Chap06-云安全.ppt

1、第6章 云安全 （课时数：8课时）,云计算技术与应用基础,主 要 内 容,一、云安全概述,（一）云安全内涵,“云安全（Cloud security ） ”是继“云计算” “云存储”之后出现的“云”技术的重要应用，是传统 IT 领域安全概念在云计算时代的延伸。,云安全通常包括两个方面的内涵：一是云计算安全，即通过相关安全技术，形成安全解决方案，以保护云计算系统本身的安全； 二是安全云，特指网络安全厂商构建的提供安全服务的云，让安全成为云计算的一种服务形式。,一、云安全概述,（一）云安全内涵,从云计算安全的内涵角度来说， “云安全”是网络时代信息安全的最新体现，云安全是指基于云计算商业模式应用，融

2、合了并行处理、网格计算和未知病毒行为判断等新兴技术的安全软件、安全硬件和安全云平台等的总称。 从安全云的内涵角度来说， “安全”也将逐步成为“云计算”的一种服式形式，主要体现为网络安全厂商基于云平台向用户提供各类安全服务。,2008 年 5 月，趋势科技在美国正式推出了“云安全”技术，这是国内最早提出“云安全”的概念。,一、云安全概述,（二）云安全 VS 传统安全,统安全与云安全,一、云安全概述,（二）云安全 VS 传统安全,传统安全和云安全相同之处如下： （1）目标相同：都是为了保护信息、数据的安全和完整。 （2）保护对象相同：均为系统中的用户、计算、网络、存储资源等。 （3）技术类似：包括

3、加解密技术、安全检测技术等。,一、云安全概述,（三）云计算主要威胁,2010 年，云计算当时面临的七大威胁（云安全重点风险域）： Threat 1：Abuse and Nefarious Use of Cloud Computing（云计算的滥用、拒绝服务攻击） Threat 2：Insecure Interfaces and APIs（不安全的 API） Threat 3：Malicious Insiders（内部人员的恶意操作） Threat 4：Shared Technology Issues（共享技术漏洞） Threat 5：Data Loss or Leakage（数据丢失/泄露）

4、Threat 6：Accountor Service Hijacking（账号、服务和通信劫持） Threat 7：Unknown Risk Profile（未知的风险场景）,一、云安全概述,数据泄露 数据丢失 账户劫持 不安全的 API 拒绝服务攻击 内部人员的恶意操 云计算服务的滥用 云服务规划不合理 共享技术漏洞,2013年云计算面临的九大安全威胁,2013 年， CSA 提出了“2013 年云计算的九大威胁” ：,（三）云计算主要威胁,一、云安全概述,2016 年， CSA列出 2016 年“十二大云安全威胁”： 威胁No.1：数据泄露威胁No.2：凭证被盗和身份验证如同虚设 威胁No

5、.3：界面和API被黑威胁No.4：系统漏洞利用 威胁No.5：账户劫持威胁No.6：恶意内部人士 威胁No.7：APT（高级持续性威胁）寄生虫 威胁No.8：永久的数据丢失威胁No.9：调查不足 威胁No.10：云服务滥用威胁No.11：拒绝服务（DoS）攻击 威胁No.12：共享技术，共享危险,（三）云计算主要威胁,一、云安全概述,云计算安全面临的挑战主要来源于技术、管理和法律风险 3 个方面： 数据集中。 聚集的用户、 应用和数据资源更方便黑客发动集中的攻击。 防护机制。传统基于物理安全边界的防护机制在云计算的环境难以得到有效的应用。 业务模式。基于云的业务模式给数据安全的保护提出了更高

6、的要求。 系统复杂。云计算的系统非常大，发生故障的时候要进行快速定位的挑战也很大。 开放接口。云计算的开放性对接口安全提出了新的要求。 管理方面。云计算数据的管理权和所有权是分离的。 法律方面。云信息安全监管、隐私保护等方面可能存在法律风险。,（三）云计算主要威胁,二、云安全体系架构,计算安全参考模型（云安全联盟）,（一）云计算安全参考模型,二、云安全体系架构,云计算安全参考模型描述了合规模型、安全控制模型和云模型之间的关系，也详细地描述了云模型中 IaaS、PaaS 和 SaaS 之间的关系。 IaaS 涵盖了从机房设备到硬件平台等所有的基础设施资源层面。 PaaS 位于 IaaS 之上，增

