深入浅出云计算安全.pdf

深入浅出云计算安全 吴翰清 2012-07 Who am I? • Alibaba security (7 years) (3个月，1w册) icloud是云吗？ 互联网未来的入口 随时随地上网 改变了使用互联网的方式 但这不是传统意义的云计算 云计算的前世今生 电厂模式 Utility Computing 网格计算 云计算 云计算的使命 Computing as Utility 两种云计算 弹性计算 海量数据计算 弹性计算改变建站方式 按需使用，按需付费 专业运维服务化 快速部署，自助开通 互联网的长尾用户 运营商、政府、公安、金融 中小站长、创业者 弹性计算冲击安全产业 “奢侈品”变成“消费品” “销售模式”变成“互联网模式” Security as a Service 结论：变革的浪潮就在眼前 弹性计算的安全挑战 巨大的共享环境 网络安全问题 虚拟化技术安全问题 • 全虚拟化、半虚拟化、操作系统级虚拟化 • 虚拟机逃逸问题 (CVE-2011-1898) • D.O.S. Guest Guest OS OS Domain Domain Domain Host 0 … U U xx Hypervisor Hardware XEN的DOS •CVE-2012-2625 XEN 4.x •CVE-2010-4255 XEN 4.0.1 •CVE-2010-4247 XEN 3.4.0 •CVE-2010-3699 XEN 3.x AppEngine的环境安全 • Java sandbox • PHP sandbox 语言级沙箱 系统级沙箱 CVE-2012-0507 • Attacking java security manager 突破java sandbox 弹性计算的网络安全 防火墙API 防止ARP 欺骗、srcip伪造 自动化清洗DDOS 海量数据计算的安全