資源描述:
《基于cdn的安全私有云》由會(huì)員上傳分享�����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�����。
1���、基于CDN的安全私有云基于CDN的安全私有云作者:盛瀚北京銀行�����。摘要:本文分析了私有云面臨主要維威脅及相應(yīng)提出的安全需求�,設(shè)計(jì)一套基于CDN的安全私有云平臺(tái)架構(gòu)�����,包括智能WAF防火墻�����、智能蜜罐�����、分布式全流量檢測(cè)取證、分布式云存儲(chǔ)等關(guān)鍵技術(shù)�����。關(guān)鍵詞:云安全私有云1.云計(jì)算安全現(xiàn)狀云計(jì)算模式將數(shù)據(jù)統(tǒng)一存儲(chǔ)在云計(jì)算服務(wù)器�,對(duì)核心數(shù)據(jù)進(jìn)行集中管控��,比傳統(tǒng)分布在大量終端上的數(shù)據(jù)行為更安全��。數(shù)據(jù)的集中使得安全審計(jì)�����、安全評(píng)估�、安全運(yùn)維等行為更加簡(jiǎn)單易行,同時(shí)更容易實(shí)現(xiàn)系統(tǒng)容錯(cuò)�、高可用性和冗余及災(zāi)備恢復(fù)。但云計(jì)算在帶來方便快捷的同時(shí)
2����、也帶來新的挑戰(zhàn)。全球領(lǐng)先的信息技術(shù)研究和顧問公司Gartner認(rèn)為,全球云安全服務(wù)將保持強(qiáng)勁增長勢(shì)頭����,在2017年達(dá)到59億美元,相比2016年增長21%�。云安全服務(wù)市場(chǎng)的整體增速高于信息安全(informationsecurity)總體市場(chǎng)。Gartner預(yù)計(jì)��,云安全服務(wù)市場(chǎng)將在2020年接近90億美元���。1.1.云計(jì)算面臨的威脅隨著云提供商不斷積累運(yùn)營經(jīng)驗(yàn)和技術(shù)的日益成熟�����,云故障的頻率和持續(xù)時(shí)間都在減少��。但與此同時(shí)�,企業(yè)卻在面對(duì)宕機(jī)的時(shí)候變得越來越脆弱����,依賴性也越來越高,潛在的危害�����,或者強(qiáng)烈的挫-25-基于CDN的
3���、安全私有云折感�����,變得比以往任何時(shí)候都更大���?�?偨Y(jié)回顧一下近期發(fā)生的云安全事件:2016年1月18日��,MicrosoftOffice365的用戶的電子郵件賬戶出現(xiàn)問題,微軟將故障歸咎于一次錯(cuò)誤的軟件更新����,但是其初次修復(fù)的嘗試并沒有解決問題,在最初的故障出現(xiàn)五天之后�����,2月22日再次爆發(fā)了電子郵件故障���。2016年4月11日�,GoogleCloudPlatform出現(xiàn)18分鐘的中段����,影響到ComputeEngine實(shí)例和所有地區(qū)的VPN服務(wù)�。2016年6月2日��,Apple云發(fā)生廣泛的服務(wù)中斷����,讓Apple一些受歡迎的零售和備份
4、服務(wù)服務(wù)都出現(xiàn)中斷�����,造成部分客戶無法訪問多個(gè)iCloud和AppStore服務(wù)���,同時(shí)AppStore����、AppleTVAppStore和MacAppStore����、iTunes和Apple基于云的圖片服務(wù)都遇到了中斷。2017年2月28日晚8點(diǎn)39分�,百度移動(dòng)端搜索發(fā)生故障,搜索請(qǐng)求無法顯示結(jié)果����,至晚9點(diǎn)21分恢復(fù)����,歷時(shí)42分鐘�。…CSA云安全聯(lián)盟列出的2016年“十二大云安全威脅”�。依排序分別為1.數(shù)據(jù)泄露2.憑證被盜和身份驗(yàn)證如同虛設(shè)3.界面和API被黑4.系統(tǒng)漏洞利用5.賬戶劫持6.惡意內(nèi)部人士7.APT(高級(jí)持續(xù)性
