《云計算安全策略》PPT課件.ppt

《《云計算安全策略》PPT課件.ppt》由會員分享，可在線閱讀，更多相關《《云計算安全策略》PPT課件.ppt（43頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、云計算安全策略 云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望 云計算安全 云計算的發(fā)展，引入了新的話題與煩惱，安全問 題一直是阻止人們和企業(yè)進入云計算應用的主要因素。 Amazon和 Google都因為安全問題蒙受巨大損失 云計算作為多種傳統(tǒng)技術 (如并行計算、分布式計 算、網(wǎng)格計算、虛擬化、效用計算等 )的綜合應用、發(fā) 展與服務模式轉變的結果 ,信息安全的基本屬性與安全 需求不變 ,涉及信息資產、安全威脅、保護措施等的信 息保障安全觀不變。 Gartner列出的云計算

2、7大安全風險 從供應商的安全能力角度分析云計算面臨的安全風險來講 風險 描述 特權用戶接 供應商的管理員處理敏感信息的風險 可審查性 供應商拒絕外部審計和安全認證的風險 數(shù)據(jù)位置 數(shù)據(jù)存儲位置位置的隱私風險 數(shù)據(jù)隔離 共享資源的多租戶數(shù)據(jù)隔離 數(shù)據(jù)恢復 供應商的數(shù)據(jù)備份和恢復能力 調查支持 供應商對不恰當或非法行為難以提供取 證支持 長期生存 服務穩(wěn)定性、持續(xù)性及其遷移 CSA列出的 7大云計算安全威脅 CSA發(fā)布的最新版本云計算關鍵領域安全 指南 ,主要從攻擊者角度歸納云計算環(huán)境可能

3、 面臨的主要威脅。 濫用和惡意使用云計算 不安全的接口和 API 不壞好意的內部人員 基礎設施共享問題 數(shù)據(jù)丟失或泄漏 賬戶或服務劫持 未知的風險 云計算面臨的安全風險 云計算面臨的安全風險可以總結為如下 3個方面 1.組織管理中的風險 2.技術上的風險 3.法律上的風險 組織管理中的風險 鎖定風險： 不能遷移數(shù)據(jù) /服務到其他云提供商，或本地 失治風險： 提供的服務不能達到約定的安全級別 合規(guī)挑戰(zhàn)： 云提供商不能證明服務遵從相關的規(guī)定 多租戶中惡意行為： 如惡意攻擊使 IP 地址段被阻塞 云服務終止或

4、故障： 云提供商破產或短期內停止服務 云提供商收購： 收購使非約束力合約具有風險 供應鏈故障： 部分任務外包給第三方，安全影響 技術上的風險 資源耗盡 ： 沒有充足的資源，資源沒有合理使用 隔離故障 ：存儲、內存、路由隔離機制失效云內部 惡意人員 ：內部人員對高級特權的濫用 管理接口漏洞 ：遠程訪問和瀏覽器手持設備缺陷 傳輸中的數(shù)據(jù)截獲 ：更多的數(shù)據(jù)傳輸路徑，以避免嗅 探和回放攻擊等威脅。 數(shù)據(jù)泄露 ：通信加密缺陷或應用程序漏洞，數(shù)據(jù)泄露 不安全或無效的數(shù)據(jù)刪除 ：資源的重新分配，缺乏有 效的數(shù)據(jù)刪除機制，數(shù)據(jù)丟失或泄露隱私 技術上的風險 DDoS 分布式拒絕服務攻擊

5、：計算資源被惡意的使用 EDoS 經濟拒絕服務攻擊 ：盜用身份，耗盡用戶的資源、 破壞他人的經濟利益 密鑰丟失 ：安全密鑰（如文件加密密鑰、客戶私鑰等） 被惡意的第三方獲取 惡意探測或掃描 ：惡意的探測或掃描將影響云中的數(shù) 據(jù)和服務 危害服務引擎 ：攻擊架構中的缺陷，如 IaaS 虛擬機、 PaaS API、 SaaS 中的應用程序缺陷 客戶程序和云環(huán)境之間沖突： 云提供商和用戶之間必 須進行清晰明確的責任劃分，用戶安全措施的不完 善而給整個云平臺引入安全風險，云提供商必須解 決多租戶的不同安全需求 法律上的風險 傳訊和電子發(fā)現(xiàn) ： 由于法律傳訊和民事訴訟等因素 使得物理設備被沒

