《云計算安全策略.ppt》由會員分享，可在線閱讀，更多相關《云計算安全策略.ppt（43頁珍藏版）》請在裝配圖網上搜索。

1、云計算安全策略,云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望,云計算安全,云計算的發(fā)展，引入了新的話題與煩惱，安全問題一直是阻止人們和企業(yè)進入云計算應用的主要因素。 Amazon和Google都因為安全問題蒙受巨大損失 云計算作為多種傳統(tǒng)技術(如并行計算、分布式計算、網格計算、虛擬化、效用計算等)的綜合應用、發(fā)展與服務模式轉變的結果,信息安全的基本屬性與安全需求不變,涉及信息資產、安全威脅、保護措施等的信息保障安全觀不變。,Gartner列出的云計算7大安全風險,從供應商的安全能力角度分析云計算面臨的安全風險來講 風險 描述 特權用戶接 供應

2、商的管理員處理敏感信息的風險 可審查性 供應商拒絕外部審計和安全認證的風險 數(shù)據(jù)位置 數(shù)據(jù)存儲位置位置的隱私風險 數(shù)據(jù)隔離 共享資源的多租戶數(shù)據(jù)隔離 數(shù)據(jù)恢復 供應商的數(shù)據(jù)備份和恢復能力 調查支持 供應商對不恰當或非法行為難以提供取 證支持 長期生存 服務穩(wěn)定性、持續(xù)性及其遷移,CSA列出的7大云計算安全威脅,CSA發(fā)布的最新版本云計算關鍵領域安全指南,主要從攻擊者角度歸納云計算環(huán)境可能面臨的主要威脅。 濫用和惡意使用云計算 不安全的接口和API 不壞好意的內部人員 基礎設施共享問題 數(shù)據(jù)丟失或泄漏 賬戶或服務劫持 未知的風險,云計算面臨的安全風險,云計算面臨的安全風險可以總結為如下3個方面

3、1.組織管理中的風險 2.技術上的風險 3.法律上的風險,組織管理中的風險,鎖定風險：不能遷移數(shù)據(jù)/服務到其他云提供商，或本地 失治風險：提供的服務不能達到約定的安全級別 合規(guī)挑戰(zhàn)：云提供商不能證明服務遵從相關的規(guī)定 多租戶中惡意行為：如惡意攻擊使IP 地址段被阻塞 云服務終止或故障：云提供商破產或短期內停止服務 云提供商收購：收購使非約束力合約具有風險 供應鏈故障：部分任務外包給第三方，安全影響,技術上的風險,資源耗盡：沒有充足的資源，資源沒有合理使用 隔離故障：存儲、內存、路由隔離機制失效云內部 惡意人員：內部人員對高級特權的濫用 管理接口漏洞：遠程訪問和瀏覽器手持設備缺陷 傳輸中的數(shù)據(jù)截

4、獲：更多的數(shù)據(jù)傳輸路徑，以避免嗅探和回放攻擊等威脅。 數(shù)據(jù)泄露：通信加密缺陷或應用程序漏洞，數(shù)據(jù)泄露 不安全或無效的數(shù)據(jù)刪除：資源的重新分配，缺乏有效的數(shù)據(jù)刪除機制，數(shù)據(jù)丟失或泄露隱私,技術上的風險,DDoS 分布式拒絕服務攻擊：計算資源被惡意的使用 EDoS 經濟拒絕服務攻擊：盜用身份，耗盡用戶的資源、破壞他人的經濟利益 密鑰丟失：安全密鑰（如文件加密密鑰、客戶私鑰等）被惡意的第三方獲取 惡意探測或掃描：惡意的探測或掃描將影響云中的數(shù)據(jù)和服務 危害服務引擎：攻擊架構中的缺陷，如IaaS 虛擬機、PaaS API、SaaS 中的應用程序缺陷 客戶程序和云環(huán)境之間沖突：云提供商和用戶之間必須進行

