模塊2：云計算基礎(chǔ)設(shè)施安全

模塊2：云計算基礎(chǔ)設(shè)施安全第一頁，共56頁。學(xué)習(xí)目標云計算基礎(chǔ)設(shè)施的組件不同部署模型的安全情況基于虛擬基礎(chǔ)設(shè)施工作的安全優(yōu)點和缺點如何保護云管理平面的安全不同服務(wù)模型的安全基本知識2第二頁，共56頁。云基礎(chǔ)設(shè)施安全3第三頁，共56頁。保護底層基礎(chǔ)設(shè)施4第四頁，共56頁。舉例：IaaS如何工作5VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor計算池

管理協(xié)調(diào)存儲池管理協(xié)調(diào)計算控制器存儲/容量控制器管理網(wǎng)絡(luò)(使用API庫)外部世界第五頁，共56頁。公共云vs.私有云6VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor計算池管理協(xié)調(diào)存儲池管理協(xié)調(diào)外部世界在公共云中，你只能控制你購買的部分，附加很少的管理能力管理網(wǎng)絡(luò)(使用API庫)計算控制器存儲/容量控制器第六頁，共56頁?；A(chǔ)設(shè)施組件8ImageService鏡像服務(wù)IdentityService身份服務(wù)第七頁，共56頁?；A(chǔ)設(shè)施組件案例9ImageServiceIdentityServiceAllofthesecorecomponentsneedtobesecurelyconfigured,patched,hardened,andmaintained.所有核心組件都需要進行安全配置、更新補丁、加固和維護第八頁，共56頁。保護云基礎(chǔ)設(shè)施10第九頁，共56頁。加固主機和服務(wù)加固主機

所有云仍運行在硬件之上，因此關(guān)于數(shù)據(jù)中心安全的所有知識還都適用，服務(wù)器和服務(wù)需要進行適時的更新，建設(shè)時需要有冗余的措施，以使得更新數(shù)據(jù)庫或消息服務(wù)器時不需要停止云的運行加固和隔離主機上的服務(wù)云運行在一組服務(wù)上并將這些服務(wù)整合在一起，每個服務(wù)都跟其它服務(wù)器一樣需要被保護。如果攻擊者入侵了云中的任何一個組件，它們就可能控制你的整個云系統(tǒng)，因此應(yīng)關(guān)掉不使用的任何功能。

有些云服務(wù)總想以不必要的較高的權(quán)限來運行（比如使用一個數(shù)據(jù)庫root帳號）你需要盡量讓每個服務(wù)以盡可能低的權(quán)限來運行。11第十頁，共56頁。關(guān)于物理安全云中心的選址：避開地震帶，洪水易侵蝕的地區(qū)，考慮當?shù)氐姆缸锫?、政治穩(wěn)定情況、供電等。邊界安全的4D手段：阻止deter、檢測detect、延緩delay、否決deny機房的基礎(chǔ)設(shè)施建設(shè)：防火、防水、防盜措施在選擇云服務(wù)前，用戶需要與服務(wù)提供商充分的溝通，了解其在物理安全方面的保障能力，以及改進的能力，從而判定是否滿足自身的風(fēng)險偏好。關(guān)于災(zāi)備與恢復(fù)計劃：定義恢復(fù)點和恢復(fù)時間目標，選擇運服務(wù)時需要考慮云中心的位置、風(fēng)險程度，以及恢復(fù)要素的記錄是否與目標一致云備份和災(zāi)難恢復(fù)服務(wù)的目標是：降低云服務(wù)提供商為客戶付出的基礎(chǔ)設(shè)施、應(yīng)用和總體業(yè)務(wù)過程的成本11第十一頁，共56頁。虛擬機管理程序安全12第十二頁，共56頁。IaaS網(wǎng)絡(luò)13第十三頁，共56頁。架構(gòu)安全考慮14第十四頁，共56頁。保護架構(gòu)15使用信任/可用區(qū)進行隔離以滿足安全和合規(guī)要求普通區(qū)安全區(qū)VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor網(wǎng)絡(luò)池A網(wǎng)絡(luò)池C網(wǎng)絡(luò)池B存儲池A存儲池C第十五頁，共56頁。ManagementPlaneSecurity

