云计算关键领域安全指南.pptxVIP

@CISRG SECURITY DEPARTMENT OF NEUSOFT 云计算关键领域安全指南 云计算安全的关注域 云计算安全 治理域 运行域 ISO38500 ISO17799 ISO27002 （？） TOPIC 云计算安全运行域的具体实现 云计算体系中的安全关注点 如何划分云计算体系中的安全域 如何构建云计算安全的技术体系 如何建设云计算安全中的应急响应机制 PART I 一个标准的云计算体系安全解析 云计算中的安全关注点（1） 首要关注点：数据安全 云计算系统的核心业务： 为用户提供云计算与云存储服务 用户关心自身数据流转全过程的安全性： 数据上传→数据处理→数据处理→数据存储→数据下载 云计算中的安全关注点（2） 服务商关注点：系统运维安全 服务商核心工作： 确保客户数据安全与自身业务连续性 典型云计算体系拓扑图 用户数据的流转过程 1.数据生成 3.数据缓存 2.数据传输 4.数据处理 5.数据存储 保障业务连续性的关键节点 存储保障 链路保障 业务保障 管理保障 PART 2 云计算体系中的安全域划分 由云的服务类型划分安全域 云计算 服务群 云存储 存储介质群 存储控制群 云计算 运算服务器群 运算控制群 云计算体系安全域的简单划分 存储区域 运算区域 核心安全域 业务支撑域 网络节点 链路通信 运维保障域 运维系统 云计算体系的重新表述 PART 3 构建云计算安全的技术体系 云安全与传统安全的区别 缺乏透明度 业务不透明 业务流程不透明 管理机制不透明 数据状况不透明 数据流转过程不透明 正常业务的基本保障 客户选择的理由 客户驱动决定核心技术 数据容灾备份技术 加密与身份 控制识别技术 数据容灾备份技术 数据容灾备份的本质是数据冗余 通信链路的冗余架设。（线路、节点全部冗余） 数据存储设备自身的冗余机制。（Raid） 数据存储体系设计中的冗余机制。（增量或异地备份） 加密与身份识别控制 数据加密与身份识别贯穿用户业务的全过程 用户在上传数据前即自行加密，上传加密数据。 传输过程中使用VPN进行加密传输，防止嗅探。 数据存储过程中进行加密存储。 备份数据应以密文形式原样备份。 通过为用户颁发数字证书进行身份识别，且该电子签名应与其拥有的数据严格绑定并控制其权限。 云安全技术体系的实践构架 PART 4 云安全中的应急响应机制 事件应急响应的分类 安全事件响应 设备自动响应 事件告警处理 事件自动干涉 人员应急响应 现场/远程手动处理 设备自动应急响应体系（1） 防火墙与IDS联动形成的简单自动防御响应 UTM/IPS内置防御规则的简单自动防御响应 中间件系统及抗DDOS系统对异常并发连接的简单响应机制 设备自动应急响应体系（2） 设备自动应急响应体系（3） SOC在云安全体系中的应用 在互联网环境中，支持云安全技术的网关设备可以通过SOC进行远程联动。 利用云计算环境资源，进行更加高效的安全日志关联分析与存储，得出更加准确的安全事件告警与响应。 结合事件管理与工单派发系统与人员手动响应机制进行关联。 设备自动应急响应体系（4） 利用关联分析完成准确响应 1、何谓关联分析 是指利用算法去判断一系列报警事件是否源于同一个攻击行为并完成攻击场景的重构。这种攻击行为具有单一的攻击意图，可以包括单个简单的攻击行为和由一系列攻击步骤组成的复杂的攻击行为，也被命名为攻击场景。其中关联分析是整个网络报警处理的核心，利用关联分析技术处理安全设备所产生的报警事件现在是安全管理研究中的一个热点问题。在实际网络环境下，攻击者在实施攻击的过程中，其扫描行为、口令试探行为、访问文件行为、会话、流量往往会在不同的安全工具上留下相应的特征。关联分析正是要依靠下辖的IDS节点、VPN网关、防火墙、路由器等安全设备提供的这些安全特征信息来对网络安全全局状况作出判断。 2、关联分析方法 目前关联分析的方法有很多，典型的包括统计关联分析、基于规则的关联分析、基于脆弱性和资产的关联分析等。