Chap云安全PPT课件.ppt

第6章云安全 课时数 8课时 云计算技术与应用基础 主要内容 一 云安全概述 一 云安全内涵 云安全 Cloudsecurity 是继 云计算 云存储 之后出现的 云 技术的重要应用 是传统IT领域安全概念在云计算时代的延伸 云安全通常包括两个方面的内涵 一是云计算安全 即通过相关安全技术 形成安全解决方案 以保护云计算系统本身的安全 二是安全云 特指网络安全厂商构建的提供安全服务的云 让安全成为云计算的一种服务形式 一 云安全概述 一 云安全内涵 从云计算安全的内涵角度来说 云安全 是网络时代信息安全的最新体现 云安全是指基于云计算商业模式应用 融合了并行处理 网格计算和未知病毒行为判断等新兴技术的安全软件 安全硬件和安全云平台等的总称 从安全云的内涵角度来说 安全 也将逐步成为 云计算 的一种服式形式 主要体现为网络安全厂商基于云平台向用户提供各类安全服务 2008年5月 趋势科技在美国正式推出了 云安全 技术 这是国内最早提出 云安全 的概念 一 云安全概述 二 云安全VS传统安全 统安全与云安全 一 云安全概述 二 云安全VS传统安全 传统安全和云安全相同之处如下 1 目标相同 都是为了保护信息 数据的安全和完整 2 保护对象相同 均为系统中的用户 计算 网络 存储资源等 3 技术类似 包括加解密技术 安全检测技术等 一 云安全概述 三 云计算主要威胁 2010年 云计算当时面临的七大威胁 云安全重点风险域 Threat1 AbuseandNefariousUseofCloudComputing 云计算的滥用 拒绝服务攻击 Threat2 InsecureInterfacesandAPIs 不安全的API Threat3 MaliciousInsiders 内部人员的恶意操作 Threat4 SharedTechnologyIssues 共享技术漏洞 Threat5 DataLossorLeakage 数据丢失 泄露 Threat6 AccountorServiceHijacking 账号 服务和通信劫持 Threat7 UnknownRiskProfile 未知的风险场景 一 云安全概述 数据泄露数据丢失账户劫持不安全的API拒绝服务攻击内部人员的恶意操云计算服务的滥用云服务规划不合理共享技术漏洞 2013年云计算面临的九大安全威胁 2013年 CSA提出了 2013年云计算的九大威胁 三 云计算主要威胁 一 云安全概述 2016年 CSA列出2016年 十二大云安全威胁 威胁No 1 数据泄露威胁No 2 凭证被盗和身份验证如同虚设威胁No 3 界面和API被黑威胁No 4 系统漏洞利用威胁No 5 账户劫持威胁No 6 恶意内部人士威胁No 7 APT 高级持续性威胁 寄生虫威胁No 8 永久的数据丢失威胁No 9 调查不足威胁No 10 云服务滥用威胁No 11 拒绝服务 DoS 攻击威胁No 12 共享技术 共享危险 三 云计算主要威胁 一 云安全概述 云计算安全面临的挑战主要来源于技术 管理和法律风险3个方面 数据集中 聚集的用户 应用和数据资源更方便黑客发动集中的攻击 防护机制 传统基于物理安全边界的防护机制在云计算的环境难以得到有效的应用 业务模式 基于云的业务模式给数据安全的保护提出了更高的要求 系统复杂 云计算的系统非常大 发生故障的时候要进行快速定位的挑战也很大 开放接口 云计算的开放性对接口安全提出了新的要求 管理方面 云计算数据的管理权和所有权是分离的 法律方面 云信息安全监管 隐私保护等方面可能存在法律风险 三 云计算主要威胁 二 云安全体系架构 计算安全参考模型 云安全联盟 一 云计算安全参考模型 二 云安全体系架构 云计算安全参考模型描述了合规模型 安全控制模型和云模型之间的关系 也详细地描述了云模型中IaaS PaaS和SaaS之间的关系 IaaS涵盖了从机房设备到硬件平台等所有的基础设施资源层面 PaaS位于IaaS之上 增加了一个层面用以与应用开发 中间件能力以及数据库 消息和队列等功能集成 SaaS位于底层的IaaS和PaaS之上 能够提供独立的运行环境 用以交付完整的用户体验 包括内容 展现 应用和管理能力 一 云计算安全参考模型 二 云安全体系架构 某厂商提出的一种典型的云安全架构 二 