云计算与安全云教材

1、北京启明星辰信息安全技术有限公司 翟胜军2 0 1 12 0 1 1 中 国 新 闻 技 术 工 作 者 联 合 会 年 会中 国 新 闻 技 术 工 作 者 联 合 会 年 会云安全与安全云云安全与安全云汇报内容：汇报内容：1. 政府为何“钟情”云计算2. 云计算的安全要点分析3. 安全保障思路设计4. 云计算安全技术美国的一组数据：联邦政府的数据中心数量1998年432个，2009年1100个数据中心每年的电力消耗2006年，610亿KW，占美国电消耗1.5%2011年，1000亿KW，占美国电消耗2.5%中国的一组数据： 2011年2月底，镇江市经信委的一项调查数据显示，近5年来市财政资

2、金用于信息化项目建设达2.8亿元，每年设备运维费达1300万元，拥有小型机43台，PC服务器755台，95.8%的单位自建机房美国政府的云计算案例政府公共部门的目标是改进信息服务质量、降低运行成本政府公共部门的目标是改进信息服务质量、降低运行成本Open Government国防部：陆军体验中心AEC：利用S建立客户关系管理工具，提高宣传和招募效果与效率快速访问计算资源：安全私有云计算RACE系统，为军队项目提供开发与测试环境卫生和公众服务部：电子健康记录HER：利用S建立客户关系管理和项目管理，涵盖70个区域中心，协助10万多初级保健医生开展工作国家航空航天局：世界望远镜：星云Nebula云

3、计算平台，吸引公众探索月球和火星，高达100TB的高分辨率图片中国政府的云计算计划 移动：大运计划，支撑云、业务云、公有云移动：大运计划，支撑云、业务云、公有云 电信：星云计划，电信：星云计划，e e云手机云手机 联通：沃云计划，商务平台云化联通：沃云计划，商务平台云化 北京：祥云计划北京：祥云计划 上海：云海计划上海：云海计划 杭州：西湖云计算公共服务平台杭州：西湖云计算公共服务平台 无锡：第一个商用云计算中心无锡：第一个商用云计算中心 深圳：云计算国际联合实验室深圳：云计算国际联合实验室 哈尔滨：中国云谷哈尔滨：中国云谷 宁波：星云计划宁波：星云计划 重庆：云端计划重庆：云端计划 镇江：云

4、神计划镇江：云神计划 广州：天云计划广州：天云计划 涉及云计算的项目投资预算高达数千亿涉及云计算的项目投资预算高达数千亿什么是云计算 云计算是一种信息服务交付模式。它可以便捷地、按需地实现对共享计算资源的访问，访问通过网络进行，资源池(如网络、服务器、存储、应用程序、服务等)是可配置的，配置可通过人机交互快速实现。特点：1. 按需自助服务-如同“自来水”、“电”服务、“即用即付费”2. 宽带网络接入-统一接入门户 -数据中心整合技术-3. 资源池-虚拟化技术管理资源(存储、处理、内存、带宽、虚拟机等)4. 有弹性的服务能力-用户看到的虚拟服务5. 可度量的服务-用户得到的真实服务服务模式：1.

5、 SaaS：为消费者提供使用运营商应用程序的能力2. PaaS：在云计算基础设施上为消费者提供部署应用程序的能力3. IaaS：为消费者提供处理、存储、网络和其他基础计算资源的能力部署模式：公共云(搜索服务、S、IDC服务)、私有云、混合云通道：互联网通道：互联网/专网专网用户：智能终端用户：智能终端云服务接入门户云服务接入门户IaaS/PaaS/SaaS云服务管理平台云服务管理平台数据中心数据中心云计算模型云计算服务的“五大”安全关键点存储服务器Windows虚拟机虚拟化平台虚拟机虚拟机数据中心机房网络UnixLinux应用软件服务软件专用软件用户A用户B用户C云服务管理平台管理、安全等必须

6、的支撑软件IaaS：基础设施即服务PaaS：平台即服务智能终端(固定+移动)SaaS：软件即服务用户流量导引门户云服务接入门户1、双向身份鉴别 传输加密 门户防DDOS攻击 门户防入侵(逻辑炸弹) 用户流量隔离(防流量渗入)2、虚拟机内安全监控与用户行为审计、病毒过滤4、云管理平台内部安全监控，管理行为审计，阻止虚拟机用户“外泄”与“上浮” 防黑客入侵5、备份与容灾 防黑客入侵3、虚拟机间的“溢出”监控与阻断等级保护思路-合规性建设风险风险防护措施防护措施信息资产信息资产威胁威胁漏洞漏洞防护需求防护需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足一般风险评估的理论基础风险管理思路(ISO

7、13335)应急响应思路(PDR模型)事前：未雨绸缪事中：风雨同舟事后：亡羊补牢安全是攻与防相互学习、共同提高的对抗性活动安全是攻与防相互学习、共同提高的对抗性活动安全基线建设思路(花瓶模型)事后事中事前敏感数据重要业务安全防护基线动态监控基线信任管理基线安全事件空间空间 时间时间 管理管理 = 安全安全花瓶模型v4.1-安全保障架构五边界五边界事前防护事前防护五监控五监控事中监控事中监控三验证三验证事后取证事后取证平台管理平台管理云计算安全模型SaaSPaaSIaaS接入门户边界接入门户边界双向身份鉴别双向身份鉴别业务流边界业务流边界用户隐私保护用户隐私保护虚拟机行为审计虚拟机行为审计私有云

8、公有云混合云云服务交付云服务信任云服务运营用户安全需求等保符合度虚拟安全组件-安全资源池接入门户虚拟服务管理平台虚拟安全组件仓库虚拟安全组件仓库(FW/IPS/IDS/ADUIT/SCAN)虚拟存储Internet云计算平台虚拟服务组件仓库虚拟安全管理平台虚拟安全组件：把安全产品虚拟化，变成平台可“分配”的组件，与计算、存储资源一样成为虚拟机的基本构件，实现安全目标：1、用户不能突破虚拟机的界限2、虚拟机之间安全隔离3、虚拟机内部的安全监控与恶意代码过滤安全云-双云策略云计算接入门户云计算“蜜罐”云用户入侵者、攻击者、盗用者异常流量牵引到“蜜罐”云中监控、过滤、清洗业务流蜜罐云：清洗“恶意”业务流1、木马的跟踪与识别2、攻击流量3、渗透 工具(“肉鸡”)4、恶意利用(破译密码、对外攻击等)每个每个“服务云服务云”的大门旁应该有个的大门旁应该有个“安全云安全云”小结小结1