云计算下的安全探讨PPT课件

.,1,云计算下的安全探讨,杭州迪普科技有限公司邱大坤(CISSP)qiudakun2014.06,内部资料请勿外泄,.,2,大纲,2,.,3,IT技术的第三次革命,纵观IT发展史，每隔大约1214年，IT基础架构会发生一次大规模的技术变革。技术成熟度曲线表明，一个新技术在提出后78年，成败就已经基本确定。,.,4,云计算逻辑架构及其特征,云计算五个基本特征按需自服务多种网络访问资源池化快速弹性扩展服务可计量,.,5,云计算存在的安全风险,虚拟技术打破传统网络和业务边界，安全防护难以着手,数据集中、资源集中，安全风险集中,业务应用服务化，资源随时调度，动态配置，安全策略部署难以适应虚拟化调整,安全监管和法律法规缺失,.,6,数据集中导致数据丢失/泄漏,.,7,缺乏监管导致权利滥用,.,8,宿主机管理员流量拦截或劫持,.,9,安全边界缺失，传统域间防护失效,安全设计方法,安全域1,安全域4,安全域2,安全域3,新IT环境,广域网,安全区域1,安全区域2,用户域1,用户域2,隔离,虚拟化,云环境,传统设计方法以划分安全域为基础，云计算环境下安全域如何划分？,.,10,虚机迁移对安全策略自动化提出挑战,安全策略如何适应虚机迁移？,Rule1,Rule2,Rulen,安全设备,安全设备,.,11,法律法规依据缺失,等保根据业务划分等级,云计算资源共享,VS,从等保定级开始，缺乏法律法规支持！,.,12,大纲,12,.,13,传统安全模型,.,14,云计算安全模型结构分析,SaaS安全,PaaS安全,IaaS安全,基础设施安全,基础设备安全,系统安全,网络安全,基本防护,冗余备份,隔离,云端操作系统,客户端安全,访问控制,攻击防范,网络审计,安全检测,虚拟化安全,虚拟化安全设备,虚拟机安全隔离、漏洞查补、安全配置,虚拟机安全监测、审计,应用服务安全,数据安全,云计算安全管理监控与审计,云代码审查,云中间件接口安全分析,开发环境安全检测,清除,备份,加密,泄漏防护,安全审计,行为鉴别,身份认证,权限控制,.,15,云安全技术（一）基础设施安全,（1）基础设备安全：环境安全：机房选址、防火、防雷、防盗、监控、防静电、防电磁泄露、访问控制设备安全：设备自身安全介质安全：冗余备份、隔离等（2）系统安全：云端操作系统安全用户端操作系统安全PerUser-VPN（3）网络安全访问控制加密与密钥管理攻击防范网络审计安全检测,.,16,Per租户VPN,租户2,租户1,广域网,园区2,园区2,安全综合网关,PE设备,InternetVPN1,InternetVPN2,PE设备,云计算资源池,通过VPN实现租户与云计算中心安全加密传输统一的CA认证中心，确保认证/审计针对每租户单独建立VPN通道，并可以依托政务网MPLSVPN实现通道隔离,CA认证中心,.,17,云安全技术（二）虚拟化安全,（1）虚拟化安全设备N：1虚拟化1：M虚拟化N：M虚拟化（2）虚拟机安全隔离、漏洞查补、安全配置镜像加固配置管理虚机防护漏洞查补（3）虚拟机监测与审计三权分立：系统运行管理、安全保护管理和审计管理法律法规的支持,.,18,多合一虚拟化技术,VSM（VirtualSwitchingMatrix，虚拟交换矩阵）是一种控制平面虚拟化技术，可将多个机框虚拟成为一个机框目前少量安全厂商支持将多台安全设备虚拟成为一台逻辑设备,转发平面,控制平面,业务平面,主引擎,备引擎,VSM虚拟化,.,19,一分多虚拟化技术,OVC（OS-levelVirtualContext）属于操作系统虚拟化，可以将一台安全设备虚拟成为多台安全设备(虚拟系统)硬件上，每个虚拟系统拥有