《云計(jì)算安全策略》PPT課件.ppt

《《云計(jì)算安全策略》PPT課件.ppt》由會(huì)員分享，可在線(xiàn)閱讀，更多相關(guān)《《云計(jì)算安全策略》PPT課件.ppt（43頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、云計(jì)算安全策略 云計(jì)算面臨的安全威脅 云安全參考模型 云安全防護(hù)策略 云安全解決方案 云安全部署原則 云安全展望 云計(jì)算安全 云計(jì)算的發(fā)展，引入了新的話(huà)題與煩惱，安全問(wèn) 題一直是阻止人們和企業(yè)進(jìn)入云計(jì)算應(yīng)用的主要因素。 Amazon和 Google都因?yàn)榘踩珕?wèn)題蒙受巨大損失 云計(jì)算作為多種傳統(tǒng)技術(shù) (如并行計(jì)算、分布式計(jì) 算、網(wǎng)格計(jì)算、虛擬化、效用計(jì)算等 )的綜合應(yīng)用、發(fā) 展與服務(wù)模式轉(zhuǎn)變的結(jié)果 ,信息安全的基本屬性與安全 需求不變 ,涉及信息資產(chǎn)、安全威脅、保護(hù)措施等的信 息保障安全觀(guān)不變。 Gartner列出的云計(jì)算

2、7大安全風(fēng)險(xiǎn) 從供應(yīng)商的安全能力角度分析云計(jì)算面臨的安全風(fēng)險(xiǎn)來(lái)講 風(fēng)險(xiǎn) 描述 特權(quán)用戶(hù)接 供應(yīng)商的管理員處理敏感信息的風(fēng)險(xiǎn) 可審查性 供應(yīng)商拒絕外部審計(jì)和安全認(rèn)證的風(fēng)險(xiǎn) 數(shù)據(jù)位置 數(shù)據(jù)存儲(chǔ)位置位置的隱私風(fēng)險(xiǎn) 數(shù)據(jù)隔離 共享資源的多租戶(hù)數(shù)據(jù)隔離 數(shù)據(jù)恢復(fù) 供應(yīng)商的數(shù)據(jù)備份和恢復(fù)能力 調(diào)查支持 供應(yīng)商對(duì)不恰當(dāng)或非法行為難以提供取 證支持 長(zhǎng)期生存 服務(wù)穩(wěn)定性、持續(xù)性及其遷移 CSA列出的 7大云計(jì)算安全威脅 CSA發(fā)布的最新版本云計(jì)算關(guān)鍵領(lǐng)域安全 指南 ,主要從攻擊者角度歸納云計(jì)算環(huán)境可能

3、 面臨的主要威脅。 濫用和惡意使用云計(jì)算 不安全的接口和 API 不壞好意的內(nèi)部人員 基礎(chǔ)設(shè)施共享問(wèn)題 數(shù)據(jù)丟失或泄漏 賬戶(hù)或服務(wù)劫持 未知的風(fēng)險(xiǎn) 云計(jì)算面臨的安全風(fēng)險(xiǎn) 云計(jì)算面臨的安全風(fēng)險(xiǎn)可以總結(jié)為如下 3個(gè)方面 1.組織管理中的風(fēng)險(xiǎn) 2.技術(shù)上的風(fēng)險(xiǎn) 3.法律上的風(fēng)險(xiǎn) 組織管理中的風(fēng)險(xiǎn) 鎖定風(fēng)險(xiǎn)： 不能遷移數(shù)據(jù) /服務(wù)到其他云提供商，或本地 失治風(fēng)險(xiǎn)： 提供的服務(wù)不能達(dá)到約定的安全級(jí)別 合規(guī)挑戰(zhàn)： 云提供商不能證明服務(wù)遵從相關(guān)的規(guī)定 多租戶(hù)中惡意行為： 如惡意攻擊使 IP 地址段被阻塞 云服務(wù)終止或

