《模块2-:云计算基础设施安全》由会员分享,可在线阅读,更多相关《模块2-:云计算基础设施安全(57页珍藏版)》请在金锄头文库上搜索。
1、 模块2:云计算基础设施安全1 1 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.学习目标 云计算基础设施的组件 不同部署模型的安全情况 基于虚拟基础设施工作的安全优点和缺点 如何保护云管理平面的安全 不同服务模型的安全基本知识2 2 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.云基础设施安全3 3 2012 Securosis LLC and Cloud Security AllianceAll Rights Reser
2、ved.保护底层基础设施4 4 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.举例:IaaS如何工作5VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor计算池 管理协调存储池管理协调计算控制器存储/容量控制器管理网络(使用API库)外部世界5 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.公共云 vs.私有云6VMVMHypervisorVMVMHyperviso
3、rVMVMHypervisorVMVMHypervisor计算池管理协调存储池管理协调外部世界在公共云中,你只能控制你购买的部分,附加很少的管理能力管理网络(使用API库)计算控制器存储/容量控制器6 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.基础设施组件8Image Service镜像服务Identity Service身份服务7 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.基础设施组件案例9Image Servic
4、eIdentity ServiceAll of these core components need to be securely configured, patched, hardened, and maintained.所有核心组件都需要进行安全配置、更新补丁、加固和维护8 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.保护云基础设施10 9 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.加固主机和服务加固主机 所有云仍
5、运行在硬件之上,因此关于数据中心安全的所有知识还都适用,服务器和服务需要进行适时的更新,建设时需要有冗余的措施,以使得更新数据库或消息服务器时不需要停止云的运行加固和隔离主机上的服务 云运行在一组服务上并将这些服务整合在一起,每个服务都跟其它服务器一样需要被保护。如果攻击者入侵了云中的任何一个组件,它们就可能控制你的整个云系统,因此应关掉不使用的任何功能。 有些云服务总想以不必要的较高的权限来运行(比如使用一个数据库root帐号)你需要尽量让每个服务以尽可能低的权限来运行。1110 2012 Securosis LLC and Cloud Security AllianceAll Rights
6、 Reserved.关于物理安全云中心的选址:避开地震带,洪水易侵蚀的地区,考虑当地的犯罪率、政治稳定情况、供电等。边界安全的4D手段:阻止deter、检测detect、延缓delay、否决deny机房的基础设施建设:防火、防水、防盗措施在选择云服务前,用户需要与服务提供商充分的沟通,了解其在物理安全方面的保障能力,以及改进的能力,从而判定是否满足自身的风险偏好。关于灾备与恢复计划:定义恢复点和恢复时间目标,选择运服务时需要考虑云中心的位置、风险程度,以及恢复要素的记录是否与目标一致云备份和灾难恢复服务的目标是:降低云服务提供商为客户付出的基础设施、应用和总体业务过程的成本1111 2012
7、Securosis LLC and Cloud Security AllianceAll Rights Reserved.虚拟机管理程序安全1212 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.IaaS网络1313 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.架构安全考虑1414 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.保护架构1
8、5使用信任/可用区进行隔离以满足安全和合规要求普通区安全区VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor网络池A网络池C网络池B存储池A存储池C15 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.Management Plane Security管理平面安全1616 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.管理平台关键功能虚机
9、迁移虚机供应启动/停机配置资源池计算存储网络(VLAN)安全考虑鉴权访问控制日志/监控管理平面是私有云的关键点,需要进行精细的保护1717 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.信任状管理Resources to helpShlomo Swidler - http:/ Mitch Garnaat - http:/ 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.云管理中的IAM(身份和访问管理) 基于角色的访问控制 不