5、清晰明確的責任劃分，用戶安全措施的不完善而給整個云平臺引入安全風險，云提供商必須解決多租戶的不同安全需求,法律上的風險,傳訊和電子發(fā)現(xiàn)：由于法律傳訊和民事訴訟等因素使得物理設備被沒收，導致多租戶中無辜用戶存儲的內容遭受強制檢查和泄漏的風險 管轄變更風險：數(shù)據(jù)存儲于沒有法律保障的國家或地區(qū)，被非法沒收并強制公開 數(shù)據(jù)保護風險：用戶不能有效檢查云提供商的數(shù)據(jù)處理過程，是否合規(guī)與合法，對于云供商而言，則可能接受并存儲用戶非法收集的數(shù)據(jù)。 許可風險：必須制定合理的軟件授權和檢測機制,云安全從云端到云中的可劃分為三個層次,（1） 云端安全性。 包括接入端的瀏覽器安全；接入端的安全管理，不僅客戶可以接入，

6、服務商也能接入；接入端的安全認證等。 （2） 應用服務層。 包括可用性（亞馬遜宕機事件），網絡攻擊，隱私安全，虛擬機環(huán)境下多重任務處理等。 （3） 基礎設施層。 包括數(shù)據(jù)安全（保密性、隔離性），數(shù)據(jù)位置，數(shù)據(jù)完整性與可用性，數(shù)據(jù)備份與恢復，虛擬機的安全等。,云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望,云安全參考模型,現(xiàn)實中的各種云產品,在服務模型、部署模型、資源物理位置、管理和所有者屬性等方面呈現(xiàn)出不同的形態(tài)和消費模式,從而具有不同的安全風險特征和安全控制職責和范圍。 從安全控制的角度建立云計算的參考模型,描述不同屬性組合的云服務架構,并實

7、現(xiàn)云服務架構到安全架構之間的映射,為風險識別、安全控制和決策提供依據(jù)。,云安全參考模型,云計算安全體系結構,云計算安全立方體,云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望,云安全防護策略,IaaS安全與對策 PaaS安全與對策 SaaS安全與對策 云計算通用安全技術分析,IaaS可能存在如下風險,用戶的數(shù)據(jù)在云中會存在泄露的危險 計算服務性能不可靠 遠程管理認證危險 虛擬化技術所帶來的風險 用戶本身的焦慮 服務中斷,IaaS安全風險對應方案,客戶數(shù)據(jù)可控以及數(shù)據(jù)隔離 綜合考慮數(shù)據(jù)中心軟硬件部署 建立安全的遠程管理機制 動態(tài)密鑰、及時打安全補丁

8、、使用VPN或SSL/TLS或SSH 不用可重復使用的用戶名和密碼、不用telnet 選擇安全的虛擬化廠商以及成熟的技術 建立健全IT行業(yè)法規(guī) 服務中斷等不可抗拒新因素，采取兩地三中心備份策略,兩地三中心備份策略,PaaS面臨風險,應用配置不當 平臺構建漏洞，可用性、完整性差 SSL協(xié)議及部署缺陷 云數(shù)據(jù)中的非安全訪問許可,PaaS安全風險對策,嚴格參照手冊進行配置 保證補丁能夠及時得到更新 重新設計安全應用,SaaS安全與風險分析,數(shù)據(jù)安全 垃圾郵件與病毒 軟件漏洞，版權問題 瀏覽器的安全漏洞 人員管理以及制度管理的缺陷 缺少第三方監(jiān)督認證機制,SaaS安全對應措施,建立可信安全平臺 數(shù)據(jù)存

9、儲與備份 定期升級軟件補丁，并關注版權信息 對服務器跟客戶端的安全都要重視 選擇可靠的SaaS提供商 成熟的安全技術、核心知識產權、好的信譽以及安全資質 安全管理 第三方監(jiān)理、安全制度、培訓,云計算中的通用安全防護策略,建立可信云 安全認證 數(shù)據(jù)加密 法律和協(xié)議,云計算環(huán)境下DDoS攻擊防范,DDoS攻擊通常分為流量型攻擊和應用型攻擊。 由于傳統(tǒng)的DDos攻擊防護一般采取被動模式，而新型的DDos一般采取小流量應用層攻擊，這種攻擊會造成性能的巨大消耗。 對于僵尸網絡、木馬、蠕蟲的檢測過濾，收集不到其網絡通信報文特征也就更難談及檢測和過濾。 在云計算環(huán)境下，出現(xiàn)了兩種新型的云安全技術，分別是：

