云計算安全策略

云計算安全策略

2021/5/91云計算面臨的安全威脅云安全參考模型云安全防護(hù)策略云安全解決方案云安全部署原則云安全展望2021/5/92云計算安全

云計算的發(fā)展，引入了新的話題與煩惱，安全問題一直是阻止人們和企業(yè)進(jìn)入云計算應(yīng)用的主要因素。Amazon和Google都因為安全問題蒙受巨大損失云計算作為多種傳統(tǒng)技術(shù)(如并行計算、分布式計算、網(wǎng)格計算、虛擬化、效用計算等)的綜合應(yīng)用、發(fā)展與服務(wù)模式轉(zhuǎn)變的結(jié)果,信息安全的基本屬性與安全需求不變,涉及信息資產(chǎn)、安全威脅、保護(hù)措施等的信息保障安全觀不變。

2021/5/93Gartner列出的云計算7大安全風(fēng)險從供應(yīng)商的安全能力角度分析云計算面臨的安全風(fēng)險來講風(fēng)險描述特權(quán)用戶接供應(yīng)商的管理員處理敏感信息的風(fēng)險可審查性供應(yīng)商拒絕外部審計和安全認(rèn)證的風(fēng)險數(shù)據(jù)位置數(shù)據(jù)存儲位置位置的隱私風(fēng)險數(shù)據(jù)隔離共享資源的多租戶數(shù)據(jù)隔離數(shù)據(jù)恢復(fù)供應(yīng)商的數(shù)據(jù)備份和恢復(fù)能力調(diào)查支持供應(yīng)商對不恰當(dāng)或非法行為難以提供取證支持長期生存服務(wù)穩(wěn)定性、持續(xù)性及其遷移2021/5/94CSA列出的7大云計算安全威脅

