險。是保證信息化安全的開始，它及時準確的察覺到信息平台基礎架構的安全，保證業務順利的開展，維護企業所有信息資產的安全。

OpenVAS 作為當前市場上常用的開源漏洞掃描工具之一，是一個開放式漏洞評估系統，漏洞樣本庫更新迅速，由 Greenbone 商業漏洞解決方案的組件開源而來，用於對目標系統進行漏洞評估和管理，包括了一套網路漏洞測試程序，可以檢測遠程系統和應用程序中的安全問題，檢測評估能力來源於數萬個漏洞測試程序，這些程序都是以插件的形式存在。品高雲的漏洞掃描服務就是在基於 OpenVAS 的基礎上構建而來，並增加了對掃描結果的統計分析，同時，也會根據掃描結果為用戶提供專業的漏洞解決方案。

2017 年 6 月 1 日，正式開始實施的《中華人民共和國網路安全法》，作為我國的網路安全基本法，明確了網路產品、服務的提供者應及時發現網路產品、服務存在安全缺陷、漏洞等，並應當及時告知用戶並採取補救措施，這也使得市場對漏洞掃描服務渴求速增。

品高雲彈性漏洞掃描

彈性漏洞掃描服務是基於漏洞特徵庫，提供一種彈性的進行漏洞掃描的機制，用戶可對快速獲得掃描服務對雲內虛擬機進行檢測，並提供修復漏洞參考方案，有利於快速定位高、中、低風險漏洞並及時通知用戶修復，保障業務正常運轉，提高運維效率。

圖 1 彈性漏洞掃描功能架構圖

包括離線漏洞庫、掃描器和任務管理器三大功能模塊。

●離線漏洞庫：包括 NVT feed 和樣本更新模塊，主要提供了網路脆弱性測試方式及其並依據測試結果更新漏洞樣本。

●掃描器：包括掃描配置、報告插件和掃描引擎三個功能模塊，主要負責檢查掃描目標主機的安全性，並將結果返回彈性掃描服務，將掃描得到的結果上傳至 S3 的存儲中，供彈性漏掃服務處理掃描報告。

●任務管理器：包括任務處理、配置管理和報告處理三個功能模塊，主要負責漏洞掃描任務的創建，調度掃描計劃，協助掃描器完成掃描任務，處理掃描結果，掃描結束時發送 SNS 消息給用戶。

特色能力

基於 OpenVAS，當今世界最好的開放式漏洞評估系統數據，自帶數萬個漏洞測試程序，並且可以跟隨安全社區庫進行升級；

雲中 VM 的安全情況可視化展現，支持漏洞處理的追蹤查看；

服務自動生成漏洞報告，部分還有處理意見可供參考；

租戶級隔離掃描互不影響，可區分不同業務或網路子網，更精準；

可與簡單消息通知服務配合使用，及時將掃描結果告知客戶；

應用場景

互聯網業務應用周期性檢查、自定義檢查；

應用上線的安全基線檢查；

應用漏洞統計分析；

功能實踐——虛擬機漏洞掃描

本次功能實踐是利用品高雲漏洞掃描服務對雲內虛擬機定期進行漏洞安全檢測，並依據掃描結果修復漏洞。具體的操作步驟包括了創建掃描任務、啟動掃描任務、查看掃描報告、修復漏洞。

一、創建掃描任務

（1）登錄品高雲，通過【高級服務】→【彈性漏洞掃描服務】進入彈性漏洞掃描服務頁面。

圖 2 彈性漏洞掃描服務入口

（2）對任務基本信息的完善，可以設置任務的名稱、任務使用的掃描容器以及是否需要使用 SNS 通知掃描結果。

圖 3 創建掃描任務頁面

（3）添加掃描目標。本次掃描任務的目標為創建在 172.16.0.0/16 網段的 3 個實例，實例 ID 分別為 i-46675D7、i-C2F5F9CF、i-C4020FEE。

圖 4 掃描目標

（4）設置掃描計劃。本次掃描任務的計劃設置為一天掃描一次，且持續掃描。

圖 5 掃描任務計劃

掃描目標和計劃設置完成後，則掃描任務創建完成。

二、啟動掃描任務

（1）通過【任務管理】查看掃描任務詳情，發現任務處於正在掃描階段。

圖 6 掃描任務管理頁面

（2）在漏洞掃描任務進行的同時，用戶也可以查看任務掃描進度與日誌。

圖 7 掃描任務進度

圖 8 掃描任務日誌

三、查看掃描報告

（1）掃描任務完成後，可在【報告查看】中查看掃描報告。

圖 9 漏洞掃描報告

報告顯示：本次任務掃描的三個實例中，實例 ID 為 i-C4020FEE 和 i-C2F5F9CF 的兩個實例為高風險實例，其中實例 i-C4020FEE 存在 1 個高危漏洞，實例 i-C2F5F9CF 存在 1 個高危漏洞、1 個中危漏洞和兩個低危漏洞。實例 ID 為 i-466757D7 的實例為低風險實例，存在 1 個低危漏洞。

（2）通過漏洞詳情，可查看系統推薦的漏洞處理方法，然後利用這些方法用戶可快速修復漏洞。

圖 10 實例漏洞詳情