4、故障： 云提供商破產(chǎn)或短期內(nèi)停止服務(wù) 云提供商收購(gòu)： 收購(gòu)使非約束力合約具有風(fēng)險(xiǎn) 供應(yīng)鏈故障： 部分任務(wù)外包給第三方，安全影響 技術(shù)上的風(fēng)險(xiǎn) 資源耗盡 ： 沒(méi)有充足的資源，資源沒(méi)有合理使用 隔離故障 ：存儲(chǔ)、內(nèi)存、路由隔離機(jī)制失效云內(nèi)部 惡意人員 ：內(nèi)部人員對(duì)高級(jí)特權(quán)的濫用 管理接口漏洞 ：遠(yuǎn)程訪(fǎng)問(wèn)和瀏覽器手持設(shè)備缺陷 傳輸中的數(shù)據(jù)截獲 ：更多的數(shù)據(jù)傳輸路徑，以避免嗅 探和回放攻擊等威脅。 數(shù)據(jù)泄露 ：通信加密缺陷或應(yīng)用程序漏洞，數(shù)據(jù)泄露 不安全或無(wú)效的數(shù)據(jù)刪除 ：資源的重新分配，缺乏有 效的數(shù)據(jù)刪除機(jī)制，數(shù)據(jù)丟失或泄露隱私 技術(shù)上的風(fēng)險(xiǎn) DDoS 分布式拒絕服務(wù)攻擊

5、：計(jì)算資源被惡意的使用 EDoS 經(jīng)濟(jì)拒絕服務(wù)攻擊 ：盜用身份，耗盡用戶(hù)的資源、 破壞他人的經(jīng)濟(jì)利益 密鑰丟失 ：安全密鑰（如文件加密密鑰、客戶(hù)私鑰等） 被惡意的第三方獲取 惡意探測(cè)或掃描 ：惡意的探測(cè)或掃描將影響云中的數(shù) 據(jù)和服務(wù) 危害服務(wù)引擎 ：攻擊架構(gòu)中的缺陷，如 IaaS 虛擬機(jī)、 PaaS API、 SaaS 中的應(yīng)用程序缺陷 客戶(hù)程序和云環(huán)境之間沖突： 云提供商和用戶(hù)之間必 須進(jìn)行清晰明確的責(zé)任劃分，用戶(hù)安全措施的不完 善而給整個(gè)云平臺(tái)引入安全風(fēng)險(xiǎn)，云提供商必須解 決多租戶(hù)的不同安全需求 法律上的風(fēng)險(xiǎn) 傳訊和電子發(fā)現(xiàn) ： 由于法律傳訊和民事訴訟等因素 使得物理設(shè)備被沒(méi)

6、收，導(dǎo)致多租戶(hù)中無(wú)辜用戶(hù)存 儲(chǔ)的內(nèi)容遭受強(qiáng)制檢查和泄漏的風(fēng)險(xiǎn) 管轄變更風(fēng)險(xiǎn) ： 數(shù)據(jù)存儲(chǔ)于沒(méi)有法律保障的國(guó)家或 地區(qū)，被非法沒(méi)收并強(qiáng)制公開(kāi) 數(shù)據(jù)保護(hù)風(fēng)險(xiǎn) ： 用戶(hù)不能有效檢查云提供商的數(shù)據(jù) 處理過(guò)程，是否合規(guī)與合法，對(duì)于云供商而言， 則可能接受并存儲(chǔ)用戶(hù)非法收集的數(shù)據(jù)。 許可風(fēng)險(xiǎn) ： 必須制定合理的軟件授權(quán)和檢測(cè)機(jī)制 云安全從云端到云中的可劃分為三個(gè)層次 （ 1） 云端安全性。 包括接入端的瀏覽器安全；接入端的安全管理， 不僅客戶(hù)可以接入，服務(wù)商也能接入；接入端的安全 認(rèn)證等。 （ 2） 應(yīng)用服務(wù)層。 包括可用性（亞馬遜宕機(jī)事件），網(wǎng)絡(luò)攻擊，隱 私安全，虛擬機(jī)環(huán)境

