云安全技术概要.ppt

计算机新技术系列讲座云安全技术综述 云计算简介 云计算历程 云计算历程 云计算架构图 云计算安全挑战 云计算将推动信息安全领域进行又一次重大的革新 信息安全技术发展阶段图 这种变革为信息安全领域带来的冲击表现在以下几个方面： 在云平台中运行的各类云应用，由于没有固定不变的基础设施，没有固定不变的安全边界，所以，难以实现用户数据安全与隐私保护； 云服务所涉及的资源由多个管理者所有，存在利益冲突，无法统一规划部署安全防护措施； 在云平台中，数据与计算高度集中，所以，安全措施必须满足海量信息处理需求。 挑战1： 建立以数据安全和隐私保护为主要目标的云安全技术框架 要重点分析与解决云计算的服务计算模式、动态虚拟化管理方式以及多租户共享运营模式对数据安全与隐私保护带来的挑战。体现在以下几个方面： 云计算服务计算模式所引发的安全问题 云计算的动态虚拟化管理方式引发的安全问题 云计算中多层服务模式引发的安全问题 挑战2： 建立以安全目标验证、安全服务等级测评为核心的云计算安全标准及其测评体系 云计算安全标准要支持广义的安全目标 云计算安全标准要支持用户描述其数据安全保护目标、指定其所属资产安全保护的范围和程度 还应支持用户、尤其是企业用户的安全管理需求，如 分析查看日志信息、搜集信息 了解数据使用情况 展开违法操作调查等。 云计算安全标准应支持对灵活、复杂的云服务过程的安全评估。 传统意义上，对服务商能力的安全风险评估方式： 通过全面识别和分析系统架构下威胁和弱点及其对资产的潜在影响来确定其抵抗安全风险的能力和水平。 在云计算环境下，服务方式将发生根本性的变化： 云服务提供商可能租用其他服务商提供的基础设施服务或购买多个服务商的软件服务，根据系统状况动态选用。 挑战3： 建立可控的云计算安全监管体系 实现基于云计算的安全攻击的快速识别、预警与防护 在云计算环境下，如果黑客攻入了云客户的主机，使其成为向云服务提供商发动DDoS 攻击的一颗棋子，那么按照云计算对计算资源根据实际使用付费的方式，这一受控客户将在并不知情的情况下，为黑客发起的资源连线偿付巨额费用。 与以往DDoS 攻击相比，基于云的攻击更容易组织，破坏性更大。 实现云计算内容的监控 云计算所具有的动态性特征使得建立或关闭一个网络服务较之以往更加容易，成本代价更低。因此，很容易以打游击的模式在网络上迁移，使得追踪管理难度加大，对内容监管更加困难。 如果允许其检查，必然涉及到其他用户的隐私问题。 另外，云服务提供商往往具有国际性的特点，数据存储平台也常跨越国界，将网络数据存储到云上可能会超出本地政府的监管范围，或者同属多地区或多国的管辖范围，而这些不同地域的监管法律和规则之间很有可能存在着严重的冲突，当出现安全问题时，难以给出公允的裁决。 Sun 公司发布开源的云计算安全工具，可为Amazon 的EC2，S3 以及虚拟私有云平台提供安全保护 工具包括OpenSolaris VPC 网关软件，能够帮助客户迅速和容易地创建一个通向Amazon 虚拟私有云的多条安全的通信通道； 为Amazon EC2 设计的安全增强的VMIs， 包括非可执行堆栈， 加密交换和默认情况下启用审核。 云安全盒(Cloud safety box) 使用类Amazon S3 接口， 自动对内容进行压缩、加密和拆分， 简化云中加密内容的管理。 微软为云计算平台Azure 设计的Sydney的安全计划 帮助企业用户在服务器和Azure 云之间交换数据，以解决虚拟化、多租户环境中的安全性。 可信云体系架构 EMC， Intel， Vmware 等公司联合宣布了一个“可信云体系架构”的合作项目， 提出了一个概念证明系统。 该架构采用Intel 的可信执行技术(Trusted Execution Technology)、VMware 的虚拟隔离技术、RSA 的enVision 安全信息与事件管理平台等技术相结合， 以此构建从下至上值得信赖的多租户服务器集群。 开源云计算平台Hadoop安全版本 引入Kerberos 安全认证技术， 对共享商业敏感数据的用户加以认证与访问控制， 阻止非法用户对Hadoop Clusters 的非授权访问。 数据安全 保护涉及用户数据生命周期中创建、存储、使用、共享、归档、销毁等各个阶段， 同时涉及到所有参与服务的各层次云服务提供商。 隐私保护 防止云服务商恶意泄露或出卖用户隐私信息，或者对用户数据进行搜集和分析，挖掘出用户隐私数据。 安全云基础设施服务 云基础设施服务。为上层云应用提供安全的数据存储、计算等IT 资源服务，是整个云计算体系安全的基石。 要求具有抵挡来自外部黑客的安全攻击的能力。 并能证明自