6、收，導致多租戶中無辜用戶存 儲的內容遭受強制檢查和泄漏的風險 管轄變更風險 ： 數(shù)據(jù)存儲于沒有法律保障的國家或 地區(qū)，被非法沒收并強制公開 數(shù)據(jù)保護風險 ： 用戶不能有效檢查云提供商的數(shù)據(jù) 處理過程，是否合規(guī)與合法，對于云供商而言， 則可能接受并存儲用戶非法收集的數(shù)據(jù)。 許可風險 ： 必須制定合理的軟件授權和檢測機制 云安全從云端到云中的可劃分為三個層次 （ 1） 云端安全性。 包括接入端的瀏覽器安全；接入端的安全管理， 不僅客戶可以接入，服務商也能接入；接入端的安全 認證等。 （ 2） 應用服務層。 包括可用性（亞馬遜宕機事件），網(wǎng)絡攻擊，隱 私安全，虛擬機環(huán)境

7、下多重任務處理等。 （ 3） 基礎設施層。 包括數(shù)據(jù)安全（保密性、隔離性），數(shù)據(jù)位置， 數(shù)據(jù)完整性與可用性，數(shù)據(jù)備份與恢復，虛擬機的安 全等。 云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望 云安全參考模型 現(xiàn)實中的各種云產品 ,在服務模型、部署 模型、資源物理位置、管理和所有者屬性等 方面呈現(xiàn)出不同的形態(tài)和消費模式 ,從而具有 不同的安全風險特征和安全控制職責和范圍。 從安全控制的角度建立云計算的參考模 型 ,描述不同屬性組合的云服務架構 ,并實現(xiàn)云 服務架構到安全架構之間的映射 ,

8、為風險識別、 安全控制和決策提供依據(jù)。 云安全參考模型 云計算安全體系結構 云計算安全立方體 云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望 云安全防護策略 IaaS安全與對策 PaaS安全與對策 SaaS安全與對策 云計算通用安全技術分析 IaaS可能存在如下風險 用戶的數(shù)據(jù)在云中會存在泄露的危險 計算服務性能不可靠 遠程管理認證危險 虛擬化技術所帶來的風險 用戶本身的焦慮 服務中斷 IaaS安全風險對應方案 客戶數(shù)據(jù)可控以及數(shù)據(jù)隔離 綜合考慮數(shù)據(jù)中心軟硬件部署 建立

9、安全的遠程管理機制 動態(tài)密鑰、及時打安全補丁、使用 VPN或 SSL/TLS或 SSH 不用可重復使用的用戶名和密碼、不用 telnet 選擇安全的虛擬化廠商以及成熟的技術 建立健全 IT行業(yè)法規(guī) 服務中斷等不可抗拒新因素，采取兩地三 中心備份策略 兩地三中心備份策略 PaaS面臨風險 應用配置不當 平臺構建漏洞，可用性、完整性差 SSL協(xié)議及部署缺陷 云數(shù)據(jù)中的非安全訪問許可 PaaS安全風險對策 嚴格參照手冊進行配置 保證補丁能夠及時得到更新 重新設計安全應用 SaaS安全與風險分析 數(shù)據(jù)安全 垃圾郵件與

10、病毒 軟件漏洞，版權問題 瀏覽器的安全漏洞 人員管理以及制度管理的缺陷 缺少第三方監(jiān)督認證機制 SaaS安全對應措施 建立可信安全平臺 數(shù)據(jù)存儲與備份 定期升級軟件補丁，并關注版權信息 對服務器跟客戶端的安全都要重視 選擇可靠的 SaaS提供商 成熟的安全技術、核心知識產權、好的信譽以及安全資質 安全管理 第三方監(jiān)理、安全制度、培訓 云計算中的通用安全防護策略 建立可信云 安全認證 數(shù)據(jù)加密 法律和協(xié)議 云計算環(huán)境下 DDoS攻擊防范 DDoS攻擊通常分為流量型攻擊和應用型攻擊。 由于傳統(tǒng)的

11、DDos攻擊防護一般采取被動模式，而 新型的 DDos一般采取小流量應用層攻擊，這種攻擊會 造成性能的巨大消耗。 對于僵尸網(wǎng)絡、木馬、蠕蟲的檢測過濾，收集不 到其網(wǎng)絡通信報文特征也就更難談及檢測和過濾。 在云計算環(huán)境下，出現(xiàn)了兩種新型的云安全技術， 分別是： 自動特征分析 信譽服務 云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望 VMware vShield vSield可以監(jiān)視虛擬數(shù)據(jù)中心內的網(wǎng)絡流量，強 制其符合公司安全策略，并確保遵從法規(guī)。 IaaS層面 提供保護，解決數(shù)據(jù)認證、

