云計算-第8章 云計算的安全技術

第8章云計算的安全技術【教學內容】【教學要求】【重點難點】3 網團(黑客)肉雞控制權4弱雞控制權商業(yè)機密形計算能力,被在黑市標價出租隱私資料被盜竊-勒索或泄漏客集團泄落公司￥發(fā)送垃圾郵件5o不計樣本捕捉時間o1個樣本制作代碼、測試、發(fā)布約需一個工程師的2小時時間o全天25000個樣本共需50000小時的工作時間o以8小時工作制來計算，每天需6250位工程師來處理樣本o以100萬個樣本的病毒代碼為20MB計算o每天25000個樣本會占用的0.5MBo2年病毒代碼庫增長365MB因偶然的或者惡意的原因而遭受到破壞、更改病毒病毒8保密性是指信息不泄漏給非授權的用戶、實體或過完整性是指數據未經授權可用性可用性是指被授權實體訪問可控性是指確保合法機構按所獲授權能夠對網絡及其中的信息流動與行為進抗抵賴性抗抵賴性又稱不可否認性，是指確保接收到的信息不是假冒的，而發(fā)信方無法9網絡安全體系結構的任務基于上述對網絡安全的需求，作為一般手段的網絡安全體系結構，其任務并不是為網絡提供具體的安全方案，而是提供有關形成網絡安全方案的方法和若干必須遵循的思開放系統(tǒng)互聯完全體系結構ISO7498-2開放系統(tǒng)互聯安全體系結構標準規(guī)定OSI安全體系結構的核心內容是：以實現完備的網絡安全功能為目標，描述了5類安全服務，以及提供這些服務的8類安全機制和相應的OS理，并且盡可能地將上述安全服務配置于開放系統(tǒng)互聯/通信流量填充認證交換通信流量填充認證交換數據完整性OSI安全體系結構的三維空間表示OSI參考模型安全機制機安全服務序號安全服務1身份認證服務防止實體假冒或重放以前的連接，即偽造連接初始化攻擊。2訪問控制服務防止非法用戶進入系統(tǒng)及防止合法用戶對系統(tǒng)資源的非法訪問使用。3數據機密性服務對數據提供安全保護，防止數據被未授權用戶獲知。4數據完整性服務防止非法實體對用戶的主動攻擊(對正在交換的數據進行修改、插入、使數據延時以及丟失數據等),確保收到的數據在傳輸過程中沒有被修改、插入、刪除、延遲等。5不可否認服務防止通信參與者事后否認參與：①發(fā)送的不可否認服務，即防止數據的發(fā)送者否認曾發(fā)送過數據；②接收的不可否認服務，即防止數據的接收者否認曾接收到數據?！褚陨纤鯫SI安全體系結構提供的五類安全服務，是配置在OSI/RM下表列舉了OSI安全體系結構中安全服務按網絡層次的配置。表中有安全服務物理層鏈路層網絡層傳輸層會話層表示層應用層身份認證√訪問控制√數據機密性√數據完整性不可否認性●按照OSI安全體系結構，為了提供上述6類安全服務，(1)數據加密機制(5)認證交換機制(2)數據簽名機制(6)信息流填充機制(3)訪問控制機制(7)路由控制機制(4)數據完整性機制(8)公證機制●安全機制是用來實現和提供安全服務的，但給定一種安全服務，往往需要多種安全機制聯合發(fā)揮作用來提供；而某一種安全機制，往往又為下表指明了OSI安全體系結構中安全機制與安全服務的對應關系。表中安全服務安全機制數據加密數據簽名訪問控制數據完整性認證交換信息流量填充路由控制公證機制身份認證√√√√訪問控制√數據機密性√√數據完整性√√√不可否認性√√√加密技術加密技術侵檢測技術防火墻技術●認證技術的基本思想是通過驗證被認證對象的屬性來達到確認被認證對象是否真實有效的目的。被認證對象的屬性可以是口令、數字簽名或者像指紋、聲音、視網膜這樣的生理特征。身份認證技術消息認證技術防火墻是網絡訪問控制設備，用于拒絕除了明確允許通過之外的所有通信數據，它不同于只會確定網絡信息傳輸方向的簡單路由器,而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。信息系統(tǒng)信息系統(tǒng)數據、進程、軟件軟件：如病毒等攻擊者人：如黑客互聯網911數據加密技術是為提高信息系統(tǒng)及數據的安全性和保密性，防止秘密數入侵檢測技術入侵檢測技術入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現并報告系統(tǒng)中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。分公司分公司DMZIDS控制臺探測器探測器IntranetIDS控制臺服務器區(qū)入侵檢測系統(tǒng)routerrouterFirewallFirewall主要內容主要內容 云計算面臨各種挑戰(zhàn)全是人們對云計算最大的擔心”云時代的主要安全威脅2016年，云計算安全聯盟(CloudSecurityAlliance,CSA)列出了云計算領域的十二大安全威脅。