《云计算解决方案之云安全》由会员分享,可在线阅读,更多相关《云计算解决方案之云安全(13页珍藏版)》请在金锄头文库上搜索。
1、云计算解决方案之云安全,提纲,云计算平台面临的威胁 云计算安全平台框架 云计算安全四方面,足够安全的云计算对用户至关重要,75CIO关心云计算安全,63的CIO关心云计算的性能和投资成本,云计算安全问题关注,服务可用性 数据机密性和完整性 隐私权的保护,IDC autumn 2008,云计算平台安全问题分析,攻击 中间人攻击 重放攻击 僵尸网络 拒绝式服务攻击 客户 身份伪造 冒充 云计算应用认证根密钥窃取,漏洞攻击 VMWare 漏洞 HyperVM:zero-day 僵尸网络 拒绝式服务攻击 黑客盗用,DoS&DDoS 不是云计算特有 关键核心数据和服务迁移到云计算中心 拒绝服务带来的后果
2、影响更严重 消耗主机可用资源 Land、Teardrop、SYN Flood、UDP Flood、ICMP Flood、Smurf 消耗服务器链路带宽,DoS&DDoS 定位在第三方云计算服务托管的Web服务器物理位置的计划。云制图旨在绘制服务提供商的基础设施,以确定特定虚拟机(VM)可能的位置。 存在的攻击行为 攻击亚马逊数据共享的API设置 旁道攻击,其它:访问控制授权、数据机密性及完整性、隐私权保护、入侵检测、容灾及数据冗余、恶意代码防役,提纲,云计算平台面临的威胁 云计算安全平台框架 云计算安全四方面,云计算安全平台框架,提纲,云计算平台面临的威胁 云计算安全平台框架 云计算安全四方面
3、,四方面安全考虑,定制加固Linux,基于Xen、KVM的开源系统虚拟化,业务计算资源调度,分布式数据库,分布式文件系统,通用PC或刀片,大规模计算平台,安全域 动态数据安全 静态数据安全,可信的接入安全,可信虚拟化安全,可信网络安全,可信的接入认证 可信的终端设备 可信的通信链路,可信的策略管理 可信的用户管理 可信的审计机制 合规性,可信安全管理,虚拟机防护 虚拟机加密存储 安全补丁管理 加固,定制OS,ZXCCP DHSS,ZXDFS,IVAS,可信云计算,接入安全,应用层认证 SSO * 共享秘密GBA/口令 公钥证书 数字证书,终端软件完整性 终端硬件完整性 通过验证终端设备的软硬件
4、完整性来保证设备安全,C数据机密性 I 数据完整性 A可用性 保证数据在通信链路中传输过程的安全,可信接入安全,不同SSO机制下的身份联盟,身份认证和 服务提供分离,虚拟化安全,传统虚拟化面临的挑战,IP地址依赖性 虚拟机散乱 无法监控主机间通讯 孤立的安全政策方法,提供足够信息逐条回放虚拟机上执行的任务,通过建立具有各种依赖关系的攻击事件链,从而重构出攻击细节,Syn-Cookie(主机)/ Syn-Gate(网关),Random Drop算法,带宽限制和QoS保证,专业防御DoS攻击产品,负载均衡,网络中都有大量成熟的现成工具可以利用,比较常见和有效的有Trinoo、TFN、Stachel
5、draht、TFN2K,虚拟机隔离 虚拟机安全组 虚拟机安全规则 防地址欺骗 阻断对虚拟机端口扫描,嗅探,虚拟机镜像加密存储 系统安全定制,检查工具 补丁测试,安装 精简定制加固OS,网络安全,针对云计算环境,建议: 内/外网Web服务器、4A、应用服务器、IDS/IPS等放置于DMZ域,作为堡垒机;,动态数据安全 域间安全 域内安全 静态数据安全 访问控制 数据加密 完善的冗余校验、备份恢复、异地容灾手段是云存储安全的保障,堡垒主机,安全域,合规性,用户管理,可信的审计机制,策略管理,登录策略 密码设置策略 登录IP管理策略 认证/授权策略 数据安全策略 日志策略 可视、可配置.,查询日志 备份日志 删除日志 ,增加用户 删除用户 修改用户信息 查询用户信息 分角色、分权分域,SAS 70, ISO 27001, FISMA, EU DPD, SOX, GLBA, HIPPA, PCI DSS, Basel II, California A.B.21,安全管理,谢谢,恳请各位领导批评指正,