12、信息泄露、虛擬化技術所 帶來的風險 監(jiān)視、記錄和阻止主機內部或集群中主機之間 的虛擬機間流量， 部署整個虛擬機和虛擬網(wǎng)絡，配置相關策略。 以確保在整個虛擬機生命周期中都備有網(wǎng)絡安 全策略，為虛擬機提提供無中斷的持續(xù)保護。 按網(wǎng)絡或應用程序協(xié)議對流量分類。 供了流量的負載均衡功能，可把外部（或公網(wǎng)） IP地址映射到一組內部服務器上。 趨勢科技虛擬化安全解決方案 趨勢科技的 Deep Security專為虛擬化環(huán)境 設計的惡意軟件防護解決方案，可在一臺物理 主機上可實現(xiàn)多臺虛擬主機的“保護盾”功能， 在虛擬機內無需安裝任何軟件，就能繼

13、承虛擬 器底層所提供的安全防護。 實現(xiàn)入侵檢測與防護、網(wǎng)站應用程序防護、 網(wǎng)絡應用程序控管、狀態(tài)感知防火墻、一致性 監(jiān)控以及日志文件檢查等功能，成為了虛擬化 平臺強大的防護盾牌。 趨勢科技也在 IaaS層面提供防護，可以和 VMware無縫對接。 趨勢為虛擬化構架的安全 物理器只需 安裝一次 ，以 無代理 形式提供安全防護 VM VM VM 傳統(tǒng)式部署 安全 虛擬機 VM VM VM 無代理安全 VM 客戶端部署于 每臺虛擬機 基于虛擬器 一次性部署 DeepSecurity的功能 IDS / IPS 應用

14、程序防護 應用程序控制 防火墻 深度包檢測 完整性監(jiān)控 日志審計 偵測 /阻止基于操作系統(tǒng)漏洞的已知 /零日攻擊 監(jiān)視 /控制本機應用程序 支持所有 IP-based的協(xié)議、提供細粒度過濾， 并且可針對單獨的網(wǎng)絡接口 偵測 /阻止針對目錄 /文件 /鍵值的未授權 /惡意 修改 安全事件增強性審計 偵測 /阻止基于應用程序漏洞的已知 /零日攻擊 無代理模式防毒 防惡意程序 （需 Vshield Endpoint支持） 底層無代 理防護 華為賽門鐵克解決方案 在云安全方面，華為賽門鐵克通過全球部署，知 識共享，實時掌握全球安全威脅變化，實現(xiàn)全球聯(lián)動，

15、以獲得最專業(yè)的安全感知和快速響應能力。 可以為博客空間、論壇、社區(qū)、網(wǎng)盤等 Web2.0應 用和企業(yè)郵局等業(yè)務提供數(shù)據(jù)安全保障，不再需要單 獨部署病毒網(wǎng)關類設備，只需要按照其提供的接口調 用防病毒云的資源能力即可。 華賽的云安全解決方案更多在 PaaS、 SaaS層面 。 殺毒廠商的云安全 用運來保障安全 云安全融合了并行處理、網(wǎng)格計算、未知病毒行 為判斷等新興技術和概念，通過網(wǎng)狀的大量客戶端對 網(wǎng)絡中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡 意程序的最新信息，傳送到 Server端進行自動分析和 處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶 端。 云

16、計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望 云安全部署原則 參照信息安全等級保護基本原則：自主保護 原則、重點保護原則、同步建設原則、動態(tài)調 整原則，可制定制定云安全的三大原則： 原則一：全方位多層次綜合防護原則。 原則二：在安全建設方面要有適度的原則。 原則三：總體規(guī)劃、分步實施原則。 安全體系建設可以分為三個階段 云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望 云計算安全未來展望 每次信息技術的重大

17、革新，都將直接影響安全領 域的發(fā)展進程，云計算也是這樣。 IT行業(yè)法律將會更加健全，云計算第三方認證 機構、行業(yè)約束委員會等組織有可能出現(xiàn)。 云計算安全將帶動信息安全產業(yè)的跨越式發(fā)展， 進入以立體防御、深度防御等為核心的信息安全時代。 在大規(guī)模網(wǎng)絡攻擊與防護、互聯(lián)網(wǎng)安全監(jiān)管等出現(xiàn)重 大創(chuàng)新。 云計算相關的信息安全技術將會得到發(fā)展 云計算相關的信息安全技術將得到發(fā)展 可信訪問控制技術 加密解密、數(shù)字密鑰技術 密文檢索與處理技術 數(shù)據(jù)存在與可用性證明技術 數(shù)據(jù)隱私防護技術 虛擬安全技術 資源訪問控制技術 可信云計算技術 云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望 謝謝！ 歡迎交流！