《云計算安全策略.ppt》由會員分享,可在線閱讀,更多相關(guān)《云計算安全策略.ppt(43頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、云計算安全策略,云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望,云計算安全,云計算的發(fā)展,引入了新的話題與煩惱,安全問題一直是阻止人們和企業(yè)進入云計算應(yīng)用的主要因素。 Amazon和Google都因為安全問題蒙受巨大損失 云計算作為多種傳統(tǒng)技術(shù)(如并行計算、分布式計算、網(wǎng)格計算、虛擬化、效用計算等)的綜合應(yīng)用、發(fā)展與服務(wù)模式轉(zhuǎn)變的結(jié)果,信息安全的基本屬性與安全需求不變,涉及信息資產(chǎn)、安全威脅、保護措施等的信息保障安全觀不變。,Gartner列出的云計算7大安全風(fēng)險,從供應(yīng)商的安全能力角度分析云計算面臨的安全風(fēng)險來講 風(fēng)險 描述 特權(quán)用
2、戶接 供應(yīng)商的管理員處理敏感信息的風(fēng)險 可審查性 供應(yīng)商拒絕外部審計和安全認(rèn)證的風(fēng)險 數(shù)據(jù)位置 數(shù)據(jù)存儲位置位置的隱私風(fēng)險 數(shù)據(jù)隔離 共享資源的多租戶數(shù)據(jù)隔離 數(shù)據(jù)恢復(fù) 供應(yīng)商的數(shù)據(jù)備份和恢復(fù)能力 調(diào)查支持 供應(yīng)商對不恰當(dāng)或非法行為難以提供取 證支持 長期生存 服務(wù)穩(wěn)定性、持續(xù)性及其遷移,CSA列出的7大云計算安全威脅,,CSA發(fā)布的最新版本云計算關(guān)鍵領(lǐng)域安全指南,主要從攻擊者角度歸納云計算環(huán)境可能面臨的主要威脅。 濫用和惡意使用云計算 不安全的接口和API 不壞好意的內(nèi)部人員 基礎(chǔ)設(shè)施共享問題 數(shù)據(jù)丟失或泄漏 賬戶或服務(wù)劫持 未知的風(fēng)險,云計算面臨
3、的安全風(fēng)險,云計算面臨的安全風(fēng)險可以總結(jié)為如下3個方面 1.組織管理中的風(fēng)險 2.技術(shù)上的風(fēng)險 3.法律上的風(fēng)險,組織管理中的風(fēng)險,鎖定風(fēng)險:不能遷移數(shù)據(jù)/服務(wù)到其他云提供商,或本地 失治風(fēng)險:提供的服務(wù)不能達到約定的安全級別 合規(guī)挑戰(zhàn):云提供商不能證明服務(wù)遵從相關(guān)的規(guī)定 多租戶中惡意行為:如惡意攻擊使IP 地址段被阻塞 云服務(wù)終止或故障:云提供商破產(chǎn)或短期內(nèi)停止服務(wù) 云提供商收購:收購使非約束力合約具有風(fēng)險 供應(yīng)鏈故障:部分任務(wù)外包給第三方,安全影響,技術(shù)上的風(fēng)險,資源耗盡:沒有充足的資源,資源沒有合理使用 隔離故障:存儲、內(nèi)存、路由隔離機制失效云內(nèi)部 惡意人員:內(nèi)部人員對高級特權(quán)的濫用 管
