云计算的安全体系和关键技术

云计算安全体系与关键技术

成员：**********************

主讲人：*********主要内容22云计算面临的安全挑战云计算的安全体系与关键技术云计算的特征与安全挑战“也许我们起名叫‘云计算’本身就是一个失误，因为这名字很容易让人感觉有趣和安全。但事实上，网络中充满了威胁和险恶，如果我们当初把它叫做‘沼泽计算(swampcomputing)’或许更能够让人们对它有一个正确的认识。”云，安全？沼泽计算？RonaldL.RivestRSA算法设计者云计算的特征单租户到多租户数据和服务外包4云计算的特征计算和服务虚拟化大规模数据并行处理5云计算资源池存储能力

监控管理计算能力云计算的特点安全威胁数据和服务外包（1）隐私泄露（2）代码被盗多租户和跨域共享（1）信任关系的建立、管理和维护更加困难;（2）服务授权和访问控制变得更加复杂；（3）反动、黄色、钓鱼欺诈等不良信息的云缓冲（4）恶意SaaS应用虚拟化（1）用户通过租用大量的虚拟服务使得协同攻击变得更加容易，隐蔽性更强；（2）资源虚拟化支持不同租户的虚拟资源部署在相同的物理资源上，方便了恶意用户借助共享资源实施侧通道攻击。6云计算面临的安全挑战实际上，对于云计算的安全保护，通过单一的手段是远远不够的，需要有一个完备的体系，涉及多个层面，需要从法律、技术、监管三个层面进行。传统安全技术，如加密机制、安全认证机制、访问控制策略通过集成创新，可以为隐私安全提供一定支撑，但不能完全解决云计算的隐私安全问题。需要进一步研究多层次的隐私安全体系（模型）、全同态加密算法、动态服务授权协议、虚拟机隔离与病毒防护策略等，为云计算隐私保护提供全方位的技术支持。7云计算面临的安全挑战由此可见，云计算环境的隐私安全、内容安全是云计算研究的关键问题之一，它为个人和企业放心地使用云计算服务提供了保证，从而可促进云计算持续、深入的发展。8Trust&Security主要内容920云计算面临的安全挑战云计算的安全体系与关键技术云计算的特征与安全挑战安全性要求数据访问的权限控制数据存储时的私密性数据运行时的私密性数据在网络上传输的私密性数据完整性数据持久可用性数据访问速度10云计算安全的技术手段安全性要求对其他用户对服务提供商数据访问的权限控制权限控制程序权限控制程序数据存储时的私密性存储隔离存储加密、文件加密数据运行时的私密性虚拟机隔离、操作系统隔离操作系统隔离数据在网络上传输的私密性传输层加密网络加密数据完整性数据检验数据持久可用性数据备份、数据镜像、分布式存储数据访问速度高速网络、数据缓存、CDN11安全防御技术发展历程特洛伊威胁格局

的发展安全防御技术的发展混合威胁网络钓鱼间谍软件僵尸脚本病毒电子邮件蠕虫服务器收集病毒信息安全产品联动防火墙扩大已知病毒库宏病毒网络蠕虫垃圾邮件Rootkits利益驱动计算机病毒文件传染者防病毒形成互联网范围病毒库魔高一尺，道高一丈！261.用户收到黑客的垃圾邮件2.点击链接4.发送信息/下载病毒WebWebWebWebWeb对客户所访问的网页进行安全评估–阻止对高风险网页的访问3.下载恶意软件云安全27云安全的客户价值侦测到威胁防护更新应用防护侦测到威胁病毒代码更新病毒代码部署传统代码比对技术云安全技术获得防护所需时间（小时）降低防护所需时间:

更快的防护＝

更低的风险＋更低的花费更低的带宽占用更小的内存占用BandwidthConsumption(kb/day)Conventional

AntivirusCloud-client

ArchitectureMemoryUsage(MB)Conventional

AntivirusCloud-client

Architecture云安全优势12研究方向更加明确分析“云安全”的数据，可以全面精确的掌握“安全威胁”动向。分析模式的改变“云安全”的出现，使原始的传统病毒分析处理方式，转变为“云安全”模式下的互联网分析模式。3防御模式的改变“云安全”使得网络安全防御模式由被动式向主动式转变。云安全改变信息安全行业来源挖掘云安全中心即时升级服务器互联网内容恶意威胁下载网站门户网站搜索网站云安全客户端互联网用户威胁信息数据中心即时查杀平台自动分析处理系统威胁挖掘集群威胁信息分析云计算安全的技术手段目前的技术可以避免来自其他用户的安全威胁，但是对于服务提供商，想要从技术上完全杜绝安全威胁还是比较困难的，在这方面需要非技术手段作为补充。一些传统的非技术手段可以被用来约束服务提供商，以改善服务质量，确保服务的安全性。1819图1A云计算系统的体系框架图1B云计算安全架构云计算安全技术-动态服务授权与控制220云计算安全技术-虚拟机安全/321(1)多虚拟机环境下基于Cache的侧通道攻击的实现(2)基于行为监控的侧通道攻击识别方法(3)基于VMM的共享物理资源隔离算法的研究(4)侧通道信息模糊化算法的研究与实现云计算安全技术-虚拟机安全22设计适合虚拟环境的软件防火墙

选择NAT技术作为虚拟机的接入广域网(WAN)技术。每个虚拟机在宿主机上都有其对应的一个虚拟网卡，所有的虚拟机网卡通过NAT技术连接在一起，选择宿主机的虚拟网卡与虚拟机的网卡(eth0)连接的主干道路作为关键路径，并在该路径上布置防火墙23云计算安全技术-法律法规云计算应用模式下的互联网安全的法律与法规问题。云计算平台的安全风险评估与监管问题。24云计算安全的非技术手段第三方认证

第三方认证是提升信任关系的一种有效手段，即采用一个中立机构对信任双方进行约束。企业信誉企业信誉对于任何一个竞争领域的企业来讲都是至关重要的。一般来讲，越大的企业对于自身信誉越看重，不会因