云安全技術(shù)概述_第1頁
云安全技術(shù)概述_第2頁
云安全技術(shù)概述_第3頁
云安全技術(shù)概述_第4頁
云安全技術(shù)概述_第5頁
已閱讀5頁,還剩38頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

云安全技術(shù)概述程曉峰課程要點(diǎn)什么是云計(jì)算什么是云安全保護(hù)云計(jì)算的安全性(云計(jì)算安全)安全作為云計(jì)算的一種服務(wù)(安全云)什么是云計(jì)算?天下大勢,合久必分,分久必合,

計(jì)算機(jī)技術(shù)的分合演義早期計(jì)算技術(shù)以合為特征—曲高和寡個(gè)人電腦的發(fā)展使分成為了主流—計(jì)算機(jī)飛入尋常百姓家網(wǎng)絡(luò)技術(shù)的發(fā)展使云計(jì)算成為了合的模式,計(jì)算和存儲通過網(wǎng)絡(luò)隱形于云端—大象無形云:新時(shí)代的曙光云–短期內(nèi)過度宣傳,長期看過于低估計(jì)算成為了一種實(shí)用工具改變一切:商業(yè)模式、風(fēng)險(xiǎn)投資、研究開發(fā)……

什么是云計(jì)算?李德毅院士:云計(jì)算包括信息基礎(chǔ)設(shè)施(硬件、平臺、軟件)以及建立在基礎(chǔ)設(shè)施上的信息服務(wù),提供各類資源的網(wǎng)絡(luò)被稱為“云”,“云”中的資源在使用者看來是可以無限擴(kuò)展的,并且可以隨時(shí)獲取、按需使用、隨時(shí)擴(kuò)展、按使用付費(fèi)什么是云計(jì)算?計(jì)算成為了一種實(shí)用工具:計(jì)算的第三個(gè)時(shí)代來臨云的推動者摩爾定律超速連接服務(wù)導(dǎo)向架構(gòu)供應(yīng)商等級主要特征靈活,按需服務(wù)多租戶計(jì)量服務(wù)云計(jì)算NIST工作定義可視化模式寬帶網(wǎng)絡(luò)快速靈活測量服務(wù)按需自助服務(wù)資源共享軟件即服務(wù)(SaaS)平臺即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)共有私有混合社區(qū)基本特征交付方式配置模式NIST定義五大特征三種服務(wù)模式三種部署模式云計(jì)算五大特征按需自服務(wù)用戶可以在需要時(shí)自動配置計(jì)算能力,例如服務(wù)器時(shí)間和網(wǎng)絡(luò)存儲,根據(jù)需要自動計(jì)算能力,而無需與服務(wù)供應(yīng)商的服務(wù)人員交互。寬帶接入服務(wù)能力通過網(wǎng)絡(luò)提供,支持各種標(biāo)準(zhǔn)接入手段,包括各種瘦或胖客戶端平臺(例如移動電話、筆記本電腦、或PDA),也包括其它傳統(tǒng)的或基于云的服務(wù)。虛擬化的資源“池”提供商的計(jì)算資源匯集到資源池中,使用多租戶模型,按照用戶需要,將不同的物理和虛擬資源動態(tài)地分配或再分配給多個(gè)消費(fèi)者使用。資源的例子包括存儲、處理、內(nèi)存、網(wǎng)絡(luò)帶寬以及虛擬機(jī)等。即使是私有的“云”往往也趨向?qū)①Y源虛擬“池”化來為組織的不同部門提供服務(wù)??焖購椥约軜?gòu)服務(wù)能力可以快速、彈性地供應(yīng)–在某些情況下自動地–實(shí)現(xiàn)快速擴(kuò)容、快速上線。對于用戶來說,可供應(yīng)的服務(wù)能力近乎無限,可以隨時(shí)按需購買??蓽y量的服務(wù)云系統(tǒng)之所以能夠自動控制優(yōu)化某種服務(wù)的資源使用,是因?yàn)槔昧私?jīng)過某種程度抽象的測量能力(例如存儲、處理、帶寬或者活動用戶賬號等)。人們可以監(jiān)視、控制資源使用、并產(chǎn)生報(bào)表,報(bào)表可以對提供商和用戶雙方都提供透明。云計(jì)算三種服務(wù)模式四種部署模式云計(jì)算核心原則云計(jì)算Gartner圖什么是云安全?云安全的不同研究方向云計(jì)算安全安全云保護(hù)云計(jì)算本身的安全——云計(jì)算安全“也許我們起名叫‘云計(jì)算’本身就是一個(gè)失誤,因?yàn)檫@名字很容易讓人感覺有趣和安全。但事實(shí)上,網(wǎng)絡(luò)中充滿了威脅和險(xiǎn)惡,如果我們當(dāng)初把它叫做‘沼澤計(jì)算(swampcomputing)’或許更能夠讓人們對它有一個(gè)正確的認(rèn)識?!痹疲踩??沼澤計(jì)算?RonaldL.RivestRSA算法設(shè)計(jì)者云計(jì)算架構(gòu)的安全問題云計(jì)算面臨的安全威脅Threat#1:AbuseandNefariousUseofCloudComputing云計(jì)算的濫用、惡用、拒絕服務(wù)攻擊Threat#2:InsecureInterfacesandAPIs不安全的接口和APIThreat#3:MaliciousInsiders惡意的內(nèi)部員工Threat#4:SharedTechnologyIssues共享技術(shù)產(chǎn)生的問題Threat#5:DataLossorLeakage數(shù)據(jù)泄漏Threat#6:AccountorServiceHijacking賬號和服務(wù)劫持Threat#7:UnknownRiskProfile未知的風(fēng)險(xiǎn)場景惡意使用說明攻擊者使用云的理由與合法消費(fèi)者相同——低成本進(jìn)行巨量處理影響密碼破解、DDoS、惡意存取、垃圾郵件、c&c服務(wù)器、CAPTCHA破解等舉例現(xiàn)在在中搜索MalwareDomainL,可獲得21個(gè)結(jié)果“過去三年中,ScanSafe記錄了與amazonaws相關(guān)的80個(gè)惡意事件”–ScanSafe博客Amazon的EC2出現(xiàn)了垃圾郵件和惡意軟件的問題-Slashdot數(shù)據(jù)丟失/數(shù)據(jù)泄漏說明由于不合適的訪問控制或弱加密造成數(shù)據(jù)破解因?yàn)槎嘧鈶艚Y(jié)構(gòu),不夠安全的數(shù)據(jù)風(fēng)險(xiǎn)較高影響數(shù)據(jù)完整性和保密性舉例喂,別碰我的云:可以查詢第三方電腦云中的數(shù)據(jù)泄漏(UCSD/MIT)研究詳細(xì)技術(shù),確保圖像位于相同的物理硬件中,然后利用跨虛擬機(jī)攻擊檢查數(shù)據(jù)泄漏惡意業(yè)內(nèi)人士說明云供應(yīng)商的員工可能濫用權(quán)力訪問客戶數(shù)據(jù)/功能減少內(nèi)部進(jìn)程的可見性可能會妨礙探測這種違法行為影響數(shù)據(jù)保密性和完整性名譽(yù)損失法律后果舉例根據(jù)Verizon的2010數(shù)據(jù)泄漏調(diào)查報(bào)告,48%的數(shù)據(jù)泄漏是業(yè)內(nèi)人士造成的。在云計(jì)算環(huán)境下的情況可能更加嚴(yán)重。流量攔截或劫持說明對客戶或云進(jìn)行流量攔截和/或改道發(fā)送偷取憑證以竊取或控制賬戶信息/服務(wù)影響數(shù)據(jù)保密性和完整性聲譽(yù)影響資源惡意使用造成的后果(法律)舉例推特DNS賬戶盜用ZeusbotnetC&C在AmazonEC2上的賬戶被盜用共享技術(shù)潛在風(fēng)險(xiǎn)說明公共的硬件、運(yùn)行系統(tǒng)、中間件、應(yīng)用棧和網(wǎng)絡(luò)組件可能有著潛在風(fēng)險(xiǎn)影響成功使用可能影響多個(gè)用戶舉例Cloudburst-KostyaKortchinksy(Blackhat2009)在虛擬PCI顯示卡VmwareSVGAII設(shè)備中確認(rèn)的任意代碼執(zhí)行的潛在風(fēng)險(xiǎn)VMwareWorkstation、VMwarePlayer、VMwareServer和VMwareESX中的脆弱部件不安全的API說明API用于允許功能和數(shù)據(jù)訪問,但其可能存在潛在風(fēng)險(xiǎn)或不當(dāng)使用,讓程序受到攻擊影響數(shù)據(jù)保密性和完整性拒絕服務(wù)舉例P0wning可編程網(wǎng)絡(luò)(Websense–AusCERT2009_80%的測試應(yīng)用程序沒有使用API中的安全保護(hù)(例如不加密流量和基本驗(yàn)證)經(jīng)驗(yàn)證的CSRF、MITM和數(shù)據(jù)泄漏攻擊未知風(fēng)險(xiǎn)預(yù)測說明對安全控制的不確定性可能讓顧客陷入不必要的風(fēng)險(xiǎn)。影響可能因?yàn)樵朴脩魶]有相關(guān)知識,造成重大的數(shù)據(jù)外泄。舉例Heartland支付系統(tǒng)“只愿意做最小的工作量并符合國家法律,而不會通知每一位客戶他們的數(shù)據(jù)是否被盜取?!?article/158038/heartland_has_no_heart_for_violated_customers.html云計(jì)算調(diào)查云安全指南D1:云計(jì)算架構(gòu)框架D2:IT治理和企業(yè)風(fēng)險(xiǎn)管理D3:法律和電子發(fā)現(xiàn)D4:合規(guī)性和審計(jì)D5:信息生命周期管理D6:可攜帶性和可交互性D7:傳統(tǒng)安全、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)D8:數(shù)據(jù)中心運(yùn)行D9:事件響應(yīng)、通告和補(bǔ)救D10:應(yīng)用安全D11:加密和密鑰管理D12:身份和訪問管理D13:虛擬化云計(jì)算的安全管理最佳實(shí)踐云計(jì)算的安全管控1.云計(jì)算遷移前理清相關(guān)合同、SLA和架構(gòu)是保護(hù)云的最好時(shí)機(jī)2.了解云提供商的“供應(yīng)商”、BCM/DR、財(cái)務(wù)狀況以及雇員審查等3.盡可能識別數(shù)據(jù)的物理位置4.計(jì)劃好供應(yīng)商終止和資產(chǎn)清退5.保留審計(jì)權(quán)利6.對再投資引起的成本節(jié)省謹(jǐn)慎注意云計(jì)算的安全管理最佳實(shí)踐云計(jì)算的安全運(yùn)行1.能加密則加密之,獨(dú)立保管好密鑰2.適應(yīng)安全軟件開發(fā)生命周期的環(huán)境要求3.理解云提供商的補(bǔ)丁和配置管理、安全保護(hù)等措施4.記錄、數(shù)據(jù)滲漏和細(xì)粒化的客戶隔離5.安全加固虛擬機(jī)鏡像6.評估云提供商的IdM集成,例如SAML,OpenID等CSA安全指南框架云計(jì)算安全的7個(gè)推薦[DoS]對抗各種形式的拒絕服務(wù)攻擊的能力–D7/D8/D9[SLA]清晰、細(xì)化、合同化的安全SLA–D2/D7/D8[IAM]完備的身份和訪問控制管理–D12/D13[SVM]全面及時(shí)的漏洞掃描和修補(bǔ)–D4/D10/D13[Data]透明和明確定義的數(shù)據(jù)安全–D5/D6/D11[Audit]完備的電子證據(jù)和審計(jì)系統(tǒng)–D3/D4[SDL]應(yīng)用生命周期的安全和供應(yīng)商安全管理–D10/D11云計(jì)算平臺安全框架建議安全作為云計(jì)算的一種服務(wù)——安全云安全防御技術(shù)發(fā)展歷程特洛伊威脅格局

