8单元10_4虚拟化环境和云环境的安全性.pptVIP

* 谢谢！ * EMC 认证专家。版权所有 ? 2012 EMC Corporation。保留所有权利。 Module 14：Securing the Storage Infrastructure 本课程将讲述下列主题： 安全问题 安全措施 第 4 课：虚拟化环境和云环境的安全性 * 保护存储基础架构的安全 虚拟化环境和云环境的安全性 多重租用和缺少对云资源的控制使这些环境面临额外威胁 所有云模型都存在某些特定于虚拟化的常见安全问题 在公有云中，还存在需要特定对策的其他安全问题 在公有云中强制实施安全措施时，客户端只能进行少量控制 云服务提供商 (CSP) 难以满足所有客户端的安全需求 * 安全问题 多重租用 使用同一组存储资源为多个独立租户提供服务 一台服务器托管多个虚拟机以及共享相同资源会扩大攻击面 攻击速度快 与传统数据中心相比，云中的现有安全威胁传播更快，影响更大 信息保证和数据隐私 * 安全措施 保护计算 保护物理服务器、虚拟机和虚拟机管理程序 保护网络 虚拟防火墙 提供虚拟机到虚拟机通信的数据包筛选和监视 DMZ 和数据加密 保护存储 访问控制和数据加密 对虚拟机配置文件和虚拟机数据使用单独的 LUN 隔离虚拟机通信和管理通信 * 安全措施 保护计算 保护物理服务器、虚拟机和虚拟机管理程序 保护网络 虚拟防火墙 提供虚拟机到虚拟机通信的数据包筛选和监视 DMZ 和数据加密 保护存储 访问控制和数据加密 对虚拟机配置文件和虚拟机数据使用单独的 LUN 隔离虚拟机通信和管理通信 * 总结 本模块涵盖以下要点： 信息安全框架 安全存储域 可针对各域中已确定的威胁部署的控制措施 SAN 安全体系结构 SAN、NAS 和 IP SAN 环境中的保护机制 虚拟化环境和云环境的安全性 * 知识测验 – 1 哪种攻击涉及执行操作和消除可证明攻击者身份的证据？ 拒绝服务 窃听 否认攻击 嗅探 在 Kerberos 身份验证中，Active Directory 的角色是什么？ 实施身份验证服务和票证授予服务 在建立客户端-服务器会话时验证会话 ID 验证用户的登录信息 维护服务器的安全密钥 * 知识测验 - 2 如何减少 IT 环境中的漏洞？ 尽可能扩大攻击面和减小攻击难度 尽可能缩小攻击面和加大攻击难度 尽可能扩大攻击面和攻击难度 尽可能缩小攻击面和攻击难度 哪种 SAN 安全机制可阻止启用交换机端口，即使在交换机重新启动后也一样？ 端口锁定 永久禁用端口 端口绑定 端口分区 * 知识测验 – 3 哪种安全机制可确保只能初始化特定端口类型的端口？ 端口锁定 永久禁用端口 端口绑定 端口分区 * * 本张幻灯片特意留空。 本课程概述虚拟化环境和云环境的安全性， 还介绍虚拟化环境和云环境中的安全问题和采取的相应措施。 * 目前为止，本模块只重点介绍了传统数据中心中的安全威胁和采取的相应措施。这些威胁和措施还适用于虚拟化环境和云环境中的信息存储。但是，由于多重租用和缺少对云资源的控制，虚拟化和云计算环境会给组织数据带来其他威胁。与私有云相比，公有云的安全问题更多，需要其他对策。这是因为在公有云中，云用户（消费者）通常对资源的控制能力有限，因此，对消费者强制实施安全机制相对比较困难。从安全角度考虑，消费者和云服务提供商 (CSP) 都面临多个安全问题和威胁。 * 组织正在快速采用虚拟化和云计算，但他们面临一些安全问题。这些主要安全问题包括多重租用、攻击速率、信息保证和数据隐私。 采用虚拟化技术的多重租用使多个独立租户能够使用同一组存储资源。尽管多重租用可提供许多好处，但它仍是用户和服务提供商面临的主要安全问题。一台服务器托管多个虚拟机和共享相同的资源会扩大攻击面。可能会发生这样的情况：某租户的业务关键数据由其他竞争租户访问，这些竞争租户使用相同的资源运行应用程序。 攻击速度快是指与传统数据中心环境相比，云中的现有安全威胁传播更快，影响更大。为用户提供信息保证可确保云中数据的机密性、完整性和可用性。而且，云用户需要确保云中运行的所有用户信息真实可靠，并且仅使用合法权限和在指定范围内访问数据。 数据隐私也是虚拟化环境和云环境中的主要问题。CSP 需要确保防止在未经授权的情况下泄露有关其客户的个人身份信息 (PII)。 * 由于攻击者会在计算、网络和物理安全级别发起攻击，因此对虚拟化环境和云环境中存储系统的主要威胁不断增加。这是因为存储系统的访问权限是通过使用计算和网络基础架构来提供的。因此，应在计算和网络级别实施足够的安全措施，以确保存储安全。 保护计算基础架构包括强制保护物理服务器、虚拟机管理程序、虚拟机和来宾 操作系统（在虚拟机中运行的操作系统）。物理服务器安全涉及实施