4、理接口漏洞:遠程訪問和瀏覽器手持設(shè)備缺陷 傳輸中的數(shù)據(jù)截獲:更多的數(shù)據(jù)傳輸路徑,以避免嗅探和回放攻擊等威脅。 數(shù)據(jù)泄露:通信加密缺陷或應(yīng)用程序漏洞,數(shù)據(jù)泄露 不安全或無效的數(shù)據(jù)刪除:資源的重新分配,缺乏有效的數(shù)據(jù)刪除機制,數(shù)據(jù)丟失或泄露隱私,技術(shù)上的風(fēng)險,DDoS 分布式拒絕服務(wù)攻擊:計算資源被惡意的使用 EDoS 經(jīng)濟拒絕服務(wù)攻擊:盜用身份,耗盡用戶的資源、破壞他人的經(jīng)濟利益 密鑰丟失:安全密鑰(如文件加密密鑰、客戶私鑰等)被惡意的第三方獲取 惡意探測或掃描:惡意的探測或掃描將影響云中的數(shù)據(jù)和服務(wù) 危害服務(wù)引擎:攻擊架構(gòu)中的缺陷,如IaaS 虛擬機、PaaS API、SaaS 中的應(yīng)用程序缺
5、陷 客戶程序和云環(huán)境之間沖突:云提供商和用戶之間必須進行清晰明確的責(zé)任劃分,用戶安全措施的不完善而給整個云平臺引入安全風(fēng)險,云提供商必須解決多租戶的不同安全需求,法律上的風(fēng)險,傳訊和電子發(fā)現(xiàn):由于法律傳訊和民事訴訟等因素使得物理設(shè)備被沒收,導(dǎo)致多租戶中無辜用戶存儲的內(nèi)容遭受強制檢查和泄漏的風(fēng)險 管轄變更風(fēng)險:數(shù)據(jù)存儲于沒有法律保障的國家或地區(qū),被非法沒收并強制公開 數(shù)據(jù)保護風(fēng)險:用戶不能有效檢查云提供商的數(shù)據(jù)處理過程,是否合規(guī)與合法,對于云供商而言,則可能接受并存儲用戶非法收集的數(shù)據(jù)。 許可風(fēng)險:必須制定合理的軟件授權(quán)和檢測機制,云安全從云端到云中的可劃分為三個層次,(1) 云端安全性。 包
6、括接入端的瀏覽器安全;接入端的安全管理,不僅客戶可以接入,服務(wù)商也能接入;接入端的安全認(rèn)證等。 (2) 應(yīng)用服務(wù)層。 包括可用性(亞馬遜宕機事件),網(wǎng)絡(luò)攻擊,隱私安全,虛擬機環(huán)境下多重任務(wù)處理等。 (3) 基礎(chǔ)設(shè)施層。 包括數(shù)據(jù)安全(保密性、隔離性),數(shù)據(jù)位置,數(shù)據(jù)完整性與可用性,數(shù)據(jù)備份與恢復(fù),虛擬機的安全等。,云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望,云安全參考模型,現(xiàn)實中的各種云產(chǎn)品,在服務(wù)模型、部署模型、資源物理位置、管理和所有者屬性等方面呈現(xiàn)出不同的形態(tài)和消費模式,從而具有不同的安全風(fēng)險特征和安全控制職責(zé)和范圍。 從安全
7、控制的角度建立云計算的參考模型,描述不同屬性組合的云服務(wù)架構(gòu),并實現(xiàn)云服務(wù)架構(gòu)到安全架構(gòu)之間的映射,為風(fēng)險識別、安全控制和決策提供依據(jù)。,云安全參考模型,云計算安全體系結(jié)構(gòu),云計算安全立方體,云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望,云安全防護策略,IaaS安全與對策 PaaS安全與對策 SaaS安全與對策 云計算通用安全技術(shù)分析,IaaS可能存在如下風(fēng)險,用戶的數(shù)據(jù)在云中會存在泄露的危險 計算服務(wù)性能不可靠 遠程管理認(rèn)證危險 虛擬化技術(shù)所帶來的風(fēng)險 用戶本身的焦慮 服務(wù)中斷,IaaS安全風(fēng)險對應(yīng)方案,客戶數(shù)據(jù)可控以及數(shù)據(jù)隔離 綜合考慮數(shù)
