云计算安全体系.docx

魏兴国（有舒） 2014年5月 2005年绿盟 2006年雅虎 2008年阿里巴巴 ? 2008 - 2010传统安全 .2010-现在 云计算安全 鬣％舊Iwffl回i 駁畿g廿长也t 璽審艇奮K t 養gM清 t 喉皿 大规模 ?巨大的二层网络 ?海量的带宽,百万级的VM 带来的问题 攻击频度和攻击力度前所未有 某些攻击影响面扩大（ARP欺骗、DDoS等） III 开放性 ■用户拥有网络、服务器等层面的控制权限 ■咅B署任意的应用 带来的问题 灵活意味着弱控制力 不再具备普适性的安全策略 “安全〃的职责范围 ?违法信息处理 「■色情 I ?赌博 ?私服 恶意行为检测 ?垃圾邮件 .欺诈网站 ?扫描探测 来自内部的攻击 ?传统安全域被打破 ?出现更底层的攻击方式 ?虚拟层的穿透 流量不可见 流量不可控 我能要个二层的么? 我能要个二层的么? 云与传统隔离的矛盾 UF.?传统业务，硬件防火墙物理隔离 UF. ?—般的网络方案，netfilter安全组，三层隔离 监控与隐私保护的平衡 ?不监控如何检测攻击和非法信息? ■监控如何保障隐私问题？ SaaS(Map, e-mail； search, security ) SaaS(Map, e-mail； search, security ) Cloud market Linux DataCenter SaaS(Map, e-mail； search, security SaaS(Map, e-mail； search, security ) Cloud market Linux DataCenter 二层隔离 ?跨越城市的大二层网络 ?基于VXLAN的二层隔离技术 分布式虚拟防火墙 ?用户自定义访问控制策略 ?策略自动跟随VM迁移而迁移 ?专利优化ACL查找性能 恶意报文过滤 ?VM岀方向，进入网络之前过滤 ■动态的信息绑定 ?全类型 ?以太网头部伪造 ARP报文伪造 IP头部伪造 ?高危端口 SYN报文速率 基于数据分析的个性化策略 基于数据分析的个性化策略 分析什么 ? BPS、PPS、QPS、TCP Connection变化曲线 ?访问地址、时间分布 做什么 ?对VM影响最小的扫描时间和扫描策略选择 ?最可靠的DDoS防御策略 ?针对业务的WAF策略 1哭2.84.M5.W7;2菸 1哭 2.8 4.M 5.W 7; 2菸 隐私保护 ?宏观统计，不涉及数据内容 6000 598 4000 3-000 2330 1M0 开放的云安全市场 可 UW5W 余全如US 芯3壬±學 u*貝 效EM 安 廉努;《安全加ia及,tit 服将器安全加固及调优 忻怕:V200W 七响 AJST s 26 附魄心：：LinuKJ Windows 交付时间:3天 此亡品匂含了斑协两 站律加同用積用程序如問三卻駁客.皿棉容角“浅也mua訊N 凭。府戒珥盅全j 点及应用曲钵受巨*上的*攻/ r会釦5行于巨亭网之上. E舅 恤， 5￡1运研埼 峋症钥I 混彝 PHP PHP 运行环境(Ubuntu 64fc|PHP5.2| Nginx) ■ iwiASMnnRi^ :千苏侦二:VLC 冬谣叢:Ubuntu UM 就 賞歩# :器叩江口? hginxl.47. MSQL5.L73. phpM^dnir MID, Ne FT*: LO女 MmachedL4J8 …口 m tf?吭 g經用聊） 钢安全代维 ■身屯.也顽中玄SB砂B巨1?*丐侵公霓 ur 妙 A3S： 10 呆?Rtf 工:Linua/Windows 蹈门的庵有冊土辛代催届其财通?疋E尊妹 題点及应用后序不晋互段冋P幻畧g会『5^行于互擘网之 能福谷. oomins帝牌扌WlftY代代*寿全饪式岁全代婚旅莒 金牌主机安全代维服务 晦隽矿 u仿岡諮■二技古阳公司 Eicm◎壬J M : ?19fi8.00 .用人改:9 也兩SWftJWO : ^7ndow￡/UnUM 13 喚聘 配工■ PHP运行环境(Ubuntu64校I PHP521 Apache) h ：辭，成無ms优 号祁ST : VLO 祐，:Ubuntu 12M MQ SSSrrt: ApachLZJ? MySQL5.L73. pFaM^Acrwft^.HO 1.135. MemcachedM 18 ：D：C] 5^H r? 07C ，ECSM赠计: