云安全技術(shù)課件

云安全技術(shù)概述傅欲華廣東計安信息網(wǎng)絡(luò)培訓(xùn)中心云安全技術(shù)概述傅欲華廣東計安信息網(wǎng)絡(luò)培訓(xùn)中心1課程要點什么是云計算什么是云安全保護云計算的安全性（云計算安全）安全作為云計算的一種服務(wù)（安全云）課程要點什么是云計算2什么是云計算？什么是云計算？3天下大勢，合久必分，分久必合，

計算機技術(shù)的分合演義早期計算技術(shù)以合為特征—曲高和寡個人電腦的發(fā)展使分成為了主流—計算機飛入尋常百姓家網(wǎng)絡(luò)技術(shù)的發(fā)展使云計算成為了合的模式，計算和存儲通過網(wǎng)絡(luò)隱形于云端—大象無形天下大勢，合久必分，分久必合，

計算機技術(shù)的分合演義早期計算4云：新時代的曙光云?短期內(nèi)過度宣傳，長期看過于低估計算成為了一種實用工具改變一切：商業(yè)模式、風(fēng)險投資、研究開發(fā)厖云：新時代的曙光云?短期內(nèi)過度宣傳，長期看過于低估5

什么是云計算？李德毅院士：云計算包括信息基礎(chǔ)設(shè)施（硬件、平臺、軟件）以及建立在基礎(chǔ)設(shè)施上的信息服務(wù)，提供各類資源的網(wǎng)絡(luò)被稱為“云”，“云”中的資源在使用者看來是可以無限擴展的，并且可以隨時獲取、按需使用、隨時擴展、按使用付費什么是云計算？李德毅院士：6什么是云計算？計算成為了一種實用工具：計算的第三個時代來臨云的推動者摩爾定律超速連接服務(wù)導(dǎo)向架構(gòu)供應(yīng)商等級主要特征靈活，按需服務(wù)多租戶計量服務(wù)什么是云計算？計算成為了一種實用工具：計算的第三個時代來臨7云計算五大特征按需自服務(wù)用戶可以在需要時自動配置計算能力，例如服務(wù)器時間和網(wǎng)絡(luò)存儲，根據(jù)需要自動計算能力，而無需與服務(wù)供應(yīng)商的服務(wù)人員交互。寬帶接入服務(wù)能力通過網(wǎng)絡(luò)提供，支持各種標準接入手段，包括各種瘦或胖客戶端平臺（例如移動電話、筆記本電腦、或PDA），也包括其它傳統(tǒng)的或基于云的服務(wù)。虛擬化的資源“池”提供商的計算資源匯集到資源池中，使用多租戶模型，按照用戶需要，將不同的物理和虛擬資源動態(tài)地分配或再分配給多個消費者使用。資源的例子包括存儲、處理、內(nèi)存、網(wǎng)絡(luò)帶寬以及虛擬機等。即使是私有的“云”往往也趨向?qū)①Y源虛擬“池”化來為組織的不同部門提供服務(wù)?？焖購椥约軜?gòu)服務(wù)能力可以快速、彈性地供應(yīng)–在某些情況下自動地–實現(xiàn)快速擴容、快速上線。對于用戶來說，可供應(yīng)的服務(wù)能力近乎無限，可以隨時按需購買?？蓽y量的服務(wù)云系統(tǒng)之所以能夠自動控制優(yōu)化某種服務(wù)的資源使用，是因為利用了經(jīng)過某種程度抽象的測量能力（例如存儲、處理、帶寬或者活動用戶賬號等）。人們可以監(jiān)視、控制資源使用、并產(chǎn)生報表，報表可以對提供商和用戶雙方都提供透明。云計算五大特征按需自服務(wù)8云計算三種服務(wù)模式例子：AmazonWebServices，GoogleAppEngine，S云計算三種服務(wù)模式例子：AmazonWebService9四種部署模式四種部署模式10什么是云安全？什么是云安全？11云安全的不同研究方向云計算安全安全云云安全的不同研究方向云計算安全安全12保護云計算本身的安全——云計算安全保護云計算本身的安全——云計算安全13“也許我們起名叫‘云計算’本身就是一個失誤，因為這名字很容易讓人感覺有趣和安全。但事實上，網(wǎng)絡(luò)中充滿了威脅和險惡，如果我們當(dāng)初把它叫做‘沼澤計算(swampcomputing)’或許更能夠讓人們對它有一個正確的認識?！痹?，安全？沼澤計算？RonaldL.RivestRSA算法設(shè)計者“也許我們起名叫‘云計算’本身就是一個失誤，因為這名字很容易14云計算架構(gòu)的安全問題云計算架構(gòu)的安全問題15云計算面臨的安全威脅Threat#1:AbuseandNefariousUseofCloudComputing云計算的濫用、惡用、拒絕服務(wù)攻擊Threat#2:InsecureInterfacesandAPIs不安全的接口和APIThreat#3:MaliciousInsiders惡意的內(nèi)部員工Threat#4:SharedTechnologyIssues共享技術(shù)產(chǎn)生的問題Threat#5:DataLossorLeakage數(shù)據(jù)泄漏Threat#6:AccountorServiceHijacking賬號和服務(wù)劫持Threat#7:UnknownRiskProfile未知的風(fēng)險場景云計算面臨的安全威脅Threat#1:Abuseand16惡意使用惡意使用17數(shù)據(jù)丟失/數(shù)據(jù)泄漏數(shù)據(jù)丟失/數(shù)據(jù)泄漏18惡意業(yè)內(nèi)人士惡意業(yè)內(nèi)人士19流量攔截或劫持流量攔截或劫持20共享技術(shù)潛在風(fēng)險共享技術(shù)潛在風(fēng)險21不安全的API不安全的API22未知風(fēng)險預(yù)測未知風(fēng)險預(yù)測23云安全指南D1:云計算架構(gòu)框架D2:IT治理和企業(yè)風(fēng)險管理D3:法律和電子發(fā)現(xiàn)D4:合規(guī)性和審計D5:信息生命周期管理D6:可攜帶性和可交互性D7:傳統(tǒng)安全、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)D8:數(shù)據(jù)中心運行D9:事件響應(yīng)、通告和補救D10:應(yīng)用安全D11:加密和密鑰管理D12:身份和訪問管理D13:虛擬化云安全指南D1:云計算架構(gòu)框架24CSA安全指南框架CSA安全指南框架25云計算的安全管理最佳實踐云計算的安全管控1.云計算遷移前理清相關(guān)合同、SLA和架構(gòu)是保護云的最好時機2.了解云提供商的“供應(yīng)商”、BCP/DR、財務(wù)狀況以及雇員審查等3.盡可能識別數(shù)據(jù)的物理位置4.計劃好供應(yīng)商終止和資產(chǎn)清退5.保留審計權(quán)利6.對再投資引起的成本節(jié)省謹慎注意云計算的安全管理最佳實踐云計算的安全管控26云計算的安全管理最佳實踐云計算的安全運行能加密則加密之,獨立保管好密鑰適應(yīng)安全軟件開發(fā)生命周期的環(huán)境要求3.理解云提供商的補丁和配置管理、安全保護等措施4.記錄、數(shù)據(jù)滲漏和細粒化的客戶隔離5.安全加固虛擬機鏡像6.評估云提供商的IdM集成,例如SAML,OpenID等云計算的安全管理最佳實踐云計算的安全運行27云計算安全的7個推薦[DoS]對抗各種形式的拒絕服務(wù)攻擊的能力–D7/D8/D9[SLA]清晰、細化、合同化的安全SLA–D2/D7/D8[IAM]完備的身份和訪問控制管理–D12/D13[SVM]全面及時的漏洞掃描和修補–D4/D10/D13[Data]透明和明確定義的數(shù)據(jù)安全–D5/D6/D11q[Audit]完備的電子證據(jù)和審計系統(tǒng)–D3/D4[SDL]應(yīng)用生命周期的安全和供應(yīng)商安全管理–D10/D11云計算安全的7個推薦[DoS]對抗各種形式的拒絕服務(wù)攻擊的能28安全作為云計算的一種服務(wù)——安全云安全作為云計算的一種服務(wù)——安全云29安全防御技術(shù)發(fā)展歷程特洛伊威脅格局

