云計算解決方案之云安全匯總

1、云計算解決方案之云安全匯總云計算解決方案之云安全提綱云計算平臺面臨的威脅云計算安全平臺框架云計算安全四方面足夠安全的云計算對用戶至關重要75CIO關心云計算安全關心云計算安全63的的CIO關心云計算的性能和投資成本關心云計算的性能和投資成本云計算安全問題關注云計算安全問題關注l服務可用性服務可用性l數(shù)據(jù)機密性和完整性數(shù)據(jù)機密性和完整性l隱私權的保護隱私權的保護IDC autumn 202X云計算平臺安全問題分析安全認證l攻擊攻擊p中間人攻擊p重放攻擊p僵尸網(wǎng)絡p拒絕式服務攻擊l客戶客戶l身份偽造身份偽造l冒充冒充l云計算應用認證根密鑰竊取云計算應用認證根密鑰竊取虛擬化安全l漏洞攻擊漏洞攻擊pV

2、MWare 漏洞pHyperVM：zero-dayp僵尸網(wǎng)絡p拒絕式服務攻擊l黑客盜用黑客盜用拒絕服務攻擊lDoS&DDoSp不是云計算特有p關鍵核心數(shù)據(jù)和服務遷移到云計算中心p拒絕服務帶來的后果影響更嚴重l消耗主機可用資源消耗主機可用資源pLand、Teardrop、SYN Flood、UDP Flood、ICMP Flood、Smurfp消耗服務器鏈路帶寬云制圖攻擊lDoS&DDoSp定位在第三方云計算服務托管的Web服務器物理位置的計劃。云制圖旨在繪制服務提供商的基礎設施，以確定特定虛擬機（VM）可能的位置。l存在的攻擊行為p攻擊亞馬遜數(shù)據(jù)共享的API設置p旁道攻擊其它：

3、訪問控制授權、數(shù)據(jù)機密性及完整性、隱私權保護、入侵檢測、容災及數(shù)據(jù)冗余、惡意代碼防役提綱云計算平臺面臨的威脅云計算安全平臺框架云計算安全四方面云計算安全平臺框架提綱云計算平臺面臨的威脅云計算安全平臺框架云計算安全四方面四方面安全考慮定制加固定制加固Linux基于基于Xen、KVM的開源系統(tǒng)的開源系統(tǒng)虛擬化虛擬化業(yè)務計算資源調(diào)度業(yè)務計算資源調(diào)度分布式數(shù)據(jù)庫分布式數(shù)據(jù)庫分布式文件系統(tǒng)分布式文件系統(tǒng)通用通用PC或刀片或刀片大規(guī)模計算平臺大規(guī)模計算平臺安全域動態(tài)數(shù)據(jù)安全靜態(tài)數(shù)據(jù)安全可信可信的接入安全的接入安全可信可信虛擬化安全虛擬化安全可信可信網(wǎng)絡安全網(wǎng)絡安全可信的接入認證可信的終端設備可信的通信鏈路

4、可信的策略管理可信的用戶管理可信的審計機制合規(guī)性可信可信安全管理安全管理虛擬機防護虛擬機加密存儲安全補丁管理加固，定制OSZXCCP DHSSZXCCP DHSSZXDFSZXDFSIVASIVAS可信云計算可信云計算接入安全n 應用層認證n SSO *n 共享秘密GBA/口令n 公鑰證書 數(shù)字證書n 終端軟件完整性n 終端硬件完整性n 通過驗證終端設備的軟硬件完整性來保證設備安全n C數(shù)據(jù)機密性n I 數(shù)據(jù)完整性n A可用性n 保證數(shù)據(jù)在通信鏈路中傳輸過程的安全可信接入安全不同不同SSO機制下的身份聯(lián)盟機制下的身份聯(lián)盟身份認證和身份認證和服務提供分離服務提供分離終端軟硬件信息及簽名OMC獲取

5、終端的軟硬件信息，與來自TrE的軟硬件信息進行比對請求設備完整性認證設備完整性驗證結果利用HTTPS對基于HTTP傳輸?shù)臄?shù)據(jù)進行安全保護利用TLS對基于TCP傳輸?shù)臄?shù)據(jù)進行安全保護利用DTLS對基于UDP傳輸?shù)臄?shù)據(jù)進行安全保護利用IPSec對基于IP承載的數(shù)據(jù)進行安全保護虛擬化安全p傳統(tǒng)虛擬化面臨的挑戰(zhàn)n IP地址依賴性n 虛擬機散亂n 無法監(jiān)控主機間通訊n 孤立的安全政策方法n 提供足夠信息逐條回放虛擬機上執(zhí)行的任務，通過建立具有各種依賴關系的攻擊事件鏈，從而重構出攻擊細節(jié)n Syn-Cookie(主機)/n Syn-Gate(網(wǎng)關)n Random Drop算法n 帶寬限制和QoS保證n

6、專業(yè)防御DoS攻擊產(chǎn)品n 負載均衡n 網(wǎng)絡中都有大量成熟的現(xiàn)成工具可以利用，比較常見和有效的有Trinoo、TFN、Stacheldraht、TFN2Kn 虛擬機隔離n 虛擬機安全組n 虛擬機安全規(guī)則n 防地址欺騙n 阻斷對虛擬機端口掃描，嗅探n 虛擬機鏡像加密存儲n 系統(tǒng)安全定制，檢查工具n 補丁測試，安裝n 精簡定制加固OS網(wǎng)絡安全n 針對云計算環(huán)境，建議：內(nèi)/外網(wǎng)Web服務器、4A、應用服務器、IDS/IPS等放置于DMZ域，作為堡壘機；n 動態(tài)數(shù)據(jù)安全 域間安全 域內(nèi)安全n 靜態(tài)數(shù)據(jù)安全n 訪問控制n 數(shù)據(jù)加密n 完善的冗余校驗、備份恢復、異地容災手段是云存儲安全的保障堡壘主機堡壘主機l基于角色的細粒度基于角色的細粒度訪問授權訪問授權l(xiāng)用戶訪問行為審計用戶訪問行為審計、監(jiān)控、回放、監(jiān)控、回放安全域安全域登錄策略密碼設置策略 登錄IP管理策略 認證/授權策略數(shù)據(jù)安全策略日志策略可視、可配置.查詢?nèi)罩緜浞萑罩?刪除日志 增加用戶刪除用戶修改用戶信息查詢用戶信息 分角色、分權分域安全管理謝謝懇請各位領導批評指正人有了知識，就會具備各種分析能力，明辨是非的能力。所以我們要勤懇讀書，廣泛閱讀，古人說“書中自有黃金屋。”通過閱讀科技書