5、威脅)寄生蟲8.永久的數(shù)據(jù)丟失9.調(diào)查不足10.云服務(wù)濫用11.拒絕服務(wù)(DoS)攻擊12.共享技術(shù)�,共享危險(xiǎn)問題。把云計(jì)算環(huán)境下的安全威脅細(xì)化�����,并按系統(tǒng)保護(hù)的基本要求進(jìn)-25-基于CDN的安全私有云行對(duì)應(yīng)���,可得到如下的云計(jì)算環(huán)境下的具體安全威脅:(1)網(wǎng)絡(luò)安全部分?業(yè)務(wù)高峰時(shí)段或遭遇DDoS攻擊時(shí)的大流量導(dǎo)致網(wǎng)絡(luò)擁堵或網(wǎng)絡(luò)癱瘓?重要網(wǎng)段暴露導(dǎo)致來自外部的非法訪問和入侵?單臺(tái)虛擬機(jī)被入侵后對(duì)整片虛擬機(jī)進(jìn)行的滲透攻擊,并導(dǎo)致病毒等惡意行為在網(wǎng)絡(luò)內(nèi)傳播蔓延?虛擬機(jī)之間進(jìn)行的ARP攻擊���、嗅探?云內(nèi)網(wǎng)絡(luò)帶寬的非法搶占?重要的
6�����、網(wǎng)段�、服務(wù)器被非法訪問�、端口掃描�����、入侵攻擊?云平臺(tái)管理員因賬號(hào)被盜等原因?qū)е碌膹幕ヂ?lián)網(wǎng)直接非法訪問云資源?虛擬化網(wǎng)絡(luò)環(huán)境中流量的審計(jì)和監(jiān)控?內(nèi)部用戶或內(nèi)部網(wǎng)絡(luò)的非法外聯(lián)行為的檢查和阻斷?內(nèi)部用戶之間或者虛擬機(jī)之間的端口掃描�����、暴力破解�����、入侵攻擊等行為(2)主機(jī)安全部分?服務(wù)器�、宿主機(jī)�、虛擬機(jī)的操作系統(tǒng)和數(shù)據(jù)庫被暴力破解、非法訪問的行為?對(duì)服務(wù)器��、宿主機(jī)��、虛擬機(jī)等進(jìn)行操作管理時(shí)被竊聽?同一個(gè)邏輯卷被多個(gè)虛擬機(jī)掛載導(dǎo)致邏輯卷上的敏感信息泄露-25-基于CDN的安全私有云?對(duì)服務(wù)器的Web應(yīng)用入侵��、上傳木馬�����、上傳webshe
7、ll等攻擊行為?服務(wù)器���、宿主機(jī)�����、虛擬機(jī)的補(bǔ)丁更新不及時(shí)導(dǎo)致的漏洞利用以及不安全的配置和非必要端口的開放導(dǎo)致的非法訪問和入侵?虛擬機(jī)因異常原因產(chǎn)生的資源占用過高而導(dǎo)致宿主機(jī)或宿主機(jī)下的其它虛擬機(jī)的資源不足(3)資源抽象安全部分?虛擬機(jī)之間的資源爭(zhēng)搶或資源不足導(dǎo)致的正常業(yè)務(wù)異?���;虿豢捎?虛擬資源不足導(dǎo)致非重要業(yè)務(wù)正常運(yùn)作但重要業(yè)務(wù)受損?缺乏身份鑒別導(dǎo)致的非法登錄hypervisor后進(jìn)入虛擬機(jī)?通過虛擬機(jī)漏洞逃逸到hypervisor�����,獲得物理主機(jī)的控制權(quán)限?攻破虛擬系統(tǒng)后進(jìn)行任易破壞行為��、網(wǎng)絡(luò)行為��、對(duì)其它賬戶的猜解�,和
8�、長期潛伏?通過hypervisor漏洞訪問其它虛擬機(jī)?虛擬機(jī)的內(nèi)存和存儲(chǔ)空間被釋放或再分配后被惡意攻擊者竊取?虛擬機(jī)和備份信息在遷移或刪除后被竊取?hypervisor、虛擬系統(tǒng)�、云平臺(tái)不及時(shí)更新或系統(tǒng)漏洞導(dǎo)致的攻擊入侵-25-基于CDN的安全私有云?虛擬機(jī)可能因運(yùn)行環(huán)境異常或硬件設(shè)備異常等原因出錯(cuò)而影響其他虛擬機(jī)?無虛擬機(jī)快照導(dǎo)致系統(tǒng)出現(xiàn)問題