独立的主控、业务板卡、端口，以及CPU、内存等资源软件上，每个虚拟系统拥有独立的控制、转发、业务和管理平面，独立运行进程，互不干扰少量安全厂商支持安全资源一分多虚拟化,虚拟系统1,虚拟系统2,虚拟系统3,.,20,N:M虚拟化实现业务资源池,能力资源池,虚拟高性能设备,物理设备,N:1的多合一虚拟化,1:M的一分多虚拟化,.,21,云安全技术（三）数据安全,数据安全是指因信息治理的要求而采取的特定控制措施和技术，可分解成三部分：（1）检测和预防数据在云架构中的迁移：使用数据活动监测(DAM)和文件活动监测(FAM)来监控大量内部数据的迁移。使用URL过滤器和数据丢失保护DLP等技术监控数据向云中迁移的过程（2）保护数据进入云以及在不同提供者/环境之间的传输客户端/应用程序加密链路/网络加密模式基于代理的加密（3）保护已在云中的数据内容发现基础设施服务加密（卷存储加密、对象存储加密）平台服务加密软件服务加密（4）更多数据安全数据防丢失保护数据库和文件活动监测应用安全隐私保护数字版权管理（DRM）,.,22,云安全技术（四）服务安全,（1）身份认证RSAToken经由短信或手机的OTP智能卡/PKI生物特性认证等（2）权限控制基于角色的、基于规则的、基于属性的访问、基于声明的，以及基于授权（ZBAC）的访问控制（3）行为鉴别云计算环境中的行为管理和鉴别不应只管理用户身份。它还应该扩展到管理云计算应用/服务的身份、这些云计算应用/服务的访问控制策略、用于这些应用/服务的特权身份（4）安全审计三权分立，审计独立审计分级，服务提供商与租户不同的审计内容,策略即服务,.,23,云安全技术（五）其他安全,其他安全包括云代码审查、云中间件接口安全分析、开发环境安全检测依赖于第三方权威机构认证和检查,.,24,云计算安全技术落地,云安全四个关键点,25,.,26,一：安全域划分与自动策略部署,vSwitch,vSwitch,迁移,Switch,Server,Server,虚拟化前,虚拟化后,策略,分析,服务器所有流量均经过网络服务器与交换机互连端口固定,策略,分析,VM部分流量在vSwitch内部交换VM动态迁移,.,27,业内解决问题的方法,VEPA,VN-Link,物理交换机上生成相应的vPort(Channel)；虚拟机流量导出至外部物理交换机上转发。,将物理交换机的端口扩展至虚拟机；虚拟机流量导出至外部物理交换机上转发。,.,28,虚机感知PVLAN技术,802.1BR,802.1Qbg(VEPA),802.1Qbh,VN-LINKVN-TAG,V.S.,只有得到虚拟化软件支持，以上才会实现！,物理交换机,VLAN101,VLAN102,ARPProxy,VLAN20,VLAN10,VLAN11,VLAN21,方案一：新的标准解决问题,方案二：通过PVLAN技术解决问题,.,29,PVLAN技术下的安全域划分,通过PVLAN技术，根据业务自动划分安全域,.,30,二：自动策略部署,安全策略如何适应虚机迁移？,虚机迁移前后网络不能断，则虚机迁移前后的IP地址不能变网络策略简单，大二层可以解决迁移问题安全配置复杂，如何随着虚机一同迁移？