《云计算 云存储以及信息安全-课件》由会员分享,可在线阅读,更多相关《云计算 云存储以及信息安全-课件(77页珍藏版)》请在金锄头文库上搜索。
1、1,云计算及信息安全,Cloud Computing and Information Security,2,目录,云数据安全,Hadoop介绍,虚拟化技术介绍,云计算介绍,3,云计算介绍,云计算(Cloud Computing)是什么?,云计算的核心思想,是将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。提供资源的网络被称为“云”。,4,云计算介绍,云计算(Cloud Computing)的特点,数据在云端:不怕丢失,不必备份,可以任意点的恢复 ; 软件在云端:不必下载自动升级 ; 无所不在的计算:在任何时间,任意地点,任何设备登录后就可以进行计算服务; 无限强大的
2、计算:具有无限空间的,无限速度。,5,云计算介绍,云计算的三种服务模式-IaaS,1. 基础设施即服务(IaaS)通过互联网提供了数据中心、基础架构硬件和软件资源。IaaS可以提供服务器、操作系统、磁盘存储、数据库和/或信息资源。,Amazon的EC2 (Amazon Elastic Compute Cloud) 其核心技术是虚拟化,6,云计算介绍,云计算的三种服务模式-IaaS,亚马逊的EC2 (Amazon Elastic Compute Cloud) Standard Instances Small Instance (Default) 1.7 GB of memory, 1 EC2 C
3、ompute Unit (1 virtual core with 1 EC2 Compute Unit), 160 GB of local instance storage, 32-bit platform Large Instance 7.5 GB of memory, 4 EC2 Compute Units (2 virtual cores with 2 EC2 Compute Units each), 850 GB of local instance storage, 64-bit platform Extra Large Instance 15 GB of memory, 8 EC2
4、Compute Units (4 virtual cores with 2 EC2 Compute Units each), 1690 GB of local instance storage, 64-bit platform,7,云计算介绍,云计算的三种服务模式-IaaS,8,云计算介绍,云计算的三种服务模式-PaaS,2. 开发平台即服务(PaaS)将一个开发平台作为服务提供给用户,通过PaaS这种模式,用户可以在一个包括SDK,文档和测试环境等在内的开发平台上非常方便地编写应用,而且不论是在部署,或者在运行的时候,用户都无需为服务器,操作系统,网络和存储等资源的管理操心.PaaS主要的用
5、户是开发人员。,Google App Engine,Google:GFS, BigTable, MapReduce, Chubby, BORG,丰富的应用、自动的资源调度、精细的管理和监控https:/ 软件即服务(SaaS)提供给客户的服务是运营商运行在云计算基础设施上的应用程序,用户可以在各种设备上通过瘦客户端界面访问如浏览器。消费者不需要管理或控制任何云计算基础设施,包括网络、服务器、操作系统、存储等等;,Google Docs Gmail GoogleApps GoogleDrive,10,目录,云数据安全,Hadoop介绍,虚拟化技术介绍,云计算介绍,11,虚拟化技术介绍,云计算是一
6、种交付和消费模式,而虚拟化是支持此模式的一种技术。虚拟化为云计算提供了很好的底层技术平台,而云计算则是最终产品。 Virtualization is the infrastructure for the cloud, where the cloud is the final product.,云计算与虚拟化的关系,12,当服务器整合遇到虚拟化,IT管理开始具有流动性与自动化 When server consolidating meets virtualization: IT liquidity and automation fledge,更低的IT消耗 利用率更高 复杂性更低 自动化更高更高的
7、服务品质 更加安全 集中管理 可无中断移动的应用程序,虚拟化技术介绍,13,一个虚拟化示例:数据存储,2018/9/1,13,用户,初级,高级,用户,存储单元,OS,存储虚拟化,用户,用户,用户,用户,mov dx, 0152h,fwrite(fp, “973“, size),14,系统虚拟化的产生,计算系统利用率不高!,2018/9/1,14,“多数用户承认,计算系统平均利用率只有25%30%”,Dan Herington HP虚拟化技术首席科学家,性能测试报告,来自权威性能测试机构Metrons Athene 对一个计算系统进行两天监测的数据,15,系统虚拟化的产生,计算系统灵活性不高!,
8、2018/9/1,15,计算中心,浪费时间 操作繁琐 机器闲置时间较多,原因: 应用软件与操作系统、硬件紧耦合,16,什么是系统虚拟化,2018/9/1,16,虚拟机管理器VMM,操作系统,应用程序,多个系统融合在一台服务器上资源利用率高 应用系统不再依赖特定的硬件系统维护灵活,硬件发展迅速,系统虚拟化是将底层物理设备与上层操作系统、软件分离的一种去耦合技术 虚拟化的目标是实现IT资源利用效率和灵活性的最大化,17,三个基本概念,在一台物理主机上虚拟出多个虚拟计算机(虚拟机,Virtual Machine,VM),其上能同时运行多个独立的操作系统,这些客户操作系统(Guest OS)通过虚拟机