10、同提供商/平台管控粒度不同 不同产品线管控粒度不同 寻找集成外部SSO或者目录服务的能力 调研第三方工具1919 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.虚拟主机和网络的安全2020 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.Host Security主机安全2121 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.虚拟化考虑不同的
11、hypervisor/虚拟化技术以及云平台的组合包含了不同安全特征和选项集合。在一个私有云(不论是位于内部还是外部)部署中处理虚拟化技术时通常需要考虑的一些问题:你或你的提供商采用的是什么类型的虚拟化?在提供层次化的安全保护中使用了何种第三方的安全技术?虚拟机中采用了什么安全控制?采用了何种日志审计手段?服务合同中是否限定了服务商应提供一定级别的安全?虚拟机中的安全机制是否被用来提供底层平台的监控?2222 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.虚拟网络23虚拟网络与安全虚拟网络与物理网络面临的安全问
12、题是类似的.虚拟网络总是运行在物理网络之上.虚拟网络提供了一种更简单的层次栈以构建私有云更多的控制是通过VLAN提供的.虚拟网络对网络安全监测和控制带来了显著的变化23 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.虚拟网络24服务器1服务器2物理网络VMVMVMVMVMVM虚拟网络虚拟网卡!物理网卡24 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.失去网络可视性25服务器1服务器2物理网络VMVMVMVMVMVM虚拟网络
13、虚拟化后物理网络服务器1服务器2虚拟化前25 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.虚拟防火墙26虚拟防火墙是作为网络服务或者设备运行的防火墙的一个虚拟化实例虚拟防火墙可以以桥模式或者hypervisor模式运行可以作为一个设备部署,也可以安装到一个虚拟机上26 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.物理网络Server 2虚拟防火墙27Server 1VMVMVMVMVMVM桥接虚拟防火墙FW物理网络Ser
14、ver 2Server 1VMVMVMVMVMVMFWFWHypervisor虚拟防火墙27 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.软件定义网络(SDN)提供了一个分离的控制平面,使得安全保护更加容易OpenFlow是SDN的一个例子 管理员可实现远程访问控制管理典型情况下采用基于角色的访问控制进行访问管理2828 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.网络安全建议评估你的hypervisor及云平台的监控和
15、强制选项识别存在的差距利用云平台特定的改进措施或主机保护措施进行弥补 通常来讲,主要需要依靠主机IPS/IDS/防火墙 需要在虚拟网络层进行监控,而不仅监控物理网络上 注意虚拟设备可能存在的性能问题2929 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.IAAS安全3030 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.IaaS安全:期望什么?3131 2012 Securosis LLC and Cloud Securit
16、y AllianceAll Rights Reserved.IaaS 安全IaaS与运行自己的基础设施有何相同之处?又有何不同之处? 通常你从提供商处获得什么?从提供商处又获得不了什么?在上述限制下构建你的安全合规?身份管理自动化处理云中加密的信任状3232 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.IaaS有何相同之处?3333 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.IaaS有何不同?3434 2012 Sec
17、urosis LLC and Cloud Security AllianceAll Rights Reserved.服务提供商提供了什么3535 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.IaaS 安全:从哪里开始3636 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.总结IaaSIaaS与现有的基础设施拥有更多的相同点(与不同点相比)最重要的问题是弄清你将会获得什么(在获得它们之前)这将告诉你为了提供合理的安全和保护你
18、需要做什么由于服务在迅速的变得成熟,将来会变得更好3737 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.Paas 安全3838 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.PaaS如何工作(这只是其中之一)3939VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor计算池Management and Orchestration存储池Management and
19、Orchestration计算控制器存储控制器管理网络(使用API库)外部世界应用平台ApplicationApplicationApplicationApplication39 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.PaaS安全4040 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.总结PaaSPaaS与现有的基础设施也很相似PaaS安全取决于良好的应用设计和对云环境的深入理解需要知道服务商允许你做什么以及不允许做