管理平面安全16第十六頁，共56頁。管理平臺關(guān)鍵功能虛機遷移虛機供應(yīng)啟動/停機配置資源池計算存儲網(wǎng)絡(luò)（VLAN）安全考慮鑒權(quán)訪問控制日志/監(jiān)控管理平面是私有云的關(guān)鍵點，需要進行精細的保護17第十七頁，共56頁。信任狀管理ResourcestohelpShlomoSwidler-MitchGarnaat-18第十八頁，共56頁。云管理中的IAM（身份和訪問管理）基于角色的訪問控制不同提供商/平臺管控粒度不同不同產(chǎn)品線管控粒度不同尋找集成外部SSO或者目錄服務(wù)的能力調(diào)研第三方工具19第十九頁，共56頁。虛擬主機和網(wǎng)絡(luò)的安全20第二十頁，共56頁。HostSecurity

主機安全21第二十一頁，共56頁。虛擬化考慮不同的hypervisor/虛擬化技術(shù)以及云平臺的組合包含了不同安全特征和選項集合。在一個私有云（不論是位于內(nèi)部還是外部）部署中處理虛擬化技術(shù)時通常需要考慮的一些問題:你或你的提供商采用的是什么類型的虛擬化？在提供層次化的安全保護中使用了何種第三方的安全技術(shù)？虛擬機中采用了什么安全控制？采用了何種日志審計手段？服務(wù)合同中是否限定了服務(wù)商應(yīng)提供一定級別的安全？虛擬機中的安全機制是否被用來提供底層平臺的監(jiān)控？22第二十二頁，共56頁。虛擬網(wǎng)絡(luò)23虛擬網(wǎng)絡(luò)與安全虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)面臨的安全問題是類似的.虛擬網(wǎng)絡(luò)總是運行在物理網(wǎng)絡(luò)之上.虛擬網(wǎng)絡(luò)提供了一種更簡單的層次棧以構(gòu)建私有云更多的控制是通過VLAN提供的.虛擬網(wǎng)絡(luò)對網(wǎng)絡(luò)安全監(jiān)測和控制帶來了顯著的變化第二十三頁，共56頁。虛擬網(wǎng)絡(luò)24服務(wù)器1服務(wù)器2物理網(wǎng)絡(luò)VMVMVMVMVMVM虛擬網(wǎng)絡(luò)虛擬網(wǎng)卡?。轿锢砭W(wǎng)卡第二十四頁，共56頁。失去網(wǎng)絡(luò)可視性25服務(wù)器1服務(wù)器2物理網(wǎng)絡(luò)VMVMVMVMVMVM虛擬網(wǎng)絡(luò)虛擬化后物理網(wǎng)絡(luò)服務(wù)器1服務(wù)器2虛擬化前第二十五頁，共56頁。虛擬防火墻26虛擬防火墻是作為網(wǎng)絡(luò)服務(wù)或者設(shè)備運行的防火墻的一個虛擬化實例虛擬防火墻可以以橋模式或者hypervisor模式運行可以作為一個設(shè)備部署，也可以安裝到一個虛擬機上第二十六頁，共56頁。物理網(wǎng)絡(luò)Server2虛擬防火墻27Server1VMVMVMVMVMVM橋接虛擬防火墻FW物理網(wǎng)絡(luò)Server2Server1VMVMVMVMVMVMFWFWHypervisor虛擬防火墻第二十七頁，共56頁。軟件定義網(wǎng)絡(luò)（SDN）提供了一個分離的控制平面，使得安全保護更加容易OpenFlow是SDN的一個例子管理員可實現(xiàn)遠程訪問控制管理典型情況下采用基于角色的訪問控制進行訪問管理28第二十八頁，共56頁。網(wǎng)絡(luò)安全建議評估你的hypervisor及云平臺的監(jiān)控和強制選項識別存在的差距利用云平臺特定的改進措施或主機保護措施進行彌補通常來講，主要需要依靠主機IPS/IDS/防火墻需要在虛擬網(wǎng)絡(luò)層進行監(jiān)控，而不僅監(jiān)控物理網(wǎng)絡(luò)上注意虛擬設(shè)備可能存在的性能問題29第二十九頁，共56頁。IAAS安全

