面向云计算的安全测试解决方案---国信安.pptVIP

针对云计算服务本身设计、提供的应用安全措施进行测试，如云安全审计。 针对云计算服务需要借助外部提供的安全机制进行应用安全测试，如身份管理、云访问控制、通信保密等。 四、云安全测评解决方案 Solution C C 应用安全测评 密码算法配置及实现、密码资源使用、密码协议、安全防护机制等的测评。 镜像、模板文件加密、密钥的使用迁移、云系统消息队列加密、虚拟网络加密、VirtIO加密等各种应用场景下的加解密的测评。 四、云安全测评解决方案 Solution D D 密码管理测评 提供云安全测评服务 supplying the service 五、云安全测评服务业务 云设备安全测试 虚拟机 虚拟化网络 云存储 IaaS管理平台 周边设备 …… 功能、性能指标 虚拟化安全 访问控制 安全审计 加密认证 ...... 五、云安全测评服务业务 云平台安全测试 桌面云 数据中心云 基础设施云 平台云 应用云 …… 功能、性能指标 虚拟化安全 平台安全 数据安全 应用安全 访问控制 安全审计 密码使用和管理 ....... 五、云安全测评服务业务 云服务安全评估 IaaS云服务 PaaS云服务 SaaS云服务 …… 终端接入与认证 用户数据隔离与清除 访问控制 安全审计 系统稳定性 物理和环境安全 运营商服务承诺 ....... 云安全测评方案适用于云计算产品、平台、服务的安全测试 云安全测评环境和工具 测试环境： 专用实验室 工具： 六、云安全测评环境和工具 六、云安全测评环境和工具 功能性能测试工具：IXIA chariot、Spirent TestCenter、Memtest86+等20余款。 渗透测试工具：渗透测试Metasploit、漏洞扫描Webinspect、AppScan、漏洞挖掘工具Peach Fuzzing等。 云平台 安全测试工具 安全测试 专有工具 Ovirt－KVM、Open stack－KVM等。 自主研发云平台安全测试系统 六、云安全测评环境和工具 云平台安全测试系统 虚拟化安全隔离检测工具 针对云平台虚拟机间内存、网络、存储资源安全隔离措施的有效性提供技术检测手段。 云平台安全扫描工具 针对云平台关键组件已知漏洞提供扫描检测手段。 云平台安全加密验证工具 针对云平台用户与云端服务器网络通信加密、云平台管理组件间网络通信加密，以及云平台数据存储加密措施提供技术验证手段。 From Now On Come True Security Thanks！ 面向云计算的安全测评解决方案 中国网安检测测评中心 二O一五年十二月 Contents 云安全风险分析 2 中国网安检测测评中心介绍 3 4 5 云安全测评背景 1 6 云安全测评解决方案 云安全测评服务业务 云安全测评环境和工具 用户将自己的应用和数据迁移到云端，其应用和数据的安全直接依赖于在云端所采取的安全措施。如果安全措施不到位，那么云计算和服务将面临数据安全风险、虚拟化风险、终端安全风险、运行风险等安全威胁。 一、云安全测评背景 一、云安全测评背景 在云中实施的安全措施对用户是缺乏透明度的，用户不能确切掌握云端安全措施的机制和有效性，这使得云用户对云计算心存忧虑，云安全成为影响云计算市场推广的关键。 为提升用户信心和安全保障，为用户选择哪种云服务提供参考，采取第三方云安全测评变得十分必要。 用户信任Users trust 安全手段 secure means 云计算作为一种创新的服务形态，存在传统的安全风险，同时也引入了一些新的安全风险。 二、云安全风险分析 虚拟化的风险 虚拟机逃逸及非法越界风险 Hypervisor层漏洞 虚拟机漂移风险 镜像、模板和快照文件缺乏保护措施 Hypervisor管理员不可信 虚拟网络中虚拟机间的相互攻击和控制 虚拟网络流量不可见 对虚拟机行为审计难度加大 虚拟客户机内部监控手段缺失 …… 虚拟virtual 二、云安全风险分析 数据安全风险 数据集中后用户对数据控制力度减弱 数据访问控制粒度不够 数据残留 数据隔离不彻底 …… 终端管控安全风险 终端接入与认证手段减弱 终端传输泄密 终端无法保证丢失免责 终端管理混乱 …… 二、云安全风险分析 其他风险 云系统管理员权利过大 云租户之间的安全隔离与访问控制 密码使用及密钥管理的难度