云安全(工程培训师)

解析---云安全

何为云计算？透过网络控制应用软件和计算资源，以在线租赁方式供用户使用什么是云计算云计算是一种信息服务交付模式。它可以便捷地、按需地实现对共享计算资源的访问，访问通过网络进行，资源池(如网络、服务器、存储、应用程序、服务等)是可配置的，配置可通过人机交互快速实现。服务模式：SaaS：为消费者提供使用运营商应用程序的能力PaaS：在云计算基础设施上为消费者提供部署应用程序的能力IaaS：为消费者提供处理、存储、网络和其他基础计算资源的能力通道：互联网/专网用户：智能终端云服务接入门户IaaS/PaaS/SaaS云服务管理平台数据中心云计算模型云计算架构的安全问题云计算服务的“五大”安全关键点存储服务器Windows虚拟机虚拟化平台虚拟机虚拟机数据中心机房网络UnixLinux应用软件服务软件专用软件用户A用户B用户C云服务管理平台管理、安全等必须的支撑软件IaaS：基础设施即服务PaaS：平台即服务智能终端(固定+移动)SaaS：软件即服务用户流量导引门户云服务接入门户1、双向身份鉴别

传输加密

门户防DDOS攻击

2、虚拟机内安全监控与用户行为审计、病毒过滤4、云管理平台内部安全监控，管理行为审计，阻止虚拟机用户“外泄”与“上浮”

防黑客入侵5、备份与容灾

防黑客入侵3、虚拟机间的“溢出”监控与阻断云计算面临的安全威胁Threat#1:云计算的滥用、恶用、拒绝服务攻击Threat#2:不安全的接口和APIThreat#3:恶意的内部员工Threat#4:共享技术产生的问题Threat#5:数据泄漏Threat#6:账号和服务劫持Threat#7:未知的风险场景恶意使用说明攻击者使用云的理由与合法消费者相同——低成本进行巨量处理影响密码破解、DDoS、恶意存取、垃圾邮件、c&c服务器、CAPTCHA破解等举例现在在中搜索MalwareDomainL，可获得21个结果“过去三年中，ScanSafe记录了与amazonaws相关的80个恶意事件”–ScanSafe博客Amazon的EC2出现了垃圾邮件和恶意软件的问题-Slashdot数据丢失/数据泄漏说明由于不合适的访问控制或弱加密造成数据破解因为多租户结构，不够安全的数据风险较高影响数据完整性和保密性举例喂，别碰我的云：可以查询第三方电脑云中的数据泄漏（UCSD/MIT）研究详细技术，确保图像位于相同的物理硬件中，然后利用跨虚拟机攻击检查数据泄漏恶意业内人士说明云供应商的员工可能滥用权力访问客户数据/功能减少内部进程的可见性可能会妨碍探测这种违法行为影响数据保密性和完整性名誉损失法律后果举例根据Verizon的2010数据泄漏调查报告,48%的数据泄漏是业内人士造成的。在云计算环境下的情况可能更加严重。流量拦截或劫持说明对客户或云进行流量拦截和/或改道发送偷取凭证以窃取或控制账户信息/服务影响数据保密性和完整性声誉影响资源恶意使用造成的后果（法律）举例推特DNS账户盗用ZeusbotnetC&C在AmazonEC2上的账户被盗用共享技术潜在风险说明公共的硬件、运行系统、中间件、应用栈和网络组件可能有着潜在风险影响成功使用可能影响多个用户举例Cloudburst-KostyaKortchinksy(Blackhat2009)在虚拟PCI显示卡VmwareSVGAII设备中确认的任意代码执行的潜在风险VMwareWorkstation、VMwarePlayer、VMwareServer和VMwareESX中的脆弱部件不安全的API说明API用于允许功能和数据访问，但其可能存在潜在风险或不当使用，让程序受到攻击影响数据保密性和完整性拒绝服务举例P0wning可编程网络(Websense–AusCERT2009_80%的测试应用程序没有使用API中的安全保护（例如不加密流量和基本验证）经验证的CSRF、MITM和数据泄漏攻击未知风险预测说明对安全控制的不确定性可能让顾客陷入不必要的风险。影响可能因为云用户没有相关知识，造成重大的数据外泄。举例Heartland支付系统“只愿意做最小的工作量并符合国家法律，而不会通知每一位客户他们的数据是否被盗取。”/article/158038/heartland_has_no_heart_for_violated_customers.html互联网用户云安全中心云安全客户端用户计算机用户计算机用户计算机用户计算机用户计算机来源挖掘威胁挖掘集群数据分析威胁信息数据中心即时升级服务器即时查杀平台自动分析处理系统互联网内容下载网站门户网站搜索网站恶意威胁云计算安全的技术手段安全性要求对其他用户对服务提供商数据访问的权限控制存储隔离存储加密、文件加密数据运行时的私密性虚拟机隔离、操作系统隔离操作系统隔离数据在网络上传输的私密性传输层加密网络加密数据完整性数据检验数据持久可用性数据备份、数据镜像、分布式存储数据访问速度高速网络、数据缓存、CDN威胁样本

(Email,Web,File)多重关联分析安全技术架构EndpointGatewayOffNetworkNetworkManagement威胁分析TrendLabs&

MalwareDatabaseWeb信誉URLFile信誉Files邮件信誉IP安全威胁VerificationAnalysisCorrelationPackaging数据收集客户合作伙伴TrendLabs

研发中心样本提交密罐Web挖掘自动提交行为分析PartnersISPsRoutersEtc.Feb2009AcompromisedwebsiteOneclickinalink.Fakenewsbyemail.TROJ_CHOST.E邮件信誉评估中心Web信誉评估中心文件信誉评估中心云安全中心的运作流程Web信誉技术原理1.用户收到黑客的垃圾邮件2.点击链接4.发送信息/下载病毒WebWebWebWebWeb对客户所访问的网页进行安全评估–阻止对高风险网页的访问3.下载恶意软件云安全OfficeScanMailServer互联网防火墙DesktopPCsWeb信誉URLWeb信誉技术应用趋势科技云安全2.0SmartProtection

Network趋势科技云安全2.0SmartProtection

Network威胁威胁数据库威胁分析邮件信誉技术Web信誉技术文件信誉技术云安全文件信誉技术公司网络互联网本地扫描服务器批量更新查询文件签名即时响应文件

信誉在云端进行不断的实时更新查询文件签名即时响应文件信誉技术应用云计算安全技术-数据隐私保护-1/4云计算安全技术-数据隐私保护-2/4(1)加密字符串的精确检索基于离散对数的密文检索技术基于BilinearMap的密文检索技术(2)加密字符串的模糊检索基于BloomFilter的密文检索技术基于矩阵和向量变换的密文检索技术(3)加密数值数据的算术运算基于矩阵和向量变换的密文计算技