30第三十頁，共56頁。IaaS安全：期望什么？31第三十一頁，共56頁。IaaS安全IaaS與運行自己的基礎(chǔ)設(shè)施有何相同之處？又有何不同之處？通常你從提供商處獲得什么？從提供商處又獲得不了什么？在上述限制下構(gòu)建你的安全合規(guī)？身份管理自動化處理云中加密的信任狀32第三十二頁，共56頁。IaaS有何相同之處？33第三十三頁，共56頁。IaaS有何不同？34第三十四頁，共56頁。服務(wù)提供商提供了什么35第三十五頁，共56頁。IaaS安全：從哪里開始36第三十六頁，共56頁?？偨Y(jié)－IaaSIaaS與現(xiàn)有的基礎(chǔ)設(shè)施擁有更多的相同點（與不同點相比）最重要的問題是弄清你將會獲得什么（在獲得它們之前）這將告訴你為了提供合理的安全和保護你需要做什么由于服務(wù)在迅速的變得成熟，將來會變得更好37第三十七頁，共56頁。Paas安全38第三十八頁，共56頁。PaaS如何工作（這只是其中之一）3939VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor計算池ManagementandOrchestration存儲池ManagementandOrchestration計算控制器存儲控制器管理網(wǎng)絡(luò)（使用API庫）外部世界應(yīng)用平臺ApplicationApplicationApplicationApplication第三十九頁，共56頁。PaaS安全40第四十頁，共56頁。總結(jié)－PaaSPaaS與現(xiàn)有的基礎(chǔ)設(shè)施也很相似PaaS安全取決于良好的應(yīng)用設(shè)計和對云環(huán)境的深入理解需要知道服務(wù)商允許你做什么以及不允許做什么隨著接口和產(chǎn)品的成熟，PaaS的安全也會變得更好41第四十一頁，共56頁。Saas安全42第四十二頁，共56頁。ExamplesofSaaS

