2014年云安全技术概述.pptVIP

云安全技术概述 程晓峰 广东计安信息网络培训中心 课程要点 什么是云计算 什么是云安全 保护云计算的安全性（云计算安全） 安全作为云计算的一种服务（安全云） 什么是云计算？ 天下大势，合久必分，分久必合，计算机技术的分合演义 早期计算技术以合为特征—曲高和寡 个人电脑的发展使分成为了主流—计算机飞入寻常百姓家 网络技术的发展使云计算成为了合的模式，计算和存储通过网络隐形于云端—大象无形 云：新时代的曙光 云 – 短期内过度宣传，长期看过于低估 计算成为了一种实用工具 改变一切：商业模式、风险投资、研究开发…… 什么是云计算？ 李德毅院士： 云计算包括信息基础设施（硬件、平台、软件）以及建立在基础设施上的信息服务，提供各类资源的网络被称为“云”，“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取、按需使用、随时扩展、按使用付费 什么是云计算？ 计算成为了一种实用工具：计算的第三个时代来临 云的推动者 摩尔定律 超速连接 服务导向架构 供应商等级 主要特征 灵活，按需服务 多租户 计量服务 云计算NIST工作定义可视化模式 宽带网络 快速灵活 测量服务 按需自助服务 资源共享 软件即服务（SaaS） 平台即服务（PaaS） 基础设施即服务（IaaS） 共有 私有 混合 社区 基本特征 交付方式 配置模式 NIST定义 五大特征 三种服务模式 三种部署模式 云计算五大特征 按需自服务 用户可以在需要时自动配置计算能力，例如服务器时间和网络存储，根据需要自动计算能力，而无需与服务供应商的服务人员交互。 宽带接入 服务能力通过网络提供，支持各种标准接入手段，包括各种瘦或胖客户端平台（例如移动电话、笔记本电脑、或PDA），也包括其它传统的或基于云的服务。 虚拟化的资源“池” 提供商的计算资源汇集到资源池中，使用多租户模型，按照用户需要，将不同的物理和虚拟资源动态地分配或再分配给多个消费者使用。资源的例子包括存储、处理、内存、网络带宽以及虚拟机等。即使是私有的“云”往往也趋向将资源虚拟“池”化来为组织的不同部门提供服务。 快速弹性架构 服务能力可以快速、弹性地供应 – 在某些情况下自动地 – 实现快速扩容、快速上线。对于用户来说，可供应的服务能力近乎无限，可以随时按需购买。 可测量的服务 云系统之所以能够自动控制优化某种服务的资源使用，是因为利用了经过某种程度抽象的测量能力（例如存储、处理、带宽或者活动用户账号等）。人们可以监视、控制资源使用、并产生报表，报表可以对提供商和用户双方都提供透明。 云计算三种服务模式 四种部署模式 云计算核心原则 云计算Gartner图 什么是云安全？ 云安全的不同研究方向 云计算安全 安全 云 保护云计算本身的安全——云计算安全 “也许我们起名叫‘云计算’本身就是一个失误，因为这名字很容易让人感觉有趣和安全。但事实上，网络中充满了威胁和险恶，如果我们当初把它叫做‘沼泽计算(swamp computing)’或许更能够让人们对它有一个正确的认识。” 云，安全？沼泽计算？ Ronald L. Rivest RSA算法设计者 云计算架构的安全问题 云计算面临的安全威胁 Threat #1: Abuse and Nefarious Use of Cloud Computing 云计算的滥用、恶用、拒绝服务攻击 Threat #2: Insecure Interfaces and APIs 不安全的接口和API Threat #3: Malicious Insiders 恶意的内部员工 Threat #4: Shared Technology Issues 共享技术产生的问题 Threat #5: Data Loss or Leakage 数据泄漏 Threat #6: Account or Service Hijacking 账号和服务劫持 Threat #7: Unknown Risk Profile 未知的风险场景 恶意使用 攻击者使用云的理由与合法消费者相同——低成本进行巨量处理 说明 密码破解、DDoS、恶意存取、垃圾邮件、cc服务器、CAPTCHA破解等 影响 现在在中搜索MalwareDomainL，可获得21个结果 “过去三年中，ScanSafe记录了与amazonaws相关的80个恶意事件” – ScanSafe博客 Amazon的EC2出现了垃圾邮件和恶意软件的问题 - Slashdot 举例 数据丢失/数据泄漏 由于不合适的访问控制或弱加密造成数据破解 因为多租户结构，不够安全的数据风险较高 说明 数据完整性和保密性 影响 喂，别碰我的云：可以查询第三方电脑云中的数据泄漏（UCSD/MIT） 研究详细技术，确保图像位于相同的物理硬件中，然后利用跨虚拟机攻击检查数据泄漏 举例