數據泄露客攻擊賬戶劫持失危險云安全參考模型從服務模型的角度，CSA提出了基于3種基本云服務的層次性及其依賴關系的安全參考模型，并實現了從云服務模型到安全控制模型的映射。找出差距!找出差距!外觀特征外觀平臺應用接口應用程序數據元數據內容整合&中間件應用接口核心連接&傳送抽象硬件底層設備合規(guī)模型應用程序信息管理可信計算計算&存儲Web應用防火墻，事務處理DLP,CMF,防DDOS,QoS,DNSSEC,OAut硬件&軟件&RoT&APIsCLBASOX代碼檢查WAF加密統(tǒng)一用戶認證防病毒物理訪問控制雙重認證…PCI安全控制模型云模型HIPPA統(tǒng)一的用戶編程接口先進的加密機制和嚴格的密鑰管理體系云計算是當前發(fā)展十分迅速的新興產業(yè)，具有廣闊的發(fā)展前景，同時其面臨的安全技術挑戰(zhàn)也是前所未有的。目前，云計算所涉及到的安全技術主要包括五個方面：數據安全用戶身份管理與訪問控制用戶身份管理用戶身份管理就是要對用戶的身份采用相應的技術進行管理，這樣用戶每次要求訪問資源的時候都要進行訪問控制訪問控制(AccessControl)是指系統(tǒng)對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的云計算環(huán)境中存在多種網絡安全威脅問題，主要是拒絕服務攻擊和中間人攻擊兩種攻擊方式。因此需要劃分安全區(qū)域，保證網絡安全。利用Hypervisor實現安全域劃分安全域1安全域1(VLAN1)交換控制功宿主機(物理主機)宿主機(物理主機)安全域2(VLAN2)該模式用VM將每個安全域劃分成幾個模塊，然后存在邏輯關系的模塊寄宿在物理主機上面，通過虛擬交換控制模塊進行監(jiān)控保障安全。借助物理交換機實現虛擬安全域劃分安全域1安全域1安全共2交換機以Cisco、HP等交換機廠家將虛擬機的網絡流量通過引出到傳統(tǒng)網絡設備(防火針對當前云計算中數據資源所面的威脅，如何利用有效的安全加密機制來加強數據的安全性、防止數據泄露和加強隱私保護是云計算安相比于基于身份的加密體從原理上較適合云計算環(huán)境下的針對多用戶的數據分為兩大類：密文策略的屬性加密和密鑰策略的屬5)用戶B下載密文5)用戶B下載密文●不同的云計算服務提供模式創(chuàng)建了不同的安全管理邊界，以及由運行商和用戶共享責任的安全管理模型?！馭aaS,主要由運營商擔負安全管理責任；●PaaS,由運營商和用戶共同分擔安全管理責任；●IaaS,運營商僅負責網絡、云平臺等基礎設備安全管理，而用戶負責業(yè)務系統(tǒng)安全管理。安全管理標準規(guī)定了安全管理邊界的界定條件，運營商和用戶聯動方式等。從而實現云服務的可用性管理、漏洞管理、補丁管理、配置管理以及時間應急響應等。虛擬化安全虛擬化技術是實現云計算的關鍵核心技術，使用虛擬技化術的云計安全隔離通過采用云存儲數據隔離加固技術和虛擬機隔離加固技術，可以使數安全運行通過虛擬化可以用與訪問抽象前資源一致的方法訪問抽象后的資源，從而隱藏屬性和操作之間的差異，并允許通過一種通用的方式來查看和維護資源，從而安全監(jiān)控基于虛擬化技術，可以進行安全監(jiān)控。從安全監(jiān)控實現技術的角度來看，基于虛擬化的安全監(jiān)控可以分為兩類許多云服務提供商紛紛提出并部署了相應的云計算安全解決方案，主要通過采用身份認證、安全審查、數據加密、系統(tǒng)冗余等技術及管理手段來提高云計算業(yè)務平臺的健壯性、服務連續(xù)性和用戶Microsoft的云計算平臺叫做WindowsAzure。在Azure上，Azure每個服務器只根據定制安裝必需的軟件組件，且在需要時均●中的數據被未經認可的系統(tǒng)或用戶攔截，并在不犧牲用戶要求的配置靈活性的基礎上提供最大限度的安全保障。amazon主機操作系統(tǒng)02客戶操作系統(tǒng)防火墻實例隔離具有進入管理面業(yè)務需要的管理員被要求使提供了一個完整的防火墻解決方案，用戶須運行在相同物理機器上的不同實例通過Xen程 為有效保障云計算應用的安全，中國電信進一步集成數據加密、VPN、身份認證、安全存儲等綜合安全技術手段，構建面向云計算應用的縱深 云安全(CloudSecurity)主要包含兩個方面的含義：也稱為云計算安全，包括云計算應用系統(tǒng)安全、云計算應用服務安全、云計算用戶信息安全等，云計算安全是云計算技術健康可持續(xù)發(fā)展的基礎。也即云計算技術在安全領域的具體應用，也稱為安全云計算，就是基于云計算的、通過采用云計算技術來提升安全系統(tǒng)的服務效能的安全解決方案，