的發(fā)展安全防御技術(shù)的發(fā)展混合威脅網(wǎng)絡(luò)釣魚間諜軟件僵尸腳本病毒電子郵件蠕蟲服務(wù)器收集病毒信息安全產(chǎn)品聯(lián)動防火墻擴大已知病毒庫宏病毒網(wǎng)絡(luò)蠕蟲垃圾郵件Rootkits利益驅(qū)動計算機病毒文件傳染者防病毒形成互聯(lián)網(wǎng)范圍病毒庫魔高一尺，道高一丈！安全防御技術(shù)發(fā)展歷程特洛伊威脅格局

的發(fā)展安全防御技術(shù)的發(fā)展30網(wǎng)絡(luò)威脅數(shù)量增長圖防病毒軟件防護真空期實際數(shù)據(jù)圖表可以更清楚地表現(xiàn)網(wǎng)絡(luò)戰(zhàn)爭的愈演愈烈。網(wǎng)絡(luò)威脅數(shù)量增長圖防病毒軟件防護真空期實際數(shù)31在安全中檢測最適合做成云模式在安全中檢測最適合做成云模式32331.用?收到黑客的垃圾?件2.???接4.?送信息/下?病毒W(wǎng)ebWebWebWebWeb?客?所??的網(wǎng)??行安全?估–阻止?高??網(wǎng)?的??3.下??意?件云安全331.用?收到黑客的垃圾?件2.???接4.?送信息/下?3334云安全的客戶價值??到威?防?更新?用防???到威?病毒代?更新病毒代?部署傳統(tǒng)代碼比對技術(shù)云安全技術(shù)獲得防護所需時間（小時）降低防護所需時間:

更快的防護＝更低的風(fēng)險＋更低的花費更低的帶寬占用更小的內(nèi)存占用BandwidthConsumption(kb/day)Conventional

AntivirusCloud-client

ArchitectureMemoryUsage(MB)Conventional

AntivirusCloud-client

Architecture34云安全的客戶價值??到威?防?更新?用防???到威?病毒34云安全優(yōu)勢云安全優(yōu)勢3512研究方向更加明確分析“云安全”的數(shù)據(jù)，可以全面精確的掌握“安全威脅”動向。分析模式的改變“云安全”的出現(xiàn)，使原始的傳統(tǒng)病毒分析處理方式，轉(zhuǎn)變?yōu)椤霸瓢踩蹦Ｊ较碌幕ヂ?lián)網(wǎng)分析模式。3防御模式的改變“云安全”使得網(wǎng)絡(luò)安全防御模式由被動式向主動式轉(zhuǎn)變。云安全改變信息安全行業(yè)12研究