7、加了一个层面用以与应用开发、中间件能力以及数据库、消息和队列等功能集成。 SaaS 位于底层的 IaaS 和 PaaS 之上，能够提供独立的运行环境，用以交付完整的用户体验，包括内容、展现、应用和管理能力。,（一）云计算安全参考模型,二、云安全体系架构,某厂商提出的一种典型的云安全架构,（二）云计算安全模型,二、云安全体系架构,云安全架构描述(1),（二）云计算安全模型,二、云安全体系架构,云安全架构描述(2),（二）云计算安全模型,三、云安全主要内容,云安全包含的内容与技术非常广泛，既包括传统的安全内容和技术，也包括云计算架构下的新型的安全内容和技术。本小节主要对云计算安全领域中的数据安全、

8、应用安全和虚拟化安全等内容和技术进行介绍。,（一）云安全主要内容和技术,云安全主要内容和技术,三、云安全主要内容,云计算服务模式下的数据安全包括数据传输安全、数据隔离和数据残留等。,（二）数据安全,（1）数据传输安全。 采用加密数据和使用非安全传输协议的方法也可以达到保密的目的，但无法保证数据的完整性。 （2）数据隔离。 加密磁盘上的数据或生产数据库中的数据（静止的数据）很重要。 （3）数据残留。 数据残留是数据在被以某种形式擦除后所残留的物理表现，存储介质被擦除后可能留有一些物理特性使数据能够被重建。,三、云安全主要内容,（三）应用安全,（1）终端用户安全。 对于使用云服务的用户，应该保证自

9、己计算机的安全。 （2）SaaS 应用安全。 SaaS 提供商应最大限度地确保提供给用户的应用程序和组件的安全，用户通常只需负责操作层的安全功能，包括用户和访问管理。 （3）PaaS 应用安全。PaaS应用安全包含两个层次：PaaS 平台自身的安全和用户部署在 PaaS 平台上应用的安全。 （4）IaaS 应用安全。 IaaS 提供商对IaaS平台提供安全。用户对自身应用进行安全防护。,三、云安全主要内容,（四）虚拟化安全,（1）虚拟化软件安全。必须严格限制任何未经授权的用户访问虚拟化软件层。云服务提供商应建立必要的安全控制措施，限制对于 Hypervisor 和其他形式的虚拟化层次的物理和逻

10、辑访问控制。 （2）虚拟服务器安全。 虚拟服务器位于虚拟化软件之上，传统的对于物理服务器的安全原理与实践也可以被运用到虚拟服务器上，当然也需要兼顾虚拟服务器的特点。虚拟服务器安全涉及物理机选择、虚拟服务器安全和日常管理 3 方面。,四、安全即服务（SECaaS）,（一）SECaaS 概述,安全即服务（Security as a Service，SECaaS）是一个用于安全管理的外包模式。通常情况下，SECaaS 包括通过互联网发布的应用软件（如反病毒软件） ，基于互联网的安全（有时称为云安全）产品是 SaaS 的一部分。 云安全的讨论主要集中在如何迁移到云平台，如何在使用云时维持机密性、完整性

11、、可用性和地理位置，而 SECaaS 则从通过基于云的服务来保护云中的、传统企业网络中的及两者混合环境中的系统和数据。托管的垃圾邮件和病毒过滤就是 SECaaS 的一个例子。,四、安全即服务（SECaaS）,（一）SECaaS 概述,绿盟MSS for ADS示意图,四、安全即服务（SECaaS）,（二）SECaaS 优势,1人员力量增强。劳动力是安全计划中最繁忙的， SECaaS 可以在很多不同用户间分摊成本，从而降低单位成本。 2提供先进的安全工具。一方面，可以通过云服务对免费的开源工具进行安装和维护以减少安全风险；另一方面，可以通过云计算规模经济获得先进的安全工具。 3提供专业技术知识。

12、SECaaS 让企业可以利用各类专家和资源的优势。使得内部安全人员不用过多关注技术细节，而更多地关注如何战略性地管理企业的信息安全风险。 4将信息安全定位为业务推动力。,四、安全即服务（SECaaS）,（二）SECaaS 优势,5身份管理 。SECaaS 产品可以加快账户管理过程，并提供单点登录功能。 6虚拟机管理 。基于云计算的配置管理系统需要能够跨多个云 服务供应商和内部数据中心提供这种功能。 7网络层保护。 一些 SECaaS 解决方案通过利用大量 带宽和智能协议路由，来提供针对 DoS 攻击的保护。这些服务还可以将 Web 服务器隐藏在其前端服务器后，防止遭受路过式攻击。其他基于云计算