CSA發(fā)布的最新版本《云計算關(guān)鍵領(lǐng)域安全指南》,主要從攻擊者角度歸納云計算環(huán)境可能面臨的主要威脅。濫用和惡意使用云計算不安全的接口和API不壞好意的內(nèi)部人員基礎(chǔ)設(shè)施共享問題數(shù)據(jù)丟失或泄漏賬戶或服務(wù)劫持未知的風(fēng)險2021/5/95云計算面臨的安全風(fēng)險云計算面臨的安全風(fēng)險可以總結(jié)為如下3個方面1.組織管理中的風(fēng)險2.技術(shù)上的風(fēng)險3.法律上的風(fēng)險2021/5/96組織管理中的風(fēng)險鎖定風(fēng)險：不能遷移數(shù)據(jù)/服務(wù)到其他云提供商，或本地失治風(fēng)險：提供的服務(wù)不能達(dá)到約定的安全級別合規(guī)挑戰(zhàn)：云提供商不能證明服務(wù)遵從相關(guān)的規(guī)定多租戶中惡意行為：如惡意攻擊使IP地址段被阻塞云服務(wù)終止或故障：云提供商破產(chǎn)或短期內(nèi)停止服務(wù)云提供商收購：收購使非約束力合約具有風(fēng)險供應(yīng)鏈故障：部分任務(wù)外包給第三方，安全影響2021/5/97技術(shù)上的風(fēng)險資源耗盡：沒有充足的資源，資源沒有合理使用隔離故障：存儲、內(nèi)存、路由隔離機(jī)制失效云內(nèi)部惡意人員：內(nèi)部人員對高級特權(quán)的濫用管理接口漏洞：遠(yuǎn)程訪問和瀏覽器手持設(shè)備缺陷傳輸中的數(shù)據(jù)截獲：更多的數(shù)據(jù)傳輸路徑，以避免嗅探和回放攻擊等威脅。數(shù)據(jù)泄露：通信加密缺陷或應(yīng)用程序漏洞，數(shù)據(jù)泄露不安全或無效的數(shù)據(jù)刪除：資源的重新分配，缺乏有效的數(shù)據(jù)刪除機(jī)制，數(shù)據(jù)丟失或泄露隱私2021/5/98技術(shù)上的風(fēng)險DDoS分布式拒絕服務(wù)攻擊：計算資源被惡意的使用EDoS經(jīng)濟(jì)拒絕服務(wù)攻擊：盜用身份，耗盡用戶的資源、破壞他人的經(jīng)濟(jì)利益密鑰丟失：安全密鑰（如文件加密密鑰、客戶私鑰等）被惡意的第三方獲取惡意探測或掃描：惡意的探測或掃描將影響云中的數(shù)據(jù)和服務(wù)危害服務(wù)引擎：攻擊架構(gòu)中的缺陷，如IaaS虛擬機(jī)、PaaSAPI、SaaS中的應(yīng)用程序缺陷客戶程序和云環(huán)境之間沖突：云提供商和用戶之間必須進(jìn)行清晰明確的責(zé)任劃分，用戶安全措施的不完善而給整個云平臺引入安全風(fēng)險，云提供商必須解決多租戶的不同安全需求2021/5/99法律上的風(fēng)險傳訊和電子發(fā)現(xiàn)：由于法律傳訊和民事訴訟等因素使得物理設(shè)備被沒收，導(dǎo)致多租戶中無辜用戶存儲的內(nèi)容遭受強制檢查和泄漏的風(fēng)險管轄變更風(fēng)險：數(shù)據(jù)存儲于沒有法律保障的國家或地區(qū)，被非法沒收并強制公開數(shù)據(jù)保護(hù)風(fēng)險：用戶不能有效檢查云提供商的數(shù)據(jù)處理過程，是否合規(guī)與合法，對于云供商而言，則可能接受并存儲用戶非法收集的數(shù)據(jù)。許可風(fēng)險：必須制定合理的軟件授權(quán)和檢測機(jī)制2021/5/910云安全從云端到云中的可劃分為三個層次（1）云端安全性。包括接入端的瀏覽器安全；接入端的安全管理，不僅客戶可以接入，服務(wù)商也能接入；接入端的安全認(rèn)證等。（2）應(yīng)用服務(wù)層。包括可用性（亞馬遜宕機(jī)事件），網(wǎng)絡(luò)攻擊，隱私安全，虛擬機(jī)環(huán)境下多重任務(wù)處理等。（3）基礎(chǔ)設(shè)施層。包括數(shù)據(jù)安全（保密性、隔離性），數(shù)據(jù)位置，數(shù)據(jù)完整性與可用性，數(shù)據(jù)備份與恢復(fù)，虛擬機(jī)的安全等。2021/5/911云計算面臨的安全威脅云安全參考模型云安全防護(hù)策略云安全解決方案云安全部署原則云安全展望2021/5/912

云安全參考模型

現(xiàn)實中的各種云產(chǎn)品,在服務(wù)模型、部署模型、資源物理位置、管理和所有者屬性等方面呈現(xiàn)出不同的形態(tài)和消費模式,從而具有不同的安全風(fēng)險特征和安全控制職責(zé)和范圍。從安全控制的角度建立云計算的參考模型,描述不同屬性組合的云服務(wù)架構(gòu),并實現(xiàn)云服務(wù)架構(gòu)到安全架構(gòu)之間的映射,為風(fēng)險識別、安全控制和決策提供依據(jù)。2021/5/913云安全參考模型2021/5/914云計算安全體系結(jié)構(gòu)2021/5/915云計算安全立方體2021/5/916云計算面臨的安全威脅云安全參考模型云安全防護(hù)策略云安全解決方案云安全部署原則云安全展望2021/5/917云安全防護(hù)策略IaaS安全與對策PaaS安全與對策SaaS安全與對策云計算通用安全技術(shù)分析2021/5/918IaaS可能存在如下風(fēng)險用戶的數(shù)據(jù)在云中會存在泄露的危險計算服務(wù)性能不可靠遠(yuǎn)程管理認(rèn)證危險虛擬化技術(shù)所帶來的風(fēng)險用戶本身的焦慮服務(wù)中斷2021/5/919IaaS安全風(fēng)險對應(yīng)方案客戶數(shù)據(jù)可控以及數(shù)據(jù)隔離綜合考慮數(shù)據(jù)中心軟硬件部署建立安全的遠(yuǎn)程管理機(jī)制

