資源描述:
《基于cdn的安全私有云》由會員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫���。
1�、基于CDN的安全私有云基于CDN的安全私有云作者:盛瀚北京銀行����。摘要:本文分析了私有云面臨主要維威脅及相應(yīng)提出的安全需求,設(shè)計(jì)一套基于CDN的安全私有云平臺架構(gòu)����,包括智能WAF防火墻、智能蜜罐�����、分布式全流量檢測取證、分布式云存儲等關(guān)鍵技術(shù)����。關(guān)鍵詞:云安全私有云1.云計(jì)算安全現(xiàn)狀云計(jì)算模式將數(shù)據(jù)統(tǒng)一存儲在云計(jì)算服務(wù)器,對核心數(shù)據(jù)進(jìn)行集中管控���,比傳統(tǒng)分布在大量終端上的數(shù)據(jù)行為更安全����。數(shù)據(jù)的集中使得安全審計(jì)����、安全評估、安全運(yùn)維等行為更加簡單易行�,同時(shí)更容易實(shí)現(xiàn)系統(tǒng)容錯(cuò)、高可用性和冗余及災(zāi)備恢復(fù)����。但云計(jì)算在帶來方便快捷的同時(shí)也帶來新的挑戰(zhàn)。全球領(lǐng)
2��、先的信息技術(shù)研究和顧問公司Gartner認(rèn)為�����,全球云安全服務(wù)將保持強(qiáng)勁增長勢頭,在2017年達(dá)到59億美元�,相比2016年增長21%。云安全服務(wù)市場的整體增速高于信息安全(informationsecurity)總體市場����。Gartner預(yù)計(jì)����,云安全服務(wù)市場將在2020年接近90億美元。1.1.云計(jì)算面臨的威脅隨著云提供商不斷積累運(yùn)營經(jīng)驗(yàn)和技術(shù)的日益成熟�����,云故障的頻率和持續(xù)時(shí)間都在減少���。但與此同時(shí)�,企業(yè)卻在面對宕機(jī)的時(shí)候變得越來越脆弱�,依賴性也越來越高,潛在的危害����,或者強(qiáng)烈的挫-25-基于CDN的安全私有云折感���,變得比以往任何時(shí)候都更大?����??/p>
3�、結(jié)回顧一下近期發(fā)生的云安全事件:2016年1月18日,MicrosoftOffice365的用戶的電子郵件賬戶出現(xiàn)問題�����,微軟將故障歸咎于一次錯(cuò)誤的軟件更新�,但是其初次修復(fù)的嘗試并沒有解決問題,在最初的故障出現(xiàn)五天之后����,2月22日再次爆發(fā)了電子郵件故障。2016年4月11日��,GoogleCloudPlatform出現(xiàn)18分鐘的中段�����,影響到ComputeEngine實(shí)例和所有地區(qū)的VPN服務(wù)����。2016年6月2日��,Apple云發(fā)生廣泛的服務(wù)中斷��,讓Apple一些受歡迎的零售和備份服務(wù)服務(wù)都出現(xiàn)中斷��,造成部分客戶無法訪問多個(gè)iCloud和AppS
4��、tore服務(wù)��,同時(shí)AppStore、AppleTVAppStore和MacAppStore���、iTunes和Apple基于云的圖片服務(wù)都遇到了中斷���。2017年2月28日晚8點(diǎn)39分,百度移動端搜索發(fā)生故障����,搜索請求無法顯示結(jié)果,至晚9點(diǎn)21分恢復(fù)����,歷時(shí)42分鐘���。…CSA云安全聯(lián)盟列出的2016年“十二大云安全威脅”����。依排序分別為1.數(shù)據(jù)泄露2.憑證被盜和身份驗(yàn)證如同虛設(shè)3.界面和API被黑4.系統(tǒng)漏洞利用5.賬戶劫持6.惡意內(nèi)部人士7.APT(高級持續(xù)性威脅)寄生蟲8.永久的數(shù)據(jù)丟失9.調(diào)查不足10.云服務(wù)濫用11.拒絕服務(wù)(DoS)攻擊1
