2017云安全现状分析.pptx

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,什么是云计算？,天下大势，合久必分，分久必合,，,计算机技术的分合演义,早期计算技术以合为特征,曲高和寡,个人电脑的发展使分成为了主流,计算机飞入寻常百姓家,网络技术的发展使云计算成为了合的模式，计算和存储通过网络隐形于云端,大象无形,云：新时代的曙光,云,短期内过度宣传，长期看过于低估,计算成为了一种实用工具,改变一切：商业模式、风险投资、研究开发,什么是云计算？,李德毅院士：,云计算包括信息基础设施（硬件、平台、软件）以及建立在基础设施上的信息服务，,提供各类资源的网络被称为“云”,，“云”中的资源在使

2、用者看来是可以无限扩展的，并且可以随时获取、按需使用、随时扩展、按使用付费,什么是云计算？,计算成为了一种实用工具：计算的第三个时代来临,云的推动者,摩尔定律,超速连接,服务导向架构,供应商等级,主要特征,灵活，按需服务,多租户,计量服务,云计算,NIST,工作定义可视化模式,宽带网络,快速灵活,测量服务,按需自助服务,资源共享,软件即服务（,SaaS,）,平台即服务（,PaaS,）,基础设施即服务（,IaaS,）,共有,私有,混合,社区,基本特征,交付方式,配置模式,NIST定义,五大特征,三种服务模式,三种部署模式,云计算五大特征,按需自服务,用户可以在需要时自动配置计算能力，例如服务器时

3、间和网络存储，根据需要自动计算能力，而无需与服务供应商的服务人员交互。,宽带接入,服务能力通过网络提供，支持各种标准接入手段，包括各种瘦或胖客户端平台（例如移动电话、笔记本电脑、或PDA），也包括其它传统的或基于云的服务。,虚拟化的资源“池”,提供商的计算资源汇集到资源池中，使用多租户模型，按照用户需要，将不同的物理和虚拟资源动态地分配或再分配给多个消费者使用。资源的例子包括存储、处理、内存、网络带宽以及虚拟机等。即使是私有的“云”往往也趋向将资源虚拟“池”化来为组织的不同部门提供服务。,快速弹性架构,服务能力可以快速、弹性地供应 在某些情况下自动地 实现快速扩容、快速上线。对于用户来说，可供

4、应的服务能力近乎无限，可以随时按需购买。,可测量的服务,云系统之所以能够自动控制优化某种服务的资源使用，是因为利用了经过某种程度抽象的测量能力（例如存储、处理、带宽或者活动用户账号等）。人们可以监视、控制资源使用、并产生报表，报表可以对提供商和用户双方都提供透明。,云计算三种服务模式,四种部署模式,云计算核心原则,云计算Gartner图,什么是云安全？,云安全的不同研究方向,云计算安全,安全,云,保护云计算本身的安全云计算安全,“也许我们起名叫云计算本身就是一个失误，因为这名字很容易让人感觉有趣和安全。但事实上，网络中充满了威胁和险恶，如果我们当初把它叫做沼泽计算,(swamp computi

5、ng),或许更能够让人们对它有一个正确的认识。”,云，安全？,沼泽计算？,Ronald L.Rivest,R,SA,算法设计者,云计算架构的安全问题,云计算面临的安全威胁,Threat#1:Abuse and Nefarious Use of Cloud Computing,云计算的滥用、恶用、拒绝服务攻击,Threat#2:Insecure Interfaces and APIs 不安全的接口和API,Threat#3:Malicious Insiders,恶意的内部员工,Threat#4:Shared Technology Issues,共享技术产生的问题,Threat#5:Data Lo

6、ss or Leakage,数据泄漏,Threat#6:Account or Service Hijacking,账号和服务劫持,Threat#7:Unknown Risk Profile,未知的风险场景,恶意使用,说明,攻击者使用云的理由与合法消费者相同,低成本进行巨量处理,影响,密码破解、,DDoS,、恶意存取、垃圾邮件、,c&c,服务器、,CAPTCHA,破解等,举例,现在在,中搜索,MalwareDomainL,，可获得,21,个结果,“过去三年中，,ScanSafe,记录了与,amazonaws,相关的,80,个恶意事件”,ScanSafe,博客,Amazon,的,EC2,出现了垃圾