,.,31,解决虚机迁移问题的思路（1）,安全虚机化，SDN牵引流量至安全虚机,.,32,解决虚机迁移问题的思路（2）,网管域,网管域,网管域,网管域,安全域,安全域,安全域,安全域,安全域,安全域,安全域,安全域,安全域,安全域,安全域,安全域,安全域,安全域,安全控制点,安全控制点,安全控制点,安全控制点,以安全为核心构建数据中心网络，物理网络与逻辑承载分离，安全资源池化,.,33,典型云计算中心安全资源池部署方案,数据中心,DPtechDPX8000,广域网,DPtechDPX8000,虚拟应用N,虚拟应用1,防火墙资源池入侵防御资源池负载均衡资源池流量清洗资源池网流分析/控制资源池,防火墙资源池入侵防御资源池负载均衡资源池流量清洗资源池网流分析/控制资源池,扁平、一体化的虚拟应用，极大简化网络部署，降低TCO,.,34,三：多租户环境的租户隔离与互通,通过VLAN/VRF实现虚拟租户网，区分和隔离不同的租户租户间互访需要通过安全设备进行控制,VRF,VRF,VRF,虚机感知与隔离,同一租户业务隔离(VLAN),租户隔离(VRF),跨租户访问控制,.,35,多租户环境：租户自防护,租户安全策略：租户可自行定义和部署自己的安全策略通过虚拟化技术，为租户提供虚拟业务设备（VSA）。租户通过VSA部署自己的安全策略。所提供的业务能力包括防火墙、IPS、流量控制、审计以及应用交付等。VSA可同时作为虚拟路由网关使用增值安全业务：提供流量清洗、WAF、漏洞扫描等,WAF群集,漏洞扫描群集,异常流量清洗,异常流量监测,.,36,四：政策与法律法规,国际上ISO/IEC和ITU-T发布的云安全标准：ISO/IEC27017：云计算安全和隐私管理系统安全控制ISO/IEC27036-x：众多标准涉及供应商关系管理信息安全，后续计划将作为云供应链的一部分纳入。ITU-TX.ccsec:通信领域云计算安全指引ITU-TX.srfcts:基于云的通信服务环境安全要求和框架（X.srfcts）ITU-TX.sfcse:软件即服务（SaaS）应用环境安全功能要求,.,37,可喜的国内法律和政策变化,摘自国家电子政务外网安全等级保护实施指南2014年1月,.,38,还有很多没有解决的问题,（1）虚拟化系统软件（云操作系统）核心技术国外主导，急需替代；（2）应用服务安全，在现有技术模式下、尚未出现业务全面迁移到云环境条件下，其应用服务的安全与传统应用安全实现方式没有体现发生本质的变化特征。（3）CA证书与虚拟机无法实现认证授权，虚拟机也是资源的使用者（4）针对云平台的代码、环境安全性认证和检查，还未达到人人放心的地步（5）相关的法律法规，例如宿主与虚拟机合规的责任界定、等保测评细则、分级保护认证和测评,.,39,大纲,39,.,40,中国电信云计算中心,中国电信是国内应用最成熟、规模最大的云计算中心。云计算的重要特点是虚拟化的规模应用。,.,41,中国电信云计算中心,上海节点存储云,DPtech云安全防火墙,163/CN2,DPtech云安全防火墙,DPtech云安全防火墙,DPtech云安全防火墙,DPtech云安全防火墙,DPtech云安全防火墙,DPtech云安全防火墙,DPtech云安全防火墙,.,42,北京联通云平台中心,北京联通平台中心（数北局）是北京联通首个采用云计算技术的数据中心，通过2000个虚拟机承载应用，包括联通自身14个业务系统，外部健康医疗、联通短讯等行业应用。对云资源池中虚机的安全防护十分重要。,.,43,北京联通云平台中心,骨干网,DCN,Internet,内部云平台,虚拟FW+负载均衡,亦庄云平台区,DPtechDPX8000防火墙业务板负载均衡业务板,DPtechDPX8000防火墙业务板负载均衡业务板,通过资源共享方式承载北京联通增值业务系统，充分体现了云计算理念和虚拟化技术应用。,外部云平台,虚拟FW+负载均衡,虚拟FW+负载均衡,虚拟FW+负载均衡,OVC,.,44,郑州市电子政务云平台,郑州市电子政务外网承载着市政府的政务信息公开、便民查询及互联网访问等业务，电子政务云的可靠性和安全性十分重要，要求安全设计符合等保要求。迪普科技为郑