《模块2:云计算基础设施安全》由会员分享,可在线阅读,更多相关《模块2:云计算基础设施安全(55页珍藏版)》请在金锄头文库上搜索。
1、模块2:云计算基础设施安全,1,学习目标,云计算基础设施的组件 不同部署模型的安全情况 基于虚拟基础设施工作的安全优点和缺点 如何保护云管理平面的安全 不同服务模型的安全基本知识,2,云基础设施安全,3,保护底层基础设施,4,举例:IaaS如何工作,5,计算池,管理协调,存储池,管理协调,计算控制器,存储/容量控制器,管理网络 (使用API库),外部世界,公共云 vs.私有云,6,计算池,管理协调,存储池,管理协调,外部世界,在公共云中,你只能控制你购买的部分,附加很少的管理能力,管理网络 (使用API库),计算控制器,存储/容量控制器,基础设施组件,8,Image Service 镜像服务,
2、Identity Service 身份服务,基础设施组件案例,9,Image Service,Identity Service,All of these core components need to be securely configured, patched, hardened, and maintained. 所有核心组件都需要进行安全配置、更新补丁、加固和维护,保护云基础设施,10,加固主机和服务,加固主机 所有云仍运行在硬件之上,因此关于数据中心安全的所有知识还都适用,服务器和服务需要进行适时的更新,建设时需要有冗余的措施,以使得更新数据库或消息服务器时不需要停止云的运行 加固和隔
3、离主机上的服务 云运行在一组服务上并将这些服务整合在一起,每个服务都跟其它服务器一样需要被保护。如果攻击者入侵了云中的任何一个组件,它们就可能控制你的整个云系统,因此应关掉不使用的任何功能。 有些云服务总想以不必要的较高的权限来运行(比如使用一个数据库root帐号)你需要尽量让每个服务以尽可能低的权限来运行。,11,关于物理安全,云中心的选址:避开地震带,洪水易侵蚀的地区,考虑当地的犯罪率、政治稳定情况、供电等。 边界安全的4D手段:阻止deter、检测detect、延缓delay、否决deny 机房的基础设施建设:防火、防水、防盗措施 在选择云服务前,用户需要与服务提供商充分的沟通,了解其在
4、物理安全方面的保障能力,以及改进的能力,从而判定是否满足自身的风险偏好。 关于灾备与恢复计划:定义恢复点和恢复时间目标,选择运服务时需要考虑云中心的位置、风险程度,以及恢复要素的记录是否与目标一致 云备份和灾难恢复服务的目标是:降低云服务提供商为客户付出的基础设施、应用和总体业务过程的成本,11,虚拟机管理程序安全,12,IaaS网络,13,架构安全考虑,14,保护架构,15,使用信任/可用区进行隔离以满足安全和合规要求,普通区,安全区,网络池A,网络池C,网络池B,存储池A,存储池C,Management Plane Security 管理平面安全,16,管理平台,关键功能 虚机迁移 虚机供
5、应 启动/停机 配置资源池 计算 存储 网络(VLAN),安全考虑 鉴权 访问控制 日志/监控 管理平面是私有云的关键点,需要进行精细的保护,17,信任状管理,Resources to help Shlomo Swidler - Mitch Garnaat - ,18,云管理中的IAM(身份和访问管理),基于角色的访问控制 不同提供商/平台管控粒度不同 不同产品线管控粒度不同 寻找集成外部SSO或者目录服务的能力 调研第三方工具,19,虚拟主机和网络的安全,20,Host Security 主机安全,21,虚拟化考虑,不同的hypervisor/虚拟化技术以及云平台的组合包含了不同安全特征和选