10、自動特征分析 信譽服務,云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望,VMware vShield,vSield可以監(jiān)視虛擬數(shù)據(jù)中心內的網絡流量，強制其符合公司安全策略，并確保遵從法規(guī)。IaaS層面提供保護，解決數(shù)據(jù)認證、信息泄露、虛擬化技術所帶來的風險 監(jiān)視、記錄和阻止主機內部或集群中主機之間的虛擬機間流量， 部署整個虛擬機和虛擬網絡，配置相關策略。 以確保在整個虛擬機生命周期中都備有網絡安全策略，為虛擬機提提供無中斷的持續(xù)保護。 按網絡或應用程序協(xié)議對流量分類。 供了流量的負載均衡功能，可把外部（或公網）IP地址映射到一組內部服務器上。,

11、趨勢科技虛擬化安全解決方案,趨勢科技的Deep Security專為虛擬化環(huán)境設計的惡意軟件防護解決方案，可在一臺物理主機上可實現(xiàn)多臺虛擬主機的“保護盾”功能，在虛擬機內無需安裝任何軟件，就能繼承虛擬器底層所提供的安全防護。 實現(xiàn)入侵檢測與防護、網站應用程序防護、網絡應用程序控管、狀態(tài)感知防火墻、一致性監(jiān)控以及日志文件檢查等功能，成為了虛擬化平臺強大的防護盾牌。 趨勢科技也在IaaS層面提供防護，可以和VMware無縫對接。,趨勢為虛擬化構架的安全,物理器只需安裝一次，以無代理形式提供安全防護,VM,VM,VM,傳統(tǒng)式部署,安全 虛擬機,VM,VM,VM,無代理安全,VM,客戶端部署于每臺虛擬

12、機,基于虛擬器一次性部署,DeepSecurity的功能,IDS / IPS,應用程序防護,應用程序控制,防火墻,深度包檢測,完整性監(jiān)控,日志審計,偵測/阻止基于操作系統(tǒng)漏洞的已知/零日攻擊,監(jiān)視/控制本機應用程序,支持所有IP-based的協(xié)議、提供細粒度過濾，并且可針對單獨的網絡接口,偵測/阻止針對目錄/文件/鍵值的未授權/惡意修改,安全事件增強性審計,偵測/阻止基于應用程序漏洞的已知/零日攻擊,無代理模式防毒,防惡意程序,（需Vshield Endpoint支持）,底層無代理防護,華為賽門鐵克解決方案,在云安全方面，華為賽門鐵克通過全球部署，知識共享，實時掌握全球安全威脅變化，實現(xiàn)全球聯(lián)

13、動，以獲得最專業(yè)的安全感知和快速響應能力。 可以為博客空間、論壇、社區(qū)、網盤等Web2.0應用和企業(yè)郵局等業(yè)務提供數(shù)據(jù)安全保障，不再需要單獨部署病毒網關類設備，只需要按照其提供的接口調用防病毒云的資源能力即可。 華賽的云安全解決方案更多在PaaS、SaaS層面。,殺毒廠商的云安全,用運來保障安全 云安全融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常監(jiān)測，獲取互聯(lián)網中木馬、惡意程序的最新信息，傳送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。,云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決

14、方案 云安全部署原則 云安全展望,云安全部署原則,參照信息安全等級保護基本原則：自主保護原則、重點保護原則、同步建設原則、動態(tài)調整原則，可制定制定云安全的三大原則： 原則一：全方位多層次綜合防護原則。 原則二：在安全建設方面要有適度的原則。 原則三：總體規(guī)劃、分步實施原則。,安全體系建設可以分為三個階段,云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望,云計算安全未來展望,每次信息技術的重大革新，都將直接影響安全領域的發(fā)展進程，云計算也是這樣。 IT行業(yè)法律將會更加健全，云計算第三方認證機構、行業(yè)約束委員會等組織有可能出現(xiàn)。 云計算安全將帶動信息安全產業(yè)的跨越式發(fā)展，進入以立體防御、深度防御等為核心的信息安全時代。在大規(guī)模網絡攻擊與防護、互聯(lián)網安全監(jiān)管等出現(xiàn)重大創(chuàng)新。 云計算相關的信息安全技術將會得到發(fā)展,云計算相關的信息安全技術將得到發(fā)展,可信訪問控制技術 加密解密、數(shù)字密鑰技術 密文檢索與處理技術 數(shù)據(jù)存在與可用性證明技術 數(shù)據(jù)隱私防護技術 虛擬安全技術 資源訪問控制技術 可信云計算技術,云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望,謝謝！ 歡迎交流！,