20、什么随着接口和产品的成熟,PaaS的安全也会变得更好4141 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.Saas安全4242 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.Examples of SaaSSaaS举例4343 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.SaaS - What you can (usually) con
21、trolSaaS你(通常)所能控制的4444 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.SaaS4545 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.总结SaaS安全SaaS=多租户的ASP(应用服务提供商)人们更加熟悉的云服务案例SaaS提供最少的数据控制能力控制(以及数据保护责任)交给服务提供商4646 2012 Securosis LLC and Cloud Security AllianceAll Rights
22、 Reserved.总结理解基础设施(云底层的组件)的结构Hypervisor和虚拟网络对安全控制带来了部分改变,将更多的安全推到主机/虚机实例中管理平面和API库是通向云的钥匙,必须进行高强度的保护。尽可能多的采取隔离措施保护密钥设施组件,保持它们的长期安全4747 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练习题什么类型的安全是防范试图以物理方式亲自进入计算设施的入侵者或访问者的第一道防线? 防火墙网络安全财务安全边界安全社会安全物理安全通常是第一道防线,用于防范授权和授权的对组织物理资产的访问,对记
23、录、商业秘密的窃取,以及工业间谍和欺诈。TRUEFALSE4848 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练习题什么类型的安全是防范试图以物理方式亲自进入计算设施的入侵者或访问者的第一道防线? 防火墙网络安全财务安全边界安全社会安全物理安全通常是第一道防线,用于防范授权和授权的对组织物理资产的访问,对记录、商业秘密的窃取,以及工业间谍和欺诈。TRUEFALSE4949 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练
24、习题下面哪项最可能在数据中心里被审计?一个在数据中心中运行且包含被监管信息的应用个人信息比如姓名和住址不受监管的信息非属性信息比如性别或种族等,被保存以用于EO报告用户名和密码在哪种环境下不可能允许客户自行开展审计,从而使得数据中心运营商必须为客户提供审计变得非常重要?单租户环境多应用,单租户环境多租户环境分布式计算方案远距离关系5050 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练习题下面哪项最可能在数据中心里被审计?一个在数据中心中运行且包含被监管信息的应用个人信息比如姓名和住址不受监管的信息非属性信
25、息比如性别或种族等,被保存以用于EO报告用户名和密码在哪种环境下不可能允许客户自行开展审计,从而使得数据中心运营商必须为客户提供审计变得非常重要?单租户环境多应用,单租户环境多租户环境分布式计算方案远距离关系5151 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练习题一个多租户数据中心如何迅速满足大多数客户的审计需求?允许客户自行审计以便满足他们自己的需求指定你的数据中心仅为非监管信息服务,这样审计就不需要了允许任意方不受限制的数据审计,特别是政府的当数据存储在一个第三方数据中心时审计是不需要的针对一项规章
26、和安全标准模板开展审计并向客户公布审计结果使安全审计变得严重复杂化的虚拟机迁移特征是指什么?不同类别的数据在相同物理机器上可能被混合的问题将虚机从一台物理服务器转移到另一台服务器上但不产生告警或可追踪的审计踪迹的能力性能降低虚机客户加固以上都不是5252 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练习题一个多租户数据中心如何迅速满足大多数客户的审计需求?允许客户自行审计以便满足他们自己的需求指定你的数据中心仅为非监管信息服务,这样审计就不需要了允许任意方不受限制的数据审计,特别是政府的当数据存储在一个第三
27、方数据中心时审计是不需要的针对一项规章和安全标准模板开展审计并向客户公布审计结果使安全审计变得严重复杂化的虚拟机迁移特征是指什么?不同类别的数据在相同物理机器上可能被混合的问题将虚机从一台物理服务器转移到另一台服务器上但不产生告警或可追踪的审计踪迹的能力性能降低虚机客户加固以上都不是5353 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练习题在多租户云计算环境中,在同一个虚拟环境中的全部租户都将:接受最低的安全公分母。接受最高的安全公分母。 接受独立于虚拟化的安全服务。 在相同的安全边界中。提供他们自己的安
28、全增强。虚拟机通信如何能够绕过网络安全控制措施?大多网络安全系统无法识别加密的虚机流量虚拟机通信会使用一个硬件背板虚拟机管理程序(hypervisors)依赖多网络接口虚机镜像可能包含绕开防火墙的工具客户操作系统可以激活秘密模式5654 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练习题在多租户云计算环境中,在同一个虚拟环境中的全部租户都将:接受最低的安全公分母。接受最高的安全公分母。接受独立于虚拟化的安全服务。在相同的安全边界中。提供他们自己的安全增强。虚拟机通信如何能够绕过网络安全控制措施?大多网络安全系统无法识别加密的虚机流量虚拟机通信会使用一个硬件背板虚拟机管理程序(hypervisors)依赖多网络接口虚机镜像可能包含绕开防火墙的工具客户操作系统可以激活秘密模式5755部分资料从网络收集整理而来,供大家参考,感谢您的关注!