7、下多重任務(wù)處理等。 （ 3） 基礎(chǔ)設(shè)施層。 包括數(shù)據(jù)安全（保密性、隔離性），數(shù)據(jù)位置， 數(shù)據(jù)完整性與可用性，數(shù)據(jù)備份與恢復(fù)，虛擬機(jī)的安 全等。 云計(jì)算面臨的安全威脅 云安全參考模型 云安全防護(hù)策略 云安全解決方案 云安全部署原則 云安全展望 云安全參考模型 現(xiàn)實(shí)中的各種云產(chǎn)品 ,在服務(wù)模型、部署 模型、資源物理位置、管理和所有者屬性等 方面呈現(xiàn)出不同的形態(tài)和消費(fèi)模式 ,從而具有 不同的安全風(fēng)險(xiǎn)特征和安全控制職責(zé)和范圍。 從安全控制的角度建立云計(jì)算的參考模 型 ,描述不同屬性組合的云服務(wù)架構(gòu) ,并實(shí)現(xiàn)云 服務(wù)架構(gòu)到安全架構(gòu)之間的映射 ,

8、為風(fēng)險(xiǎn)識(shí)別、 安全控制和決策提供依據(jù)。 云安全參考模型 云計(jì)算安全體系結(jié)構(gòu) 云計(jì)算安全立方體 云計(jì)算面臨的安全威脅 云安全參考模型 云安全防護(hù)策略 云安全解決方案 云安全部署原則 云安全展望 云安全防護(hù)策略 IaaS安全與對(duì)策 PaaS安全與對(duì)策 SaaS安全與對(duì)策 云計(jì)算通用安全技術(shù)分析 IaaS可能存在如下風(fēng)險(xiǎn) 用戶(hù)的數(shù)據(jù)在云中會(huì)存在泄露的危險(xiǎn) 計(jì)算服務(wù)性能不可靠 遠(yuǎn)程管理認(rèn)證危險(xiǎn) 虛擬化技術(shù)所帶來(lái)的風(fēng)險(xiǎn) 用戶(hù)本身的焦慮 服務(wù)中斷 IaaS安全風(fēng)險(xiǎn)對(duì)應(yīng)方案 客戶(hù)數(shù)據(jù)可控以及數(shù)據(jù)隔離 綜合考慮數(shù)據(jù)中心軟硬件部署 建立

9、安全的遠(yuǎn)程管理機(jī)制 動(dòng)態(tài)密鑰、及時(shí)打安全補(bǔ)丁、使用 VPN或 SSL/TLS或 SSH 不用可重復(fù)使用的用戶(hù)名和密碼、不用 telnet 選擇安全的虛擬化廠(chǎng)商以及成熟的技術(shù) 建立健全 IT行業(yè)法規(guī) 服務(wù)中斷等不可抗拒新因素，采取兩地三 中心備份策略 兩地三中心備份策略 PaaS面臨風(fēng)險(xiǎn) 應(yīng)用配置不當(dāng) 平臺(tái)構(gòu)建漏洞，可用性、完整性差 SSL協(xié)議及部署缺陷 云數(shù)據(jù)中的非安全訪(fǎng)問(wèn)許可 PaaS安全風(fēng)險(xiǎn)對(duì)策 嚴(yán)格參照手冊(cè)進(jìn)行配置 保證補(bǔ)丁能夠及時(shí)得到更新 重新設(shè)計(jì)安全應(yīng)用 SaaS安全與風(fēng)險(xiǎn)分析 數(shù)據(jù)安全 垃圾郵件與

10、病毒 軟件漏洞，版權(quán)問(wèn)題 瀏覽器的安全漏洞 人員管理以及制度管理的缺陷 缺少第三方監(jiān)督認(rèn)證機(jī)制 SaaS安全對(duì)應(yīng)措施 建立可信安全平臺(tái) 數(shù)據(jù)存儲(chǔ)與備份 定期升級(jí)軟件補(bǔ)丁，并關(guān)注版權(quán)信息 對(duì)服務(wù)器跟客戶(hù)端的安全都要重視 選擇可靠的 SaaS提供商 成熟的安全技術(shù)、核心知識(shí)產(chǎn)權(quán)、好的信譽(yù)以及安全資質(zhì) 安全管理 第三方監(jiān)理、安全制度、培訓(xùn) 云計(jì)算中的通用安全防護(hù)策略 建立可信云 安全認(rèn)證 數(shù)據(jù)加密 法律和協(xié)議 云計(jì)算環(huán)境下 DDoS攻擊防范 DDoS攻擊通常分為流量型攻擊和應(yīng)用型攻擊。 由于傳統(tǒng)的

