資源描述:
《云計(jì)算安全策略.ppt》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫��。
1�����、云計(jì)算安全策略云計(jì)算面臨的安全威脅云安全參考模型云安全防護(hù)策略云安全解決方案云安全部署原則云安全展望云計(jì)算安全云計(jì)算的發(fā)展��,引入了新的話題與煩惱����,安全問題一直是阻止人們和企業(yè)進(jìn)入云計(jì)算應(yīng)用的主要因素。Amazon和Google都因?yàn)榘踩珕栴}蒙受巨大損失云計(jì)算作為多種傳統(tǒng)技術(shù)(如并行計(jì)算�����、分布式計(jì)算�、網(wǎng)格計(jì)算、虛擬化��、效用計(jì)算等)的綜合應(yīng)用�、發(fā)展與服務(wù)模式轉(zhuǎn)變的結(jié)果,信息安全的基本屬性與安全需求不變,涉及信息資產(chǎn)、安全威脅�、保護(hù)措施等的信息保障安全觀不變。Gartner列出的云計(jì)算7大安全風(fēng)險從供應(yīng)商的安全能力角度分析云計(jì)算面臨的安全風(fēng)險來講風(fēng)險描述特權(quán)用戶接供應(yīng)商的管
2����、理員處理敏感信息的風(fēng)險可審查性供應(yīng)商拒絕外部審計(jì)和安全認(rèn)證的風(fēng)險數(shù)據(jù)位置數(shù)據(jù)存儲位置位置的隱私風(fēng)險數(shù)據(jù)隔離共享資源的多租戶數(shù)據(jù)隔離數(shù)據(jù)恢復(fù)供應(yīng)商的數(shù)據(jù)備份和恢復(fù)能力調(diào)查支持供應(yīng)商對不恰當(dāng)或非法行為難以提供取證支持長期生存服務(wù)穩(wěn)定性�����、持續(xù)性及其遷移CSA列出的7大云計(jì)算安全威脅CSA發(fā)布的最新版本《云計(jì)算關(guān)鍵領(lǐng)域安全指南》,主要從攻擊者角度歸納云計(jì)算環(huán)境可能面臨的主要威脅��。濫用和惡意使用云計(jì)算不安全的接口和API不壞好意的內(nèi)部人員基礎(chǔ)設(shè)施共享問題數(shù)據(jù)丟失或泄漏賬戶或服務(wù)劫持未知的風(fēng)險云計(jì)算面臨的安全風(fēng)險云計(jì)算面臨的安全風(fēng)險可以總結(jié)為如下3個方面1.組織管理中的風(fēng)險2.技
3����、術(shù)上的風(fēng)險3.法律上的風(fēng)險組織管理中的風(fēng)險鎖定風(fēng)險:不能遷移數(shù)據(jù)/服務(wù)到其他云提供商����,或本地失治風(fēng)險:提供的服務(wù)不能達(dá)到約定的安全級別合規(guī)挑戰(zhàn):云提供商不能證明服務(wù)遵從相關(guān)的規(guī)定多租戶中惡意行為:如惡意攻擊使IP地址段被阻塞云服務(wù)終止或故障:云提供商破產(chǎn)或短期內(nèi)停止服務(wù)云提供商收購:收購使非約束力合約具有風(fēng)險供應(yīng)鏈故障:部分任務(wù)外包給第三方,安全影響技術(shù)上的風(fēng)險資源耗盡:沒有充足的資源���,資源沒有合理使用隔離故障:存儲�、內(nèi)存�����、路由隔離機(jī)制失效云內(nèi)部惡意人員:內(nèi)部人員對高級特權(quán)的濫用管理接口漏洞:遠(yuǎn)程訪問和瀏覽器手持設(shè)備缺陷傳輸中的數(shù)據(jù)截獲:更多的數(shù)據(jù)傳輸路徑���,以避免嗅探