13、的安全包括 PCI DSS、数据标记化、Web 应用防火墙以及隐藏 DNS 服务器。,四、安全即服务（SECaaS）,（三）SECaaS 应用领域,1身份、授权和访问管理服务 2数据泄露防护（DLP） 3Web安全 4Email安全 5安全评估 6入侵检测/防护（IDS/IPS） 7安全信息和事件管理（SIEM） 8加密 9业务连续性和灾难恢复 10网络安全,五、长城网际云安全解决方案,（一）中电长城网际简介,中电长城网际系统应用有限公司成立于 2012 年 7月，是中国电子信息产业集团有限公司（CEC）控股的高科技国有企业，以服务国家基础信息网络和重要信息系统安全为使命，以面向国家重要信息系

14、统的高端咨询和安全服务业务为主线，为用户提供信息安全的全方位的解决方案和相关服务。,五、长城网际云安全解决方案,（二）云安全解决方案,长城网际云安全套件整体架构,五、长城网际云安全解决方案,网际云安全套件主要功能,（二）云安全解决方案,五、长城网际云安全解决方案,网际云安全套件虚拟化安全,（二）云安全解决方案,五、长城网际云安全解决方案,终端可信接入模式,（二）云安全解决方案,五、长城网际云安全解决方案,安全套件产品部署示意图,（二）云安全解决方案,蓝盾信息安全技术股份有限公司是中国信息安全行业领先的专业网络安全企业和服务提供商。秉承“让你的安全更智慧”的理念，立足自主研发，专注信息安全市场，

15、为用户提供安全产品、安全服务、安全集成、安全培训等多项综合性网络安全业务，打造国际一流的信息安全企业。,六、蓝盾云安全解决方案,（一）蓝盾信息安全技术股份有限公司简介,六、蓝盾云安全解决方案,（二）蓝盾网站安全云平台,蓝盾网站安全云平台管理中心架构图,（1）云平台安全节点。 负责分发网站内容、检测用户提交的访问请求、扫描网站 Web 漏洞等。,（2）管理中心。 由云平台的管理员所控制，负责节点之间的通信调度，提供 Web 应用，同时保存网站的功能配置文件及各类日志数据。,六、蓝盾云安全解决方案,（二）蓝盾网站安全云平台,蓝盾安全云平台Web漏洞扫描功能,经GZIP技术压缩传输示意图,六、蓝盾云

16、安全解决方案,（二）蓝盾网站安全云平台,安全统计分析,蓝盾云平台访问数据统计分析,北京神州绿盟信息安全科技股份有限公司（简称绿盟科技）成立于 2000 年 4 月，总部位于北京，基于多年的安全攻防研究，绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域，为用户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及 Web 安全防护等产品以及专业安全服务。 股票简称为“绿盟科技” ，股票代码为 300369。,七、绿盟科技云安全解决方案,（一）绿盟科技简介,平台安全保障体系框架,七、绿盟科技云安全解决方案,（二）云安全解决方案,安全保障体系框架主要内容： 物理环境安全 虚拟化安全 网络

17、安全 主机安全 应用安全 数据保护 安全管理,七、绿盟科技云安全解决方案,（二）云安全解决方案,微信公众号,绿盟安全管家,云平台安全技术实现架构,七、绿盟科技云安全解决方案,（二）云安全解决方案,具有安全防护机制的云平台体系架构,七、绿盟科技云安全解决方案,（二）云安全解决方案,云平台安全域逻辑划分,七、绿盟科技云安全解决方案,（二）云安全解决方案,安全域划分示例,七、绿盟科技云安全解决方案,（二）云安全解决方案,安全域划分示例,七、绿盟科技云安全解决方案,（二）云安全解决方案,互联网接入区：主要包括接入交换机、路由器、网络安全设备等，负责实现与 163、169、CMNET 等互联网的互联。

18、内联网接入区：主要包括接入交换机、路由器、网络安全设备等，负责实现与组织内部网络的互联。 广域网接入区：主要包括接入交换机、路由器、网络安全设备等，负责与本组织集团或其他分支网络的接入。 外联网接入区：主要包括接入交换机、路由器、网络安全设备等，负责本组织第三方合作伙伴网络的接入。 核心交换区：由支持虚拟交换的高性能交换机组成，负责整个云计算系统内部之间、内部与外部之间的通信交换。,七、绿盟科技云安全解决方案,（二）云安全解决方案,生产区：主要包括一系列提供正常业务服务的虚拟主机、平台及应用软件，使提供 IaaS、PaaS、SaaS 服务的核心组件。 非生产区：非生产区主要是为系统开发、测试、试运行等提供的逻辑区域。根据实际情况，非生产区一般可分为系统开发子区、系统测试子区、系统试运行子区。