動態(tài)密鑰、及時打安全補丁、使用VPN或SSL/TLS或SSH不用可重復(fù)使用的用戶名和密碼、不用telnet選擇安全的虛擬化廠商以及成熟的技術(shù)建立健全I(xiàn)T行業(yè)法規(guī)服務(wù)中斷等不可抗拒新因素，采取兩地三中心備份策略2021/5/920兩地三中心備份策略2021/5/921

PaaS面臨風(fēng)險

應(yīng)用配置不當(dāng)平臺構(gòu)建漏洞，可用性、完整性差SSL協(xié)議及部署缺陷云數(shù)據(jù)中的非安全訪問許可2021/5/922

PaaS安全風(fēng)險對策

嚴(yán)格參照手冊進(jìn)行配置保證補丁能夠及時得到更新重新設(shè)計安全應(yīng)用2021/5/923SaaS安全與風(fēng)險分析

數(shù)據(jù)安全垃圾郵件與病毒軟件漏洞，版權(quán)問題瀏覽器的安全漏洞人員管理以及制度管理的缺陷缺少第三方監(jiān)督認(rèn)證機(jī)制2021/5/924SaaS安全對應(yīng)措施

建立可信安全平臺數(shù)據(jù)存儲與備份定期升級軟件補丁，并關(guān)注版權(quán)信息對服務(wù)器跟客戶端的安全都要重視選擇可靠的SaaS提供商

成熟的安全技術(shù)、核心知識產(chǎn)權(quán)、好的信譽以及安全資質(zhì)安全管理

第三方監(jiān)理、安全制度、培訓(xùn)2021/5/925云計算中的通用安全防護(hù)策略建立可信云安全認(rèn)證數(shù)據(jù)加密法律和協(xié)議2021/5/926云計算環(huán)境下DDoS攻擊防范

DDoS攻擊通常分為流量型攻擊和應(yīng)用型攻擊。由于傳統(tǒng)的DDos攻擊防護(hù)一般采取被動模式，而新型的DDos一般采取小流量應(yīng)用層攻擊，這種攻擊會造成性能的巨大消耗。對于僵尸網(wǎng)絡(luò)、木馬、蠕蟲的檢測過濾，收集不到其網(wǎng)絡(luò)通信報文特征也就更難談及檢測和過濾。在云計算環(huán)境下，出現(xiàn)了兩種新型的云安全技術(shù)，分別是：

①自動特征分析

②信譽服務(wù)2021/5/927云計算面臨的安全威脅云安全參考模型云安全防護(hù)策略云安全解決方案云安全部署原則云安全展望2021/5/928VMwarevShield

vSield可以監(jiān)視虛擬數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)流量，強制其符合公司安全策略，并確保遵從法規(guī)。IaaS層面提供保護(hù)，解決數(shù)據(jù)認(rèn)證、信息泄露、虛擬化技術(shù)所帶來的風(fēng)險

①監(jiān)視、記錄和阻止主機(jī)內(nèi)部或集群中主機(jī)之間的虛擬機(jī)間流量，②部署整個虛擬機(jī)和虛擬網(wǎng)絡(luò)，配置相關(guān)策略。③以確保在整個虛擬機(jī)生命周期中都備有網(wǎng)絡(luò)安全策略，為虛擬機(jī)提提供無中斷的持續(xù)保護(hù)。④按網(wǎng)絡(luò)或應(yīng)用程序協(xié)議對流量分類。⑤供了流量的負(fù)載均衡功能，可把外部（或公網(wǎng)）IP地址映射到一組內(nèi)部服務(wù)器上。