5、2.共享技術(shù)�,共享危險(xiǎn)問題。把云計(jì)算環(huán)境下的安全威脅細(xì)化�����,并按系統(tǒng)保護(hù)的基本要求進(jìn)-25-基于CDN的安全私有云行對應(yīng)����,可得到如下的云計(jì)算環(huán)境下的具體安全威脅:(1)網(wǎng)絡(luò)安全部分?業(yè)務(wù)高峰時(shí)段或遭遇DDoS攻擊時(shí)的大流量導(dǎo)致網(wǎng)絡(luò)擁堵或網(wǎng)絡(luò)癱瘓?重要網(wǎng)段暴露導(dǎo)致來自外部的非法訪問和入侵?單臺虛擬機(jī)被入侵后對整片虛擬機(jī)進(jìn)行的滲透攻擊,并導(dǎo)致病毒等惡意行為在網(wǎng)絡(luò)內(nèi)傳播蔓延?虛擬機(jī)之間進(jìn)行的ARP攻擊���、嗅探?云內(nèi)網(wǎng)絡(luò)帶寬的非法搶占?重要的網(wǎng)段���、服務(wù)器被非法訪問、端口掃描���、入侵攻擊?云平臺管理員因賬號被盜等原因?qū)е碌膹幕ヂ?lián)網(wǎng)直接非法訪問云資源?虛擬
6�����、化網(wǎng)絡(luò)環(huán)境中流量的審計(jì)和監(jiān)控?內(nèi)部用戶或內(nèi)部網(wǎng)絡(luò)的非法外聯(lián)行為的檢查和阻斷?內(nèi)部用戶之間或者虛擬機(jī)之間的端口掃描����、暴力破解、入侵攻擊等行為(2)主機(jī)安全部分?服務(wù)器�、宿主機(jī)、虛擬機(jī)的操作系統(tǒng)和數(shù)據(jù)庫被暴力破解��、非法訪問的行為?對服務(wù)器��、宿主機(jī)��、虛擬機(jī)等進(jìn)行操作管理時(shí)被竊聽?同一個(gè)邏輯卷被多個(gè)虛擬機(jī)掛載導(dǎo)致邏輯卷上的敏感信息泄露-25-基于CDN的安全私有云?對服務(wù)器的Web應(yīng)用入侵�����、上傳木馬�、上傳webshell等攻擊行為?服務(wù)器���、宿主機(jī)���、虛擬機(jī)的補(bǔ)丁更新不及時(shí)導(dǎo)致的漏洞利用以及不安全的配置和非必要端口的開放導(dǎo)致的非法訪問和入侵?虛擬機(jī)因
7�����、異常原因產(chǎn)生的資源占用過高而導(dǎo)致宿主機(jī)或宿主機(jī)下的其它虛擬機(jī)的資源不足(3)資源抽象安全部分?虛擬機(jī)之間的資源爭搶或資源不足導(dǎo)致的正常業(yè)務(wù)異?;虿豢捎?虛擬資源不足導(dǎo)致非重要業(yè)務(wù)正常運(yùn)作但重要業(yè)務(wù)受損?缺乏身份鑒別導(dǎo)致的非法登錄hypervisor后進(jìn)入虛擬機(jī)?通過虛擬機(jī)漏洞逃逸到hypervisor��,獲得物理主機(jī)的控制權(quán)限?攻破虛擬系統(tǒng)后進(jìn)行任易破壞行為���、網(wǎng)絡(luò)行為�、對其它賬戶的猜解���,和長期潛伏?通過hypervisor漏洞訪問其它虛擬機(jī)?虛擬機(jī)的內(nèi)存和存儲空間被釋放或再分配后被惡意攻擊者竊取?虛擬機(jī)和備份信息在遷移或刪除后被竊取?hyp
8����、ervisor���、虛擬系統(tǒng)����、云平臺不及時(shí)更新或系統(tǒng)漏洞導(dǎo)致的攻擊入侵-25-基于CDN的安全私有云?虛擬機(jī)可能因運(yùn)行環(huán)境異?��;蛴布O(shè)備異常等原因出錯(cuò)而影響其他虛擬機(jī)?無虛擬機(jī)快照導(dǎo)致系統(tǒng)出現(xiàn)問題