4�����、和回放攻擊等威脅�。數(shù)據(jù)泄露:通信加密缺陷或應(yīng)用程序漏洞����,數(shù)據(jù)泄露不安全或無效的數(shù)據(jù)刪除:資源的重新分配,缺乏有效的數(shù)據(jù)刪除機(jī)制��,數(shù)據(jù)丟失或泄露隱私技術(shù)上的風(fēng)險DDoS分布式拒絕服務(wù)攻擊:計(jì)算資源被惡意的使用EDoS經(jīng)濟(jì)拒絕服務(wù)攻擊:盜用身份���,耗盡用戶的資源���、破壞他人的經(jīng)濟(jì)利益密鑰丟失:安全密鑰(如文件加密密鑰、客戶私鑰等)被惡意的第三方獲取惡意探測或掃描:惡意的探測或掃描將影響云中的數(shù)據(jù)和服務(wù)危害服務(wù)引擎:攻擊架構(gòu)中的缺陷���,如IaaS虛擬機(jī)��、PaaSAPI�、SaaS中的應(yīng)用程序缺陷客戶程序和云環(huán)境之間沖突:云提供商和用戶之間必須進(jìn)行清晰明確的責(zé)任劃分�,用戶安全措施的不
5、完善而給整個云平臺引入安全風(fēng)險��,云提供商必須解決多租戶的不同安全需求法律上的風(fēng)險傳訊和電子發(fā)現(xiàn):由于法律傳訊和民事訴訟等因素使得物理設(shè)備被沒收,導(dǎo)致多租戶中無辜用戶存儲的內(nèi)容遭受強(qiáng)制檢查和泄漏的風(fēng)險管轄變更風(fēng)險:數(shù)據(jù)存儲于沒有法律保障的國家或地區(qū)����,被非法沒收并強(qiáng)制公開數(shù)據(jù)保護(hù)風(fēng)險:用戶不能有效檢查云提供商的數(shù)據(jù)處理過程,是否合規(guī)與合法�,對于云供商而言,則可能接受并存儲用戶非法收集的數(shù)據(jù)�。許可風(fēng)險:必須制定合理的軟件授權(quán)和檢測機(jī)制云安全從云端到云中的可劃分為三個層次(1)云端安全性。包括接入端的瀏覽器安全�����;接入端的安全管理����,不僅客戶可以接入,服務(wù)商也能接入�;接入端的安全
6、認(rèn)證等�����。(2)應(yīng)用服務(wù)層���。包括可用性(亞馬遜宕機(jī)事件)�,網(wǎng)絡(luò)攻擊,隱私安全�,虛擬機(jī)環(huán)境下多重任務(wù)處理等����。(3)基礎(chǔ)設(shè)施層。包括數(shù)據(jù)安全(保密性���、隔離性)��,數(shù)據(jù)位置��,數(shù)據(jù)完整性與可用性��,數(shù)據(jù)備份與恢復(fù)�,虛擬機(jī)的安全等���。云計(jì)算面臨的安全威脅云安全參考模型云安全防護(hù)策略云安全解決方案云安全部署原則云安全展望云安全參考模型現(xiàn)實(shí)中的各種云產(chǎn)品,在服務(wù)模型����、部署模型�����、資源物理位置、管理和所有者屬性等方面呈現(xiàn)出不同的形態(tài)和消費(fèi)模式,從而具有不同的安全風(fēng)險特征和安全控制職責(zé)和范圍�。從安全控制的角度建立云計(jì)算的參考模型,描述不同屬性組合的云服務(wù)架構(gòu),并實(shí)現(xiàn)云服務(wù)架構(gòu)到安全架構(gòu)之間的映射
7、,為風(fēng)險識別�、安全控制和決策提供依據(jù)。云安全參考模型云計(jì)算安全體系結(jié)構(gòu)云計(jì)算安全立方體云計(jì)算面臨的安全威脅云安全參考模型云安全防護(hù)策略云安全解決方案云安全部署原則云安全展望云安全防護(hù)策略?IaaS安全與對策?PaaS安全與對策?SaaS安全與對策?云計(jì)算通用安全技術(shù)分析IaaS可能存在如下風(fēng)險?用戶的數(shù)據(jù)在云中會存在泄露的危險?計(jì)算服務(wù)性能不可靠?遠(yuǎn)程管理認(rèn)證危險?虛擬化技術(shù)所帶來的風(fēng)險?用戶本身的焦慮?服務(wù)中斷IaaS安全風(fēng)險對應(yīng)方案?客戶數(shù)據(jù)可控以及數(shù)據(jù)隔離?綜合考慮數(shù)據(jù)中心軟硬件部署?建立安全的遠(yuǎn)程管理機(jī)制動態(tài)密鑰���、及時打安全補(bǔ)丁�、使用VPN或
