云计算三种服务模式
例子：Amazon Web Services，Google App Engine，
四种部署模式
什么是云安全？
云安全的不同研究方向
云 计 算 安 全
安 全 云
保护云计算本身的安全——云计 算安全
云，安全？沼泽计算？
“也许我们起名叫‘云计算’本身就是一
安全作为云计算的一种服务—— 安全云
安全防御技术发展历程
垃圾邮件 脚本病毒 宏病毒 特洛伊 计算机病 毒文件传 染者 网络蠕 虫 电子邮件蠕虫 僵尸 间谍软件 网络钓鱼 Rootkits
云计算的安全管理最佳实践
云计算的安全运行 •能加密则加密之,独立保管好密钥 •适应安全软件开发生命周期的环境要 求 3. 理解云提供商的补丁和配置管理、 安全保护等措施 4. 记录、数据渗漏和细粒化的客户隔 离 5. 安全加固虚拟机镜像 6. 评估云提供商的IdM集成,例如 SAML, OpenID等
• 宽带接入
– 服务能力通过网络提供，支持各种标准接入手段，包括各种瘦或胖客户端平台（ 例如移动电话、笔记本电脑、或PDA），也包括其它传统的或基于云的服务。
• 虚拟化的资源“池”
– 提供商的计算资源汇集到资源池中，使用多租户模型，按照用户需要，将不同的 物理和虚拟资源动态地分配或再分配给多个消费者使用。资源的例子包括存储、 处理、内存、网络带宽以及虚拟机等。即使是私有的“云”往往也趋向将资源虚 拟“池”化来为组织的不同部门提供服务。
• 快速弹性架构
– 服务能力可以快速、弹性地供应 – 在某些情况下自动地 – 实现快速扩容、快Байду номын сангаас上线 。对于用户来说，可供应的服务能力近乎无限，可以随时按需购买。
• 可测量的服务
– 云系统之所以能够自动控制优化某种服务的资源使用，是因为利用了经过某种程 度抽象的测量能力（例如存储、处理、带宽或者活动用户账号等）。人们可以监 视、控制资源使用、并产生报表，报表可以对提供商和用户双方都提供透明。
云安全技术概述
傅欲华
广东计安信息网络培训中心
课程要点
• • • • 什么是云计算 什么是云安全 保护云计算的安全性（云计算安全） 安全作为云计算的一种服务（安全云）
什么是云计算？
天下大势，合久必分，分久必合， 计算机技术的分合演义
• 早期计算技术以合为特征—曲高和寡 • 个人电脑的发展使分成为了主流—计算机飞入寻 常百姓家 • 网络技术的发展使云计算成为了合的模式，计算 和存储通过网络隐形于云端—大象无形
恶意使用
数据丢失/数据泄漏
恶意业内人士
流量拦截或劫持
共享技术潜在风险
不安全的API
未知风险预测
云安全指南
• • • • • • • • • • • • • D1: 云计算架构框架 D2: IT治理和企业风险管理 D3: 法律和电子发现 D4: 合规性和审计 D5: 信息生命周期管理 D6: 可携带性和可交互性 D7: 传统安全、业务连续性和灾难恢复 D8: 数据中心运行 D9: 事件响应、通告和补救 D10: 应用安全 D11: 加密和密钥管理 D12: 身份和访问管理 D13: 虚拟化
云计算安全的7个推荐
[DoS]对抗各种形式的拒绝服务攻击的能力 – D7/D8/D9 [SLA]清晰、细化、合同化的安全SLA – D2/D7/D8 [IAM]完备的身份和访问控制管理 – D12/D13 [SVM]全面及时的漏洞扫描和修补 – D4/D10/D13 [Data]透明和明确定义的数据安全 – D5/D6/D11 q [Audit]完备的电子证据和审计系统 – D3/D4 [SDL]应用生命周期的安全和供应商安全管理 – D10/D11
什么是云计算？
• •
计算成为了一种实用工具：计算的第三个时代来临 云的推动者
•
– – – –
摩尔定律
超速连接 服务导向架构 供应商等级
主要特征
– 灵活，按需服务 – 多租户 – 计量服务
云计算五大特征
• 按需自服务
– 用户可以在需要时自动配置计算能力，例如服务器时间和网络存储，根据需要自 动计算能力，而无需与服务供应商的服务人员交互。
云：新时代的曙光
• 云 ?短期内过度宣传，长期看过于低估 • 计算成为了一种实用工具 • 改变一切：商业模式、风险投资、研究开
发厖
什么是云计算？
李德毅院士： 云计算包括信息基础设施（硬件、平台、 软件）以及建立在基础设施上的信息服 务，提供各类资源的网络被称为“云”， “云”中的资源在使用者看来是可以无 限扩展的，并且可以随时获取、按需使 用、随时扩展、按使用付费
个失误，因为这名字很容易让人感觉有趣 和安全。但事实上，网络中充满了威胁和 险恶，如果我们当初把它叫做‘沼泽计算 (swamp computing)’或许更能够让人 们对它有一个正确的认识。”
Ronald L. Rivest RSA算法设计者
云计算架构的安全问题
云计算面临的安全威胁
Threat #1: Abuse and Nefarious Use of Cloud Computing 云计算的滥用、恶用、拒绝服务攻击 Threat #2: Insecure Interfaces and APIs 不安 全的接口和API Threat #3: Malicious Insiders 恶意的内部员工 Threat #4: Shared Technology Issues 共享技术产生的问题 Threat #5: Data Loss or Leakage 数据泄漏 Threat #6: Account or Service Hijacking 账号和服务劫持 Threat #7: Unknown Risk Profile 未知的风险场景
CSA安全指南框架
云计算的安全管理最佳实践
云计算的安全管控 1. 云计算迁移前理清相关合同、 SLA和架构是保护云的最好时机 2. 了解云提供商的“供应商”、 BCP/DR、财务状况以及雇员审查 等 3. 尽可能识别数据的物理位置 4. 计划好供应商终止和资产清退 5. 保留审计权利 6. 对再投资引起的成本节省谨慎注 意