云计算安全模型 二 云安全体系架构 云安全架构描述 1 二 云计算安全模型 二 云安全体系架构 云安全架构描述 2 二 云计算安全模型 三 云安全主要内容 云安全包含的内容与技术非常广泛 既包括传统的安全内容和技术 也包括云计算架构下的新型的安全内容和技术 本小节主要对云计算安全领域中的数据安全 应用安全和虚拟化安全等内容和技术进行介绍 一 云安全主要内容和技术 云安全主要内容和技术 三 云安全主要内容 云计算服务模式下的数据安全包括数据传输安全 数据隔离和数据残留等 二 数据安全 1 数据传输安全 采用加密数据和使用非安全传输协议的方法也可以达到保密的目的 但无法保证数据的完整性 2 数据隔离 加密磁盘上的数据或生产数据库中的数据 静止的数据 很重要 3 数据残留 数据残留是数据在被以某种形式擦除后所残留的物理表现 存储介质被擦除后可能留有一些物理特性使数据能够被重建 三 云安全主要内容 三 应用安全 1 终端用户安全 对于使用云服务的用户 应该保证自己计算机的安全 2 SaaS应用安全 SaaS提供商应最大限度地确保提供给用户的应用程序和组件的安全 用户通常只需负责操作层的安全功能 包括用户和访问管理 3 PaaS应用安全 PaaS应用安全包含两个层次 PaaS平台自身的安全和用户部署在PaaS平台上应用的安全 4 IaaS应用安全 IaaS提供商对IaaS平台提供安全 用户对自身应用进行安全防护 三 云安全主要内容 四 虚拟化安全 1 虚拟化软件安全 必须严格限制任何未经授权的用户访问虚拟化软件层 云服务提供商应建立必要的安全控制措施 限制对于Hypervisor和其他形式的虚拟化层次的物理和逻辑访问控制 2 虚拟服务器安全 虚拟服务器位于虚拟化软件之上 传统的对于物理服务器的安全原理与实践也可以被运用到虚拟服务器上 当然也需要兼顾虚拟服务器的特点 虚拟服务器安全涉及物理机选择 虚拟服务器安全和日常管理3方面 四 安全即服务 SECaaS 一 SECaaS概述 安全即服务 SecurityasaService SECaaS 是一个用于安全管理的外包模式 通常情况下 SECaaS包括通过互联网发布的应用软件 如反病毒软件 基于互联网的安全 有时称为云安全 产品是SaaS的一部分 云安全的讨论主要集中在如何迁移到云平台 如何在使用云时维持机密性 完整性 可用性和地理位置 而SECaaS则从通过基于云的服务来保护云中的 传统企业网络中的及两者混合环境中的系统和数据 托管的垃圾邮件和病毒过滤就是SECaaS的一个例子 四 安全即服务 SECaaS 一 SECaaS概述 绿盟MSSforADS示意图 四 安全即服务 SECaaS 二 SECaaS优势 1 人员力量增强 劳动力是安全计划中最繁忙的 SECaaS可以在很多不同用户间分摊成本 从而降低单位成本 2 提供先进的安全工具 一方面 可以通过云服务对免费的开源工具进行安装和维护以减少安全风险 另一方面 可以通过云计算规模经济获得先进的安全工具 3 提供专业技术知识 SECaaS让企业可以利用各类专家和资源的优势 使得内部安全人员不用过多关注技术细节 而更多地关注如何战略性地管理企业的信息安全风险 4 将信息安全定位为业务推动力 四 安全即服务 SECaaS 二 SECaaS优势 5 身份管理 SECaaS产品可以加快账户管理过程 并提供单点登录功能 6 虚拟机管理 基于云计算的配置管理系统需要能够跨多个云服务供应商和内部数据中心提供这种功能 7 网络层保护 一些SECaaS解决方案通过利用大量带宽和智能协议路由 来提供针对DoS攻击的保护 这些服务还可以将Web服务器隐藏在其前端服务器后 防止遭受路过式攻击 其他基于云计算的安全包括PCIDSS 数据标记化 Web应用防火墙以及隐藏DNS服务器 四 安全即服务 SECaaS 三 SECaaS应用领域 1 身份 授权和访问管理服务2 数据泄露防护 DLP 3 Web安全4 Email安全5 安全评估6 入侵检测 防护 IDS IPS 7 安全信息和事件管理 SIEM 8 加密9 业务连续性和灾难恢复10 网络安全 五 长城网际云安全解决方案 一 中电长城网际简介 中电长城网际系统应用有限公司成立于2012年7月 是中国电子信息产业集团有限公司 CEC 控股的高科技国有企业 