8、據(jù)中心軟硬件部署 建立安全的遠程管理機制 動態(tài)密鑰、及時打安全補丁、使用VPN或SSL/TLS或SSH 不用可重復(fù)使用的用戶名和密碼、不用telnet 選擇安全的虛擬化廠商以及成熟的技術(shù) 建立健全IT行業(yè)法規(guī) 服務(wù)中斷等不可抗拒新因素,采取兩地三中心備份策略,兩地三中心備份策略,PaaS面臨風(fēng)險,應(yīng)用配置不當(dāng) 平臺構(gòu)建漏洞,可用性、完整性差 SSL協(xié)議及部署缺陷 云數(shù)據(jù)中的非安全訪問許可,PaaS安全風(fēng)險對策,嚴(yán)格參照手冊進行配置 保證補丁能夠及時得到更新 重新設(shè)計安全應(yīng)用,SaaS安全與風(fēng)險分析,數(shù)據(jù)安全 垃圾郵件與病毒 軟件漏洞,版權(quán)問題 瀏覽器的安全漏洞 人員管理以及制度管理的缺陷
9、缺少第三方監(jiān)督認(rèn)證機制,SaaS安全對應(yīng)措施,建立可信安全平臺 數(shù)據(jù)存儲與備份 定期升級軟件補丁,并關(guān)注版權(quán)信息 對服務(wù)器跟客戶端的安全都要重視 選擇可靠的SaaS提供商 成熟的安全技術(shù)、核心知識產(chǎn)權(quán)、好的信譽以及安全資質(zhì) 安全管理 第三方監(jiān)理、安全制度、培訓(xùn),云計算中的通用安全防護策略,建立可信云 安全認(rèn)證 數(shù)據(jù)加密 法律和協(xié)議,云計算環(huán)境下DDoS攻擊防范,DDoS攻擊通常分為流量型攻擊和應(yīng)用型攻擊。 由于傳統(tǒng)的DDos攻擊防護一般采取被動模式,而新型的DDos一般采取小流量應(yīng)用層攻擊,這種攻擊會造成性能的巨大消耗。 對于僵尸網(wǎng)絡(luò)、木馬、蠕蟲的檢測過濾,收集不到其網(wǎng)絡(luò)通信報文特征也
10、就更難談及檢測和過濾。 在云計算環(huán)境下,出現(xiàn)了兩種新型的云安全技術(shù),分別是: 自動特征分析 信譽服務(wù),云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望,VMware vShield,vSield可以監(jiān)視虛擬數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)流量,強制其符合公司安全策略,并確保遵從法規(guī)。IaaS層面提供保護,解決數(shù)據(jù)認(rèn)證、信息泄露、虛擬化技術(shù)所帶來的風(fēng)險 監(jiān)視、記錄和阻止主機內(nèi)部或集群中主機之間的虛擬機間流量, 部署整個虛擬機和虛擬網(wǎng)絡(luò),配置相關(guān)策略。 以確保在整個虛擬機生命周期中都備有網(wǎng)絡(luò)安全策略,為虛擬機提提供無中斷的持續(xù)保護。 按網(wǎng)絡(luò)或應(yīng)用程序協(xié)
11、議對流量分類。 供了流量的負(fù)載均衡功能,可把外部(或公網(wǎng))IP地址映射到一組內(nèi)部服務(wù)器上。,趨勢科技虛擬化安全解決方案,趨勢科技的Deep Security專為虛擬化環(huán)境設(shè)計的惡意軟件防護解決方案,可在一臺物理主機上可實現(xiàn)多臺虛擬主機的“保護盾”功能,在虛擬機內(nèi)無需安裝任何軟件,就能繼承虛擬器底層所提供的安全防護。 實現(xiàn)入侵檢測與防護、網(wǎng)站應(yīng)用程序防護、網(wǎng)絡(luò)應(yīng)用程序控管、狀態(tài)感知防火墻、一致性監(jiān)控以及日志文件檢查等功能,成為了虛擬化平臺強大的防護盾牌。 趨勢科技也在IaaS層面提供防護,可以和VMware無縫對接。,趨勢為虛擬化構(gòu)架的安全,物理器只需安裝一次,以無代理形式提供安全防護