SaaS舉例43第四十三頁，共56頁。SaaS-Whatyoucan(usually)control

SaaS－你（通常）所能控制的44第四十四頁，共56頁。SaaS45第四十五頁，共56頁?？偨Y(jié)－SaaS安全SaaS==多租戶的ASP（應(yīng)用服務(wù)提供商）人們更加熟悉的云服務(wù)案例SaaS提供最少的數(shù)據(jù)控制能力控制（以及數(shù)據(jù)保護責(zé)任）交給服務(wù)提供商46第四十六頁，共56頁?？偨Y(jié)理解基礎(chǔ)設(shè)施（云底層的組件）的結(jié)構(gòu)Hypervisor和虛擬網(wǎng)絡(luò)對安全控制帶來了部分改變，將更多的安全推到主機/虛機實例中管理平面和API庫是通向云的鑰匙，必須進行高強度的保護。盡可能多的采取隔離措施保護密鑰設(shè)施組件，保持它們的長期安全47第四十七頁，共56頁。練習(xí)題什么類型的安全是防范試圖以物理方式親自進入計算設(shè)施的入侵者或訪問者的第一道防線？防火墻網(wǎng)絡(luò)安全財務(wù)安全邊界安全社會安全物理安全通常是第一道防線，用于防范授權(quán)和授權(quán)的對組織物理資產(chǎn)的訪問，對記錄、商業(yè)秘密的竊取，以及工業(yè)間諜和欺詐。TRUEFALSE48第四十八頁，共56頁。練習(xí)題什么類型的安全是防范試圖以物理方式親自進入計算設(shè)施的入侵者或訪問者的第一道防線？防火墻網(wǎng)絡(luò)安全財務(wù)安全邊界安全社會安全物理安全通常是第一道防線，用于防范授權(quán)和授權(quán)的對組織物理資產(chǎn)的訪問，對記錄、商業(yè)秘密的竊取，以及工業(yè)間諜和欺詐。TRUEFALSE49第四十九頁，共56頁。練習(xí)題下面哪項最可能在數(shù)據(jù)中心里被審計？一個在數(shù)據(jù)中心中運行且包含被監(jiān)管信息的應(yīng)用個人信息比如姓名和住址不受監(jiān)管的信息非屬性信息比如性別或種族等，被保存以用于EO報告用戶名和密碼在哪種環(huán)境下不可能允許客戶自行開展審計，從而使得數(shù)據(jù)中心運營商必須為客戶提供審計變得非常重要？單租戶環(huán)境多應(yīng)用，單租戶環(huán)境多租戶環(huán)境分布式計算方案遠距離關(guān)系50第五十頁，共56頁。練習(xí)題下面哪項最可能在數(shù)據(jù)中心里被審計？一個在數(shù)據(jù)中心中運行且包含被監(jiān)管信息的應(yīng)用個人信息比如姓名和住址不受監(jiān)管的信息非屬性信息比如性別或種族等，被保存以用于EO報告用戶名和密碼在哪種環(huán)境下不可能允許客戶自行開展審計，從而使得數(shù)據(jù)中心運營商必須為客戶提供審計變得非常重要？單租戶環(huán)境多應(yīng)用，單租戶環(huán)境多租戶環(huán)境分布式計算方案遠距離關(guān)系51第五十一頁，共56頁。練習(xí)題一個多租戶數(shù)據(jù)中心如何迅速滿足大多數(shù)客戶的審計需求？允許客戶自行審計以便滿足他們自己的需求指定你的數(shù)據(jù)中心僅為非監(jiān)管信息服務(wù)，這樣審計就不需要了允許任意方不受限制的數(shù)據(jù)審計，特別是政府的當數(shù)據(jù)存儲在一個第三方數(shù)據(jù)中心時審計是不需要的針對一項規(guī)章和安全標準模板開展審計并向客戶公布審計結(jié)果使安全審計變得嚴重復(fù)雜化的虛擬機遷移特征是指什么？不同類別的數(shù)據(jù)在相同物理機器上可能被混合的問題將虛機從一臺物理服務(wù)器轉(zhuǎn)移到另一臺服務(wù)器上但不產(chǎn)生告警或可追蹤的審計蹤跡的能力性能降低虛機客戶加固以上都不是52第五十二頁，共56頁。練習(xí)題一個多租戶數(shù)據(jù)中心如何迅速滿足大多數(shù)客戶的審計需求？允許客戶自行審計以便滿足他們自己的需求指定你的數(shù)據(jù)中心僅為非監(jiān)管信息服務(wù)，這樣審計就不需要了允許任意方不受限制的數(shù)據(jù)審計，特別是政府的當數(shù)據(jù)存儲在一個第三方數(shù)據(jù)中心時審計是不需要的針對一項規(guī)章和安全標準模板開展審計并向客戶公布審計結(jié)果使安全審計變得嚴重復(fù)雜化的虛擬機遷移特征是指什么？不同類別的數(shù)據(jù)在相同物理機器上可能被混合的問題將虛機從一臺物理服務(wù)器轉(zhuǎn)移到另一臺服務(wù)器上但不產(chǎn)生告警或可追蹤的審計蹤跡的能力性能降低虛機客戶加固以上都不是53第五十三頁，共56頁。練習(xí)題在多租戶云計算環(huán)境中，在同一個虛擬環(huán)境中的全部租戶都將：接受最低的安全公分母。接受最高的安全公分母。接受獨立于虛擬化的安全服務(wù)。在相同的安全邊界中。提供他們自己的安全增強。虛擬機通信如何能夠繞過網(wǎng)絡(luò)安全控制措施？大多網(wǎng)絡(luò)安全系統(tǒng)無法識別加密的虛機流量虛擬機通信會使用一個硬件背板虛擬機管理程序（hypervisors）依賴多網(wǎng)絡(luò)接口虛機