以服务国家基础信息网络和重要信息系统安全为使命 以面向国家重要信息系统的高端咨询和安全服务业务为主线 为用户提供信息安全的全方位的解决方案和相关服务 五 长城网际云安全解决方案 二 云安全解决方案 长城网际云安全套件整体架构 五 长城网际云安全解决方案 网际云安全套件主要功能 二 云安全解决方案 五 长城网际云安全解决方案 网际云安全套件虚拟化安全 二 云安全解决方案 五 长城网际云安全解决方案 终端可信接入模式 二 云安全解决方案 五 长城网际云安全解决方案 安全套件产品部署示意图 二 云安全解决方案 蓝盾信息安全技术股份有限公司是中国信息安全行业领先的专业网络安全企业和服务提供商 秉承 让你的安全更智慧 的理念 立足自主研发 专注信息安全市场 为用户提供安全产品 安全服务 安全集成 安全培训等多项综合性网络安全业务 打造国际一流的信息安全企业 六 蓝盾云安全解决方案 一 蓝盾信息安全技术股份有限公司简介 六 蓝盾云安全解决方案 二 蓝盾网站安全云平台 蓝盾网站安全云平台管理中心架构图 1 云平台安全节点 负责分发网站内容 检测用户提交的访问请求 扫描网站Web漏洞等 2 管理中心 由云平台的管理员所控制 负责节点之间的通信调度 提供Web应用 同时保存网站的功能配置文件及各类日志数据 六 蓝盾云安全解决方案 二 蓝盾网站安全云平台 蓝盾安全云平台Web漏洞扫描功能 经GZIP技术压缩传输示意图 六 蓝盾云安全解决方案 二 蓝盾网站安全云平台 安全统计分析 蓝盾云平台访问数据统计分析 北京神州绿盟信息安全科技股份有限公司 简称绿盟科技 成立于2000年4月 总部位于北京 基于多年的安全攻防研究 绿盟科技在网络及终端安全 互联网基础安全 合规及安全管理等领域 为用户提供入侵检测 防护 抗拒绝服务攻击 远程安全评估以及Web安全防护等产品以及专业安全服务 股票简称为 绿盟科技 股票代码为300369 七 绿盟科技云安全解决方案 一 绿盟科技简介 平台安全保障体系框架 七 绿盟科技云安全解决方案 二 云安全解决方案 安全保障体系框架主要内容 物理环境安全虚拟化安全网络安全主机安全应用安全数据保护安全管理 七 绿盟科技云安全解决方案 二 云安全解决方案 微信公众号 绿盟安全管家 云平台安全技术实现架构 七 绿盟科技云安全解决方案 二 云安全解决方案 具有安全防护机制的云平台体系架构 七 绿盟科技云安全解决方案 二 云安全解决方案 云平台安全域逻辑划分 七 绿盟科技云安全解决方案 二 云安全解决方案 安全域划分示例 七 绿盟科技云安全解决方案 二 云安全解决方案 安全域划分示例 七 绿盟科技云安全解决方案 二 云安全解决方案 互联网接入区 主要包括接入交换机 路由器 网络安全设备等 负责实现与163 169 CMNET等互联网的互联 内联网接入区 主要包括接入交换机 路由器 网络安全设备等 负责实现与组织内部网络的互联 广域网接入区 主要包括接入交换机 路由器 网络安全设备等 负责与本组织集团或其他分支网络的接入 外联网接入区 主要包括接入交换机 路由器 网络安全设备等 负责本组织第三方合作伙伴网络的接入 核心交换区 由支持虚拟交换的高性能交换机组成 负责整个云计算系统内部之间 内部与外部之间的通信交换 七 绿盟科技云安全解决方案 二 云安全解决方案 生产区 主要包括一系列提供正常业务服务的虚拟主机 平台及应用软件 使提供IaaS PaaS SaaS服务的核心组件 非生产区 非生产区主要是为系统开发 测试 试运行等提供的逻辑区域 根据实际情况 非生产区一般可分为系统开发子区 系统测试子区 系统试运行子区 支撑服务区 该区域主要为云平台及其组件提供共性的支撑服务 通常按照所提供的功能的不同 可以细分为通用服务子区 一般包括数字证书服务 认证服务 目录服务等 运营服务子区 一般包括用户管理 业务服务管理 服务编排等 管理区 主要提供云平台的运维管理 安全管理服务 一般可分为运维管理子区 一般包括运维监控平台 网管平台 网络控制器等 安全管理子区 一般包括安全审计 安全防病毒 补丁管理服务器 安全检测管理服务器等 七 绿盟科技云安全解决方案 二 云安全解决方案 资源区 主要包括各种虚拟化资源 涉及主机 网络 数据 平台和应用等各种虚拟化资源 按照各种资源安全策略的不同 可以进一步细分为生产资源