6、项集合。在一个私有云(不论是位于内部还是外部)部署中处理虚拟化技术时通常需要考虑的一些问题: 你或你的提供商采用的是什么类型的虚拟化? 在提供层次化的安全保护中使用了何种第三方的安全技术? 虚拟机中采用了什么安全控制?采用了何种日志审计手段?服务合同中是否限定了服务商应提供一定级别的安全? 虚拟机中的安全机制是否被用来提供底层平台的监控?,22,虚拟网络,23,虚拟网络与安全 虚拟网络与物理网络面临的安全问题是类似的. 虚拟网络总是运行在物理网络之上. 虚拟网络提供了一种更简单的层次栈以构建私有云 更多的控制是通过VLAN提供的. 虚拟网络对网络安全监测和控制带来了显著的变化,虚拟网络,24,
7、服务器1,服务器2,物理网络,VM,VM,VM,VM,VM,VM,虚拟网络,虚拟网卡!物理网卡,失去网络可视性,25,服务器1,服务器2,物理网络,VM,VM,VM,VM,VM,VM,虚拟网络,虚拟化后,物理网络,服务器1,服务器2,虚拟化前,虚拟防火墙,26,虚拟防火墙是作为网络服务或者设备运行的防火墙的一个虚拟化实例 虚拟防火墙可以以桥模式或者hypervisor模式运行 可以作为一个设备部署,也可以安装到一个虚拟机上,物理网络,Server 2,虚拟防火墙,27,Server 1,VM,VM,VM,VM,VM,VM,桥接虚拟防火墙,FW,物理网络,Server 2,Server 1,VM
8、,VM,VM,VM,VM,VM,FW,FW,Hypervisor虚拟防火墙,软件定义网络(SDN),提供了一个分离的控制平面,使得安全保护更加容易 OpenFlow是SDN的一个例子 管理员可实现远程访问控制管理 典型情况下采用基于角色的访问控制进行访问管理,28,网络安全建议,评估你的hypervisor及云平台的监控和强制选项 识别存在的差距 利用云平台特定的改进措施或主机保护措施进行弥补 通常来讲,主要需要依靠主机IPS/IDS/防火墙 需要在虚拟网络层进行监控,而不仅监控物理网络上 注意虚拟设备可能存在的性能问题,29,IAAS安全,30,IaaS安全:期望什么?,31,IaaS 安全
9、,IaaS与运行自己的基础设施有何相同之处? 又有何不同之处? 通常你从提供商处获得什么? 从提供商处又获得不了什么? 在上述限制下构建你的安全,合规? 身份管理 自动化 处理云中加密的信任状,32,IaaS有何相同之处?,33,IaaS有何不同?,34,服务提供商提供了什么,35,IaaS 安全:从哪里开始,36,总结IaaS,IaaS与现有的基础设施拥有更多的相同点(与不同点相比) 最重要的问题是弄清你将会获得什么(在获得它们之前) 这将告诉你为了提供合理的安全和保护你需要做什么 由于服务在迅速的变得成熟,将来会变得更好,37,Paas 安全,38,PaaS如何工作(这只是其中之一),39
10、,39,外部世界,应用平台,Application,Application,Application,Application,PaaS安全,40,总结PaaS,PaaS与现有的基础设施也很相似 PaaS安全取决于良好的应用设计和对云环境的深入理解 需要知道服务商允许你做什么以及不允许做什么 随着接口和产品的成熟,PaaS的安全也会变得更好,41,Saas安全,42,Examples of SaaS SaaS举例,43,SaaS - What you can (usually) control SaaS你(通常)所能控制的,44,SaaS,45,总结SaaS安全,SaaS=多租户的ASP(应用服务
11、提供商) 人们更加熟悉的云服务案例 SaaS提供最少的数据控制能力 控制(以及数据保护责任)交给服务提供商,46,总结,理解基础设施(云底层的组件)的结构 Hypervisor和虚拟网络对安全控制带来了部分改变,将更多的安全推到主机/虚机实例中 管理平面和API库是通向云的钥匙,必须进行高强度的保护。尽可能多的采取隔离措施 保护密钥设施组件,保持它们的长期安全,47,练习题,什么类型的安全是防范试图以物理方式亲自进入计算设施的入侵者或访问者的第一道防线? 防火墙 网络安全 财务安全 边界安全 社会安全 物理安全通常是第一道防线,用于防范授权和授权的对组织物理资产的访问,对记录、商业秘密的窃取,