的發(fā)展安全防御技術(shù)的發(fā)展混合威脅網(wǎng)絡(luò)釣魚間諜軟件僵尸腳本病毒電子郵件蠕蟲服務(wù)器收集病毒信息安全產(chǎn)品聯(lián)動防火墻擴(kuò)大已知病毒庫宏病毒網(wǎng)絡(luò)蠕蟲垃圾郵件Rootkits利益驅(qū)動計(jì)算機(jī)病毒文件傳染者防病毒形成互聯(lián)網(wǎng)范圍病毒庫魔高一尺,道高一丈!網(wǎng)絡(luò)威脅數(shù)量增長圖防病毒軟件防護(hù)真空期實(shí)際數(shù)據(jù)圖表可以更清楚地表現(xiàn)網(wǎng)絡(luò)戰(zhàn)爭的愈演愈烈。在安全中檢測最適合做成云模式381.用戶收到黑客的垃圾郵件2.點(diǎn)擊鏈接4.發(fā)送信息/下載病毒W(wǎng)ebWebWebWebWeb對客戶所訪問的網(wǎng)頁進(jìn)行安全評估–阻止對高風(fēng)險(xiǎn)網(wǎng)頁的訪問3.下載惡意軟件云安全39云安全的客戶價(jià)值偵測到威脅防護(hù)更新應(yīng)用防護(hù)偵測到威脅病毒代碼更新病毒代碼部署傳統(tǒng)代碼比對技術(shù)云安全技術(shù)獲得防護(hù)所需時(shí)間(小時(shí))降低防護(hù)所需時(shí)間:

更快的防護(hù)=

更低的風(fēng)險(xiǎn)+更低的花費(fèi)更低的帶寬占用更小的內(nèi)存占用BandwidthConsumption(kb/day)Conventional

AntivirusCloud-client

ArchitectureMemoryUsage(MB)Conventional

AntivirusCloud-client

Architecture云安全優(yōu)勢12研究方向更加明確分析“云安全”的數(shù)據(jù),可以全面精確的掌握“安全威脅”動向。分析模式的改變“云安全”的出現(xiàn),使原始的傳統(tǒng)病毒分析處理方式,轉(zhuǎn)變?yōu)椤霸?/p>

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論