11、DDos攻擊防護(hù)一般采取被動(dòng)模式，而 新型的 DDos一般采取小流量應(yīng)用層攻擊，這種攻擊會(huì) 造成性能的巨大消耗。 對(duì)于僵尸網(wǎng)絡(luò)、木馬、蠕蟲(chóng)的檢測(cè)過(guò)濾，收集不 到其網(wǎng)絡(luò)通信報(bào)文特征也就更難談及檢測(cè)和過(guò)濾。 在云計(jì)算環(huán)境下，出現(xiàn)了兩種新型的云安全技術(shù)， 分別是： 自動(dòng)特征分析 信譽(yù)服務(wù) 云計(jì)算面臨的安全威脅 云安全參考模型 云安全防護(hù)策略 云安全解決方案 云安全部署原則 云安全展望 VMware vShield vSield可以監(jiān)視虛擬數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)流量，強(qiáng) 制其符合公司安全策略，并確保遵從法規(guī)。 IaaS層面 提供保護(hù)，解決數(shù)據(jù)認(rèn)證、

12、信息泄露、虛擬化技術(shù)所 帶來(lái)的風(fēng)險(xiǎn) 監(jiān)視、記錄和阻止主機(jī)內(nèi)部或集群中主機(jī)之間 的虛擬機(jī)間流量， 部署整個(gè)虛擬機(jī)和虛擬網(wǎng)絡(luò)，配置相關(guān)策略。 以確保在整個(gè)虛擬機(jī)生命周期中都備有網(wǎng)絡(luò)安 全策略，為虛擬機(jī)提提供無(wú)中斷的持續(xù)保護(hù)。 按網(wǎng)絡(luò)或應(yīng)用程序協(xié)議對(duì)流量分類(lèi)。 供了流量的負(fù)載均衡功能，可把外部（或公網(wǎng)） IP地址映射到一組內(nèi)部服務(wù)器上。 趨勢(shì)科技虛擬化安全解決方案 趨勢(shì)科技的 Deep Security專(zhuān)為虛擬化環(huán)境 設(shè)計(jì)的惡意軟件防護(hù)解決方案，可在一臺(tái)物理 主機(jī)上可實(shí)現(xiàn)多臺(tái)虛擬主機(jī)的“保護(hù)盾”功能， 在虛擬機(jī)內(nèi)無(wú)需安裝任何軟件，就能繼

13、承虛擬 器底層所提供的安全防護(hù)。 實(shí)現(xiàn)入侵檢測(cè)與防護(hù)、網(wǎng)站應(yīng)用程序防護(hù)、 網(wǎng)絡(luò)應(yīng)用程序控管、狀態(tài)感知防火墻、一致性 監(jiān)控以及日志文件檢查等功能，成為了虛擬化 平臺(tái)強(qiáng)大的防護(hù)盾牌。 趨勢(shì)科技也在 IaaS層面提供防護(hù)，可以和 VMware無(wú)縫對(duì)接。 趨勢(shì)為虛擬化構(gòu)架的安全 物理器只需 安裝一次 ，以 無(wú)代理 形式提供安全防護(hù) VM VM VM 傳統(tǒng)式部署 安全 虛擬機(jī) VM VM VM 無(wú)代理安全 VM 客戶(hù)端部署于 每臺(tái)虛擬機(jī) 基于虛擬器 一次性部署 DeepSecurity的功能 IDS / IPS 應(yīng)用

