《云計算關(guān)鍵領(lǐng)域安全指南》由會員分享,可在線閱讀,更多相關(guān)《云計算關(guān)鍵領(lǐng)域安全指南(28頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,2013/3/9,#,CISRG&SECURITY DEPARTMENT OF NEUSOFT,云計算關(guān)鍵領(lǐng)域安全指南,云計算安全的關(guān)注域,云計算安全,治理域,運行域,ISO38500,ISO17799,ISO27002,(?),TOPIC,云計算安全運行域的具體實現(xiàn),云計算體系中的安全關(guān)注點,如何劃分云計算體系中的安全域,如何構(gòu)建云計算安全的技術(shù)體系,如何建設(shè)云計算安全中的應(yīng)急響應(yīng)機制,PART I,一個標(biāo)準的云計算體系安全解析,云計算中的安全關(guān)注點(,1,),首要關(guān)注點:,數(shù)據(jù)安全,云計算系統(tǒng)的核心業(yè)務(wù):,
2、為用戶提供云計算與云存儲服務(wù),用戶關(guān)心自身數(shù)據(jù)流轉(zhuǎn)全過程的安全性:,數(shù)據(jù)上傳數(shù)據(jù)處理數(shù)據(jù)處理數(shù)據(jù)存儲數(shù)據(jù)下載,云計算中的安全關(guān)注點(,2,),服務(wù)商關(guān)注點:,系統(tǒng)運維安全,服務(wù)商核心工作:,確保客戶數(shù)據(jù)安全與自身業(yè)務(wù)連續(xù)性,Confidentiality,保密性,Availability,可用性,Integrity,完整性,典型云計算體系拓撲圖,用戶數(shù)據(jù)的流轉(zhuǎn)過程,1.,數(shù)據(jù)生成,3.,數(shù)據(jù)緩存,2.,數(shù)據(jù)傳輸,4.,數(shù)據(jù)處理,5.,數(shù)據(jù)存儲,保障業(yè)務(wù)連續(xù)性的關(guān)鍵節(jié)點,存儲保障,鏈路保障,業(yè)務(wù)保障,管理保障,PART 2,云計算體系中的安全域劃分,由云的服務(wù)類型劃分安全域,云計算,服務(wù)群,云存
3、儲,存儲介質(zhì)群,存儲控制群,云計算,運算服務(wù)器群,運算控制群,云計算體系安全域的簡單劃分,存儲區(qū)域,運算區(qū)域,核心安全域,業(yè)務(wù)支撐域,網(wǎng)絡(luò)節(jié)點,鏈路通信,運維保障域,運維系統(tǒng),云計算體系的重新表述,PART 3,構(gòu)建云計算安全的技術(shù)體系,云安全與傳統(tǒng)安全的區(qū)別,缺乏透明度,業(yè)務(wù)不透明,業(yè)務(wù)流程不透明,管理機制不透明,數(shù)據(jù)狀況不透明,數(shù)據(jù)流轉(zhuǎn)過程不透明,正常業(yè)務(wù)的基本保障,客戶選擇的理由,客戶驅(qū)動決定核心技術(shù),完整性,保密性,可用性,數(shù)據(jù)容災(zāi)備份技術(shù),加密與身份,控制識別技術(shù),數(shù)據(jù)容災(zāi)備份技術(shù),數(shù)據(jù)容災(zāi)備份的本質(zhì)是數(shù)據(jù)冗余,通信鏈路的冗余架設(shè)。(線路、節(jié)點全部冗余),數(shù)據(jù)存儲設(shè)備自身的冗余機制。
4、(,Raid,),數(shù)據(jù)存儲體系設(shè)計中的冗余機制。(增量或異地備份),加密與身份識別控制,數(shù)據(jù)加密與身份識別貫穿用戶業(yè)務(wù)的全過程,用戶在上傳數(shù)據(jù)前即自行加密,上傳加密數(shù)據(jù)。,傳輸過程中使用,VPN,進行加密傳輸,防止嗅探。,數(shù)據(jù)存儲過程中進行加密存儲。,備份數(shù)據(jù)應(yīng)以密文形式原樣備份。,通過為用戶頒發(fā)數(shù)字證書進行身份識別,且該電子簽名應(yīng)與其擁有的數(shù)據(jù)嚴格綁定并控制其權(quán)限。,云安全技術(shù)體系的實踐構(gòu)架,PART 4,云安全中的應(yīng)急響應(yīng)機制,事件應(yīng)急響應(yīng)的分類,安全事件響應(yīng),設(shè)備自動響應(yīng),事件告警處理,事件自動干涉,人員應(yīng)急響應(yīng),現(xiàn)場,/,遠程手動處理,設(shè)備自動應(yīng)急響應(yīng)體系(,1,),防火墻與,IDS,
5、聯(lián)動形成的簡單自動防御響應(yīng),UTM/IPS,內(nèi)置防御規(guī)則的簡單自動防御響應(yīng),中間件系統(tǒng)及抗,DDOS,系統(tǒng)對異常并發(fā)連接的簡單響應(yīng)機制,設(shè)備自動應(yīng)急響應(yīng)體系(,2,),設(shè)備自動應(yīng)急響應(yīng)體系(,3,),SOC,在云安全體系中的應(yīng)用,在互聯(lián)網(wǎng)環(huán)境中,支持云安全技術(shù)的網(wǎng)關(guān)設(shè)備可以通過,SOC,進行遠程聯(lián)動。,利用云計算環(huán)境資源,進行更加高效的安全日志關(guān)聯(lián)分析與存儲,得出更加準確的安全事件告警與響應(yīng)。,結(jié)合事件管理與工單派發(fā)系統(tǒng)與人員手動響應(yīng)機制進行關(guān)聯(lián)。,設(shè)備自動應(yīng)急響應(yīng)體系(,4,),利用關(guān)聯(lián)分析完成準確響應(yīng),1,、何謂關(guān)聯(lián)分析,是指利用算法去判斷一系列報警事件是否源于同一個攻擊行為并完成攻擊場景
6、的重構(gòu)。這種攻擊行為具有單一的攻擊意圖,可以包括單個簡單的攻擊行為和由一系列攻擊步驟組成的復(fù)雜的攻擊行為,也被命名為攻擊場景。其中關(guān)聯(lián)分析是整個網(wǎng)絡(luò)報警處理的核心,利用關(guān)聯(lián)分析技術(shù)處理安全設(shè)備所產(chǎn)生的報警事件現(xiàn)在是安全管理研究中的一個熱點問題。在實際網(wǎng)絡(luò)環(huán)境下,攻擊者在實施攻擊的過程中,其掃描行為、口令試探行為、訪問文件行為、會話、流量往往會在不同的安全工具上留下相應(yīng)的特征。關(guān)聯(lián)分析正是要依靠下轄的,IDS,節(jié)點、,VPN,網(wǎng)關(guān)、防火墻、路由器等安全設(shè)備提供的這些安全特征信息來對網(wǎng)絡(luò)安全全局狀況作出判斷。,2,、關(guān)聯(lián)分析方法,目前關(guān)聯(lián)分析的方法有很多,典型的包括統(tǒng)計關(guān)聯(lián)分析、基于規(guī)則的關(guān)聯(lián)分析、基于脆弱性和資產(chǎn)的關(guān)聯(lián)分析等。,