12、,,VM,VM,VM,傳統(tǒng)式部署,,安全 虛擬機,,VM,VM,VM,無代理安全,VM,,客戶端部署于每臺虛擬機,基于虛擬器一次性部署,DeepSecurity的功能,,,,,IDS / IPS,應(yīng)用程序防護,應(yīng)用程序控制,防火墻,深度包檢測,完整性監(jiān)控,日志審計,偵測/阻止基于操作系統(tǒng)漏洞的已知/零日攻擊,監(jiān)視/控制本機應(yīng)用程序,支持所有IP-based的協(xié)議、提供細粒度過濾,并且可針對單獨的網(wǎng)絡(luò)接口,偵測/阻止針對目錄/文件/鍵值的未授權(quán)/惡意修改,安全事件增強性審計,偵測/阻止基于應(yīng)用程序漏洞的已知/零日攻擊,,,無代理模式防毒,防惡意程序,(需Vshield Endpoint支持),底
13、層無代理防護,華為賽門鐵克解決方案,在云安全方面,華為賽門鐵克通過全球部署,知識共享,實時掌握全球安全威脅變化,實現(xiàn)全球聯(lián)動,以獲得最專業(yè)的安全感知和快速響應(yīng)能力。 可以為博客空間、論壇、社區(qū)、網(wǎng)盤等Web2.0應(yīng)用和企業(yè)郵局等業(yè)務(wù)提供數(shù)據(jù)安全保障,不再需要單獨部署病毒網(wǎng)關(guān)類設(shè)備,只需要按照其提供的接口調(diào)用防病毒云的資源能力即可。 華賽的云安全解決方案更多在PaaS、SaaS層面。,殺毒廠商的云安全,用運來保障安全 云安全融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念,通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測,獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息,傳送到Server端進
14、行自動分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個客戶端。,云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望,云安全部署原則,參照信息安全等級保護基本原則:自主保護原則、重點保護原則、同步建設(shè)原則、動態(tài)調(diào)整原則,可制定制定云安全的三大原則: 原則一:全方位多層次綜合防護原則。 原則二:在安全建設(shè)方面要有適度的原則。 原則三:總體規(guī)劃、分步實施原則。,安全體系建設(shè)可以分為三個階段,云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望,云計算安全未來展望,每次信息技術(shù)的重大革新,都將直接影
15、響安全領(lǐng)域的發(fā)展進程,云計算也是這樣。 IT行業(yè)法律將會更加健全,云計算第三方認(rèn)證機構(gòu)、行業(yè)約束委員會等組織有可能出現(xiàn)。 云計算安全將帶動信息安全產(chǎn)業(yè)的跨越式發(fā)展,進入以立體防御、深度防御等為核心的信息安全時代。在大規(guī)模網(wǎng)絡(luò)攻擊與防護、互聯(lián)網(wǎng)安全監(jiān)管等出現(xiàn)重大創(chuàng)新。 云計算相關(guān)的信息安全技術(shù)將會得到發(fā)展,云計算相關(guān)的信息安全技術(shù)將得到發(fā)展,可信訪問控制技術(shù) 加密解密、數(shù)字密鑰技術(shù) 密文檢索與處理技術(shù) 數(shù)據(jù)存在與可用性證明技術(shù) 數(shù)據(jù)隱私防護技術(shù) 虛擬安全技術(shù) 資源訪問控制技術(shù) 可信云計算技術(shù),云計算面臨的安全威脅 云安全參考模型 云安全防護策略 云安全解決方案 云安全部署原則 云安全展望,謝謝! 歡迎交流!,