14、程序防護(hù) 應(yīng)用程序控制 防火墻 深度包檢測(cè) 完整性監(jiān)控 日志審計(jì) 偵測(cè) /阻止基于操作系統(tǒng)漏洞的已知 /零日攻擊 監(jiān)視 /控制本機(jī)應(yīng)用程序 支持所有 IP-based的協(xié)議、提供細(xì)粒度過(guò)濾， 并且可針對(duì)單獨(dú)的網(wǎng)絡(luò)接口 偵測(cè) /阻止針對(duì)目錄 /文件 /鍵值的未授權(quán) /惡意 修改 安全事件增強(qiáng)性審計(jì) 偵測(cè) /阻止基于應(yīng)用程序漏洞的已知 /零日攻擊 無(wú)代理模式防毒 防惡意程序 （需 Vshield Endpoint支持） 底層無(wú)代 理防護(hù) 華為賽門(mén)鐵克解決方案 在云安全方面，華為賽門(mén)鐵克通過(guò)全球部署，知 識(shí)共享，實(shí)時(shí)掌握全球安全威脅變化，實(shí)現(xiàn)全球聯(lián)動(dòng)，

15、以獲得最專(zhuān)業(yè)的安全感知和快速響應(yīng)能力。 可以為博客空間、論壇、社區(qū)、網(wǎng)盤(pán)等 Web2.0應(yīng) 用和企業(yè)郵局等業(yè)務(wù)提供數(shù)據(jù)安全保障，不再需要單 獨(dú)部署病毒網(wǎng)關(guān)類(lèi)設(shè)備，只需要按照其提供的接口調(diào) 用防病毒云的資源能力即可。 華賽的云安全解決方案更多在 PaaS、 SaaS層面 。 殺毒廠(chǎng)商的云安全 用運(yùn)來(lái)保障安全 云安全融合了并行處理、網(wǎng)格計(jì)算、未知病毒行 為判斷等新興技術(shù)和概念，通過(guò)網(wǎng)狀的大量客戶(hù)端對(duì) 網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè)，獲取互聯(lián)網(wǎng)中木馬、惡 意程序的最新信息，傳送到 Server端進(jìn)行自動(dòng)分析和 處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶(hù) 端。 云

16、計(jì)算面臨的安全威脅 云安全參考模型 云安全防護(hù)策略 云安全解決方案 云安全部署原則 云安全展望 云安全部署原則 參照信息安全等級(jí)保護(hù)基本原則：自主保護(hù) 原則、重點(diǎn)保護(hù)原則、同步建設(shè)原則、動(dòng)態(tài)調(diào) 整原則，可制定制定云安全的三大原則： 原則一：全方位多層次綜合防護(hù)原則。 原則二：在安全建設(shè)方面要有適度的原則。 原則三：總體規(guī)劃、分步實(shí)施原則。 安全體系建設(shè)可以分為三個(gè)階段 云計(jì)算面臨的安全威脅 云安全參考模型 云安全防護(hù)策略 云安全解決方案 云安全部署原則 云安全展望 云計(jì)算安全未來(lái)展望 每次信息技術(shù)的重大

17、革新，都將直接影響安全領(lǐng) 域的發(fā)展進(jìn)程，云計(jì)算也是這樣。 IT行業(yè)法律將會(huì)更加健全，云計(jì)算第三方認(rèn)證 機(jī)構(gòu)、行業(yè)約束委員會(huì)等組織有可能出現(xiàn)。 云計(jì)算安全將帶動(dòng)信息安全產(chǎn)業(yè)的跨越式發(fā)展， 進(jìn)入以立體防御、深度防御等為核心的信息安全時(shí)代。 在大規(guī)模網(wǎng)絡(luò)攻擊與防護(hù)、互聯(lián)網(wǎng)安全監(jiān)管等出現(xiàn)重 大創(chuàng)新。 云計(jì)算相關(guān)的信息安全技術(shù)將會(huì)得到發(fā)展 云計(jì)算相關(guān)的信息安全技術(shù)將得到發(fā)展 可信訪(fǎng)問(wèn)控制技術(shù) 加密解密、數(shù)字密鑰技術(shù) 密文檢索與處理技術(shù) 數(shù)據(jù)存在與可用性證明技術(shù) 數(shù)據(jù)隱私防護(hù)技術(shù) 虛擬安全技術(shù) 資源訪(fǎng)問(wèn)控制技術(shù) 可信云計(jì)算技術(shù) 云計(jì)算面臨的安全威脅 云安全參考模型 云安全防護(hù)策略 云安全解決方案 云安全部署原則 云安全展望 謝謝！ 歡迎交流！