9、管理器(Virtual Machine Monitor,VMM,也称作Hypervisor)访问实际的物理资源,2018/9/1,17,18,提高资源利用率,2018/9/1,18,生物 计算,虚拟化技术支持下的高效能 计算机,信息 服务业,军事 仿真,先进 制造,19,提高系统灵活性,2018/9/1,19,计算系统虚拟化支撑平台(虚拟机管理器VMM),动态二进制翻译和优化硬件辅助虚拟化软硬件协同设计,20,另一种形式的系统虚拟化,多机聚合虚拟化,2018/9/1,20,21,系统虚拟化的应用,虚拟机的特征及应用 相互隔离 动态构建 动态部署 在线迁移 动态资源调整 服务器融合 容错支持:在
10、线备份、Checkpoint ,虚拟机管理器VMM,22,动态快速部署,2018/9/1,22,虚拟机库,虚拟机管理器,虚拟机管理器,虚拟机管理器,需要Windows操作系统 需要DirectX的编程库 需要MPI通讯库,银河,神威,23,动态快速部署,2018/9/1,23,虚拟机库,虚拟机管理器,虚拟机管理器,虚拟机管理器,需要Windows操作系统 需要DirectX的编程库 需要MPI通讯库,Redhat Linux操作系统 需要MySQL数据库 需要Apache服务器,银河,神威,24,虚拟机在线迁移,2018/9/1,24,25,2018/9/1,25,消除热点 一个物理机上的资源
11、不能满足它上面虚拟机的要求,负载过重 通过迁移平衡负载节能 很多时候资源非常空闲 通过迁移减少活动的物理机,30%,30%,40%,20%,10%,服务器融合,26,虚拟机容错,2018/9/1,26,27,硬件层虚拟化 Full Virtualization: VMware Workstation Para-Virtualization: VMware ESX,Xen 操作系统级虚拟化Linux-VSerser、Virtuozzo(OpenVZ)、LWVM等 编程语言级虚拟化JVM等 程序库级虚拟化Wine、Cygwin,虚拟化技术介绍,虚拟化技术分类,28,虚拟化技术介绍,硬件级虚拟化的体
12、系结构,VMware-WorkStation,Xen,VMware ESX,Intel VT-x,AMD-V,29,虚拟化技术介绍,云基础设施的本质特点,多租户的特点 复杂的工作量 信息的隐蔽性 单点接入机制 较少的物理设备 复杂的网络拓扑,30,虚拟化技术介绍,云基础设施的本质特点,多租户的特点位于同一个云平台上的用户通过共享硬件资源和部分应用程序来运行各自的虚拟机。这种特征增大了云基础设施的攻击面,使得信息泄露、VM到VM以及VM到VMM的攻击成为可能。,裸金属架构云平台,31,虚拟化技术介绍,云基础设施的本质特点,复杂的工作量云物理服务器中的网络流量和工作负载随着服务器的聚集而增加,这就
13、增加了管理云工作量的复杂性。,信息的隐蔽性用户不知道他们使用的数据和的服务在云平台中的位置,而云服务商不知道他们运行虚拟机中的内容是什么。,32,虚拟化技术介绍,云基础设施的本质特点,单点接入机制虚拟服务器只提供有限数量的网络接口卡(NIC)给所有的虚拟机。,较少的物理设备由于服务器和网络的虚拟化,物理设备(比如网卡、交换机等)的数量减少了。,33,虚拟化技术介绍,云基础设施的本质特点,复杂的网络拓扑VM的移动特性导致了不可预测的网络拓扑结构,云服务器的工作量随着时间改变,云架构也在不停的变化中。,VM迁移技术,34,虚拟化技术介绍,Xen架构,35,虚拟化技术介绍,Microsoft Hyp
14、er-V架构,36,虚拟化技术介绍,Hyper-V介绍,Hyper-V 是一种虚拟机监控器,采用微内核架构,主要作用就是管理、调度虚拟机的创建和运行,并提供硬件资源的虚拟化。Hyper-V是一个只有300多K的小程序,用于连接硬件和虚拟机。支持4个虚拟处理器,64 GB内存,并且支持x64操作系统和VLAN功能。,Hyper-V 虚拟机的总体架构,37,虚拟化技术介绍,Hyper-V的安全性,VMM程序小,代码执行时发生错误的概率降低;Hyper-V中不包含任何第三方的驱动,所有部件只拥有执行相关功能所必须的权限,所以安全性也得到提升。,VMM运行在最底层, 父分区和子分区比宿主机和虚拟机更加
15、独立,大大增加了通过虚拟机攻击其他计算机系统的难度, 提高了安全性。,使用VSP/VSC架构,VMBus起到对虚拟机第一层安全保护的作用;VMM层只做最核心的CPU调度和内存管理,形成了纵深的安全防护体系。,Hypervisor 运行的层次,虚拟机内核 拥有的权限,虚拟系统的 安全防御体系,38,虚拟化技术介绍,虚拟化漏洞报道,Host OS、Guest OS 的漏洞:本地权限提升等第三方软件漏洞 :VMware会大量的使用第三方软件,如果第三方软件有漏洞, VMware一样会受到影响。 虚拟机逃逸:(1)共享文件夹 、(2) DHCP Server、(3)VMware中的用于支持客操作系统向
16、外面的操作系统通讯的渠道,39,虚拟化技术介绍,虚拟化漏洞报道,虚拟机中的网络流量能见度问题:用户无法监控虚拟服务器之间的网络流量,这些数据包从未离开过真实的服务器,因而传统的安全工具无法分析这些流量,而传统的网络入侵防御系统无法保护基于同一个物理服务器的众多虚拟服务器。带宽问题:云计算不仅使得互联网的使用增加,而且还增加了网络堵塞瓶颈的风险。,40,虚拟化技术介绍,虚拟化安全领域的研究,传统的安全措施 针对虚拟化技术的安全措施 虚拟机监控器微内核架构的研究 针对VMM层的防护,此领域的研究可被分为以下几类:,41,虚拟化技术介绍,虚拟化安全领域的研究,传统的安全措施关注点在于如何利用现有的安全技术(比如:防火墙、入侵检测系统等等)保证云平台的安全性。严重的限制1. 降低了系统的性能;2. 无法阻止虚拟机和虚拟交换器之间的攻击;3. 没有考虑云架构的复杂性;4.需要在每一个虚拟机上安装安全代理或驱动来执行检测功能。,
