基于CDN的安私有云.docxVIP

基于CDN的安全私有云 - PAGE \* MERGEFORMAT21 - - PAGE \* MERGEFORMAT1 - 基于CDN的安全私有云 作者：盛瀚 北京银行。 摘要：本文分析了私有云面临主要维威胁及相应提出的安全需求，设计一套基于CDN的安全私有云平台架构，包括智能WAF防火墙、智能蜜罐、分布式全流量检测取证、分布式云存储等关键技术。 关键词：云 安全 私有云 1.云计算安全现状 云计算模式将数据统一存储在云计算服务器，对核心数据进行集中管控，比传统分布在大量终端上的数据行为更安全。数据的集中使得安全审计、安全评估、安全运维等行为更加简单易行，同时更容易实现系统容错、高可用性和冗余及灾备恢复。但云计算在带来方便快捷的同时也带来新的挑战。全球领先的信息技术研究和顾问公司Gartner认为，全球云安全服务将保持强劲增长势头，在2017年达到59亿美元，相比2016年增长21%。云安全服务市场的整体增速高于信息安全（information security）总体市场。Gartner预计，云安全服务市场将在2020年接近90亿美元。 1.1.云计算面临的威胁 随着云提供商不断积累运营经验和技术的日益成熟，云故障的频率和持续时间都在减少。但与此同时，企业却在面对宕机的时候变得越来越脆弱，依赖性也越来越高，潜在的危害，或者强烈的挫折感，变得比以往任何时候都更大。总结回顾一下近期发生的云安全事件： 2016年1月18日，Microsoft Office 365的用户的电子邮件账户出现问题，微软将故障归咎于一次错误的软件更新，但是其初次修复的尝试并没有解决问题，在最初的故障出现五天之后，2月22日再次爆发了电子邮件故障。 2016年4月11日，Google Cloud Platform出现18分钟的中段，影响到Compute Engine实例和所有地区的VPN服务。 2016年6月2日，Apple云发生广泛的服务中断，让Apple一些受欢迎的零售和备份服务服务都出现中断，造成部分客户无法访问多个iCloud和App Store服务，同时App Store、Apple TV App Store和Mac App Store、iTunes和Apple基于云的图片服务都遇到了中断。 2017年2月28日晚8点39分，百度移动端搜索发生故障，搜索请求无法显示结果，至晚9点21分恢复，历时42分钟。 … CSA云安全联盟列出的2016年“十二大云安全威胁”。依排序分别为1.数据泄露 2.凭证被盗和身份验证如同虚设 3.界面和API被黑 4.系统漏洞利用 5.账户劫持 6.恶意内部人士 7.APT(高级持续性威胁)寄生虫 8.永久的数据丢失 9.调查不足 10.云服务滥用 11.拒绝服务(DoS)攻击 12.共享技术，共享危险问题。 把云计算环境下的安全威胁细化，并按系统保护的基本要求进行对应，可得到如下的云计算环境下的具体安全威胁： (1)网络安全部分 业务高峰时段或遭遇DDoS攻击时的大流量导致网络拥堵或网络瘫痪 重要网段暴露导致来自外部的非法访问和入侵 单台虚拟机被入侵后对整片虚拟机进行的渗透攻击，并导致病毒等恶意行为在网络内传播蔓延 虚拟机之间进行的ARP攻击、嗅探 云内网络带宽的非法抢占 重要的网段、服务器被非法访问、端口扫描、入侵攻击 云平台管理员因账号被盗等原因导致的从互联网直接非法访问云资源 虚拟化网络环境中流量的审计和监控 内部用户或内部网络的非法外联行为的检查和阻断 内部用户之间或者虚拟机之间的端口扫描、暴力破解、入侵攻击等行为 (2)主机安全部分 服务器、宿主机、虚拟机的操作系统和数据库被暴力破解、非法访问的行为 对服务器、宿主机、虚拟机等进行操作管理时被窃听 同一个逻辑卷被多个虚拟机挂载导致逻辑卷上的敏感信息泄露 对服务器的Web应用入侵、上传木马、上传webshell等攻击行为 服务器、宿主机、虚拟机的补丁更新不及时导致的漏洞利用以及不安全的配置和非必要端口的开放导致的非法访问和入侵 虚拟机因异常原因产生的资源占用过高而导致宿主机或宿主机下的其它虚拟机的资源不足 (3)资源抽象安全部分 虚拟机之间的资源争抢或资源不足导致的正常业务异常或不可用 虚拟资源不足导致非重要业务正常运作但重要业务受损 缺乏身份鉴别导致的非法登录hypervisor后进入虚拟机 通过虚拟机漏洞逃逸到hypervisor，获得物理主机的控制权限 攻破虚拟系统后进行任易破坏行为、网络行为、对其它账户的猜解，和长期潜伏 通过hypervisor漏洞访问其它虚拟机 虚拟机的内存和存储空间被释放或再分配后被恶意攻击者窃取 虚拟机和备份信息在迁移或删除后被窃取 hypervisor、虚拟系统、云平台不及时更新或系统漏洞导致的攻击入侵 虚拟机可能因运