2021/5/929趨勢科技虛擬化安全解決方案

趨勢科技的DeepSecurity專為虛擬化環(huán)境設(shè)計的惡意軟件防護(hù)解決方案，可在一臺物理主機(jī)上可實現(xiàn)多臺虛擬主機(jī)的“保護(hù)盾”功能，在虛擬機(jī)內(nèi)無需安裝任何軟件，就能繼承虛擬器底層所提供的安全防護(hù)。實現(xiàn)入侵檢測與防護(hù)、網(wǎng)站應(yīng)用程序防護(hù)、網(wǎng)絡(luò)應(yīng)用程序控管、狀態(tài)感知防火墻、一致性監(jiān)控以及日志文件檢查等功能，成為了虛擬化平臺強大的防護(hù)盾牌。趨勢科技也在IaaS層面提供防護(hù)，可以和VMware無縫對接。

2021/5/930

趨勢為虛擬化構(gòu)架的安全物理器只需安裝一次，以無代理形式提供安全防護(hù)VMVMVM傳統(tǒng)式部署安全虛擬機(jī)VMVMVM無代理安全VM客戶端部署于每臺虛擬機(jī)基于虛擬器一次性部署2021/5/931DeepSecurity的功能IDS/IPS應(yīng)用程序防護(hù)應(yīng)用程序控制防火墻深度包檢測完整性監(jiān)控日志審計偵測/阻止基于操作系統(tǒng)漏洞的已知/零日攻擊監(jiān)視/控制本機(jī)應(yīng)用程序支持所有IP-based的協(xié)議、提供細(xì)粒度過濾，并且可針對單獨的網(wǎng)絡(luò)接口偵測/阻止針對目錄/文件/鍵值的未授權(quán)/惡意修改安全事件增強性審計偵測/阻止基于應(yīng)用程序漏洞的已知/零日攻擊無代理模式防毒防惡意程序（需VshieldEndpoint支持）底層無代理防護(hù)2021/5/932華為賽門鐵克解決方案

在云安全方面，華為賽門鐵克通過全球部署，知識共享，實時掌握全球安全威脅變化，實現(xiàn)全球聯(lián)動，以獲得最專業(yè)的安全感知和快速響應(yīng)能力。可以為博客空間、論壇、社區(qū)、網(wǎng)盤等Web2.0應(yīng)用和企業(yè)郵局等業(yè)務(wù)提供數(shù)據(jù)安全保障，不再需要單獨部署病毒網(wǎng)關(guān)類設(shè)備，只需要按照其提供的接口調(diào)用防病毒云的資源能力即可。華賽的云安全解決方案更多在PaaS、SaaS層面。2021/5/933殺毒廠商的云安全

用運來保障安全云安全融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到Server端進(jìn)行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。2021/5/9342021/5/935云計算面臨的安全威脅云安全參考模型云安全防護(hù)策略云安全解決方案云安全部署原則云安全展望2021/5/936云安全部署原則

參照信息安全等級保護(hù)基本原則：自主保護(hù)原則、重點保護(hù)原則、同步建設(shè)原則、動態(tài)調(diào)整原則，可制定制定云安全的三大原則：原則一：全方位多層次綜合防護(hù)原則。

原則二：在安全建設(shè)方面要有適度的原則。

原則三：總體規(guī)劃、分步實施原則。2021/5/937安全體系建設(shè)可以分為三個階段2021/5/938云計算面臨的安全威脅云安全參考模型云安全防護(hù)策略云安全解決方案云安全部署原則云安全展望2021/5/939云計算安全未來展望

每次信息技術(shù)的重大革新，都將直接影響安全領(lǐng)域的發(fā)展進(jìn)程，云計算也是這樣。

①

IT行業(yè)法律將會更加健全，云計算第三方認(rèn)證機(jī)構(gòu)、行業(yè)約束委員會等組織有可能出現(xiàn)。

②云計算安全將帶動信息安全產(chǎn)業(yè)