云计算和安全云.pptVIP

北京启明星辰信息安全技术有限公司 翟胜军 2011中国新闻技术工作者联合会年会 云安全与安全云 汇报内容： 政府为何“钟情”云计算 云计算的安全要点分析 安全保障思路设计 云计算安全技术 美国的一组数据： 联邦政府的数据中心数量1998年432个，2009年1100个 数据中心每年的电力消耗 2006年，610亿KW，占美国电消耗1.5% 2011年，1000亿KW，占美国电消耗2.5% 中国的一组数据： 2011年2月底，镇江市经信委的一项调查数据显示，近5年来市财政资金用于信息化项目建设达2.8亿元，每年设备运维费达1300万元，拥有小型机43台，PC服务器755台，95.8%的单位自建机房 美国政府的云计算案例 政府公共部门的目标是改进信息服务质量、降低运行成本 Open Government 国防部： 陆军体验中心AEC：利用S建立客户关系管理工具，提高宣传和招募效果与效率 快速访问计算资源：安全私有云计算RACE系统，为军队项目提供开发与测试环境 卫生和公众服务部： 电子健康记录HER：利用S建立客户关系管理和项目管理，涵盖70个区域中心，协助10万多初级保健医生开展工作 国家航空航天局： 世界望远镜：星云Nebula云计算平台，吸引公众探索月球和火星，高达100TB的高分辨率图片 … 中国政府的云计算计划 移动：大运计划，支撑云、业务云、公有云 电信：星云计划，e云手机 联通：沃云计划，商务平台云化 北京：祥云计划 上海：云海计划 杭州：西湖云计算公共服务平台 无锡：第一个商用云计算中心 深圳：云计算国际联合实验室 哈尔滨：中国云谷 宁波：星云计划 重庆：云端计划 镇江：云神计划 广州：天云计划 … 涉及云计算的项目投资预算高达数千亿 什么是云计算 云计算是一种信息服务交付模式。它可以便捷地、按需地实现对共享计算资源的访问，访问通过网络进行，资源池(如网络、服务器、存储、应用程序、服务等)是可配置的，配置可通过人机交互快速实现。 特点： 按需自助服务---如同“自来水”、“电”服务、“即用即付费” 宽带网络接入---统一接入门户 ---数据中心整合技术--- 资源池---虚拟化技术管理资源(存储、处理、内存、带宽、虚拟机等) 有弹性的服务能力---用户看到的虚拟服务 可度量的服务---用户得到的真实服务 服务模式： SaaS：为消费者提供使用运营商应用程序的能力 PaaS：在云计算基础设施上为消费者提供部署应用程序的能力 IaaS：为消费者提供处理、存储、网络和其他基础计算资源的能力 部署模式：公共云(有哪些信誉好的足球投注网站服务、S、IDC服务)、私有云、混合云 通道：互联网/专网 用户：智能终端 云服务接入门户 IaaS/PaaS/SaaS 云服务管理平台 数据中心 云计算模型 云计算服务的“五大”安全关键点 存储 服务器 Windows 虚拟机 虚拟化平台 虚拟机 虚拟机 数据中心机房 网络 Unix Linux 应用软件 服务软件 专用软件 用户A 用户B 用户C 云服务管理平台 管理、安全等必须的支撑软件 IaaS：基础设施即服务 PaaS：平台即服务 智能终端(固定+移动) SaaS：软件即服务 用户流量导引门户 云服务接入门户 1、双向身份鉴别 传输加密 门户防DDOS攻击 门户防入侵(逻辑炸弹) 用户流量隔离(防流量渗入) 2、虚拟机内安全监控与用户行为审计、病毒过滤 4、云管理平台内部安全监控，管理行为审计，阻止虚拟机用户“外泄”与“上浮” 防黑客入侵 5、备份与容灾 防黑客入侵 3、虚拟机间的“溢出”监控与阻断 等级保护思路---合规性建设 风险 防护措施 信息资产 威胁 漏洞 防护需求 降低 增加 增加 利用 暴露 价值 拥有 抗击 增加 引出 被满足 一般风险评估的 理论基础 3分技术，7分管理：通过管理驱动技术，通过技术实现管理 风险管理思路(ISO13335) 应急响应思路(PDR模型) 事前：未雨绸缪 事中：风雨同舟 事后：亡羊补牢 安全是攻与防相互学习、共同提高的对抗性活动 安全基线建设思路(花瓶模型) 事后 事中 事前 敏感数据 重要业务 安全防护基线 动态监控基线 信任管理基线 安全事件 空间 时间 管理 = 安全 花瓶模型v4.1-安全保障架构 五边界 事前防护 五监控 事中监控 三验证 事后取证 平台管理 云计算安全模型 SaaS PaaS IaaS 接入门户边界 双向身份鉴别 业务流边界 用户隐私保护 虚拟机行为审计 私 有 云 公 有 云 混 合 云 云服务交付 云服务信任 云 服 务 运 营 用户安全需