12、以及工业间谍和欺诈。 TRUE FALSE,48,练习题,什么类型的安全是防范试图以物理方式亲自进入计算设施的入侵者或访问者的第一道防线? 防火墙 网络安全 财务安全 边界安全 社会安全 物理安全通常是第一道防线,用于防范授权和授权的对组织物理资产的访问,对记录、商业秘密的窃取,以及工业间谍和欺诈。 TRUE FALSE,49,练习题,下面哪项最可能在数据中心里被审计? 一个在数据中心中运行且包含被监管信息的应用 个人信息比如姓名和住址 不受监管的信息 非属性信息比如性别或种族等,被保存以用于EO报告 用户名和密码 在哪种环境下不可能允许客户自行开展审计,从而使得数据中心运营商必须为客户提供审
13、计变得非常重要? 单租户环境 多应用,单租户环境 多租户环境 分布式计算方案 远距离关系,50,练习题,下面哪项最可能在数据中心里被审计? 一个在数据中心中运行且包含被监管信息的应用 个人信息比如姓名和住址 不受监管的信息 非属性信息比如性别或种族等,被保存以用于EO报告 用户名和密码 在哪种环境下不可能允许客户自行开展审计,从而使得数据中心运营商必须为客户提供审计变得非常重要? 单租户环境 多应用,单租户环境 多租户环境 分布式计算方案 远距离关系,51,练习题,一个多租户数据中心如何迅速满足大多数客户的审计需求? 允许客户自行审计以便满足他们自己的需求 指定你的数据中心仅为非监管信息服务,
14、这样审计就不需要了 允许任意方不受限制的数据审计,特别是政府的 当数据存储在一个第三方数据中心时审计是不需要的 针对一项规章和安全标准模板开展审计并向客户公布审计结果 使安全审计变得严重复杂化的虚拟机迁移特征是指什么? 不同类别的数据在相同物理机器上可能被混合的问题 将虚机从一台物理服务器转移到另一台服务器上但不产生告警或可追踪的审计踪迹的能力 性能降低 虚机客户加固 以上都不是,52,练习题,一个多租户数据中心如何迅速满足大多数客户的审计需求? 允许客户自行审计以便满足他们自己的需求 指定你的数据中心仅为非监管信息服务,这样审计就不需要了 允许任意方不受限制的数据审计,特别是政府的 当数据存
15、储在一个第三方数据中心时审计是不需要的 针对一项规章和安全标准模板开展审计并向客户公布审计结果 使安全审计变得严重复杂化的虚拟机迁移特征是指什么? 不同类别的数据在相同物理机器上可能被混合的问题 将虚机从一台物理服务器转移到另一台服务器上但不产生告警或可追踪的审计踪迹的能力 性能降低 虚机客户加固 以上都不是,53,练习题,在多租户云计算环境中,在同一个虚拟环境中的全部租户都将: 接受最低的安全公分母。 接受最高的安全公分母。 接受独立于虚拟化的安全服务。 在相同的安全边界中。 提供他们自己的安全增强。 虚拟机通信如何能够绕过网络安全控制措施? 大多网络安全系统无法识别加密的虚机流量 虚拟机通信会使用一个硬件背板 虚拟机管理程序(hypervisors)依赖多网络接口 虚机镜像可能包含绕开防火墙的工具 客户操作系统可以激活秘密模式,56,练习题,在多租户云计算环境中,在同一个虚拟环境中的全部租户都将: 接受最低的安全公分母。 接受最高的安全公分母。 接受独立于虚拟化的安全服务。 在相同的安全边界中。 提供他们自己的安全增强。 虚拟机通信如何能够绕过网络安全控制措施? 大多网络安全系统无法识别加密的虚机流量 虚拟机通信会使用一个硬件背板 虚拟机管理程序(hypervisors)依赖多网络接口 虚机镜像可能包含绕开防火墙的工具 客户操作系统可以激活秘密模式,57,