7、邮件和恶意软件的问题,-Slashdot,数据丢失,/,数据泄漏,说明,由于不合适的访问控制或弱加密造成数据破解,因为多租户结构，不够安全的数据风险较高,影响,数据完整性和保密性,举例,喂，别碰我的云：可以查询第三方电脑云中的数据泄漏（,UCSD/MIT,）,研究详细技术，确保图像位于相同的物理硬件中，然后利用跨虚拟机攻击检查数据泄漏,恶意业内人士,说明,云供应商的员工可能滥用权力访问客户数据,/,功能,减少内部进程的可见性可能会妨碍探测这种违法行为,影响,数据保密性和完整性,名誉损失,法律后果,举例,根据,Verizon,的,2010,数据泄漏调查报告,48%,的数据泄漏是业内人士造成的。在

8、云计算环境下的情况可能更加严重。,流量拦截或劫持,说明,对客户或云进行流量拦截和,/,或改道发送,偷取凭证以窃取或控制账户信息,/,服务,影响,数据保密性和完整性,声誉影响,资源恶意使用造成的后果（法律）,举例,推特,DNS,账户盗用,Zeus botnet C&C,在,Amazon EC2,上的账户被盗用,共享技术潜在风险,说明,公共的硬件、运行系统、中间件、应用栈和网络组件可能有着潜在风险,影响,成功使用可能影响多个用户,举例,Cloudburst-Kostya Kortchinksy(Blackhat 2009),在虚拟,PCI,显示卡,Vmware SVGA II,设备中确认的任意代码

9、执行的潜在风险,VMware Workstation,、,VMware Player,、,VMware Server,和,VMware ESX,中的脆弱部件,不安全的,API,说明,API,用于允许功能和数据访问，但其可能存在潜在风险或不当使用，让程序受到攻击,影响,数据保密性和完整性,拒绝服务,举例,P0wning,可编程网络,(Websense AusCERT 2009_,80%,的测试应用程序没有使用,API,中的安全保护（例如不加密流量和基本验证）,经验证的,CSRF,、,MITM,和数据泄漏攻击,未知风险预测,说明,对安全控制的不确定性可能让顾客陷入不必要的风险。,影响,可能因为云用

10、户没有相关知识，造成重大的数据外泄。,举例,Heartland,支付系统“只愿意做最小的工作量并符合国家法律，而不会通知每一位客户他们的数据是否被盗取。”,IT,治理和企业风险管理,D3:,法律和电子发现,D4:,合规性和审计,D5:,信息生命周期管理,D6:,可携带性和可交互性,D7:,传统安全、业务连续性和灾难恢复,D8:,数据中心运行,D9:,事件响应、通告和补救,D10:,应用安全,D11:,加密和密钥管理,D12:,身份和访问管理,D13:,虚拟化,云计算的安全管理最佳实践,云计算的安全管控,1.,云计算迁移前理清相关合同、,SLA,和架构是保 护云的最好时机,2.,了解云提供商的“

11、供应商”、,BCM/DR,、财务 状况以及雇员审查等,3.尽可能识别数据的物理位置,4.计划好供应商终止和资产清退,5.保留审计权利,6.对再投资引起的成本节省谨慎注意,云计算的安全管理最佳实践,云计算的安全运行,1.,能加密则加密之,独立保管好密钥,2.,适应安全软件开发生命周期的环境要求,3.,理解云提供商的补丁和配置管理、安全保护等,措施,4.,记录、数据渗漏和细粒化的客户隔离,5.,安全加固虚拟机镜像,6.,评估云提供商的,IdM,集成,例如,SAML,OpenID,等,CSA,安全指南框架,云计算安全的,7,个推荐,DoS,对抗各种形式的拒绝服务攻击的能力,D7/D8/D9,SLA,

12、清晰、细化、合同化的安全,SLA D2/D7/D8,IAM,完备的身份和访问控制管理,D12/D13,SVM,全面及时的漏洞扫描和修补,D4/D10/D13,Data,透明和明确定义的数据安全,D5/D6/D11,Audit,完备的电子证据和审计系统,D3/D4,SDL,应用生命周期的安全和供应商安全管理,D10/D11,云计算,平,台安全框架建议,安全作为云计算的一种服务安全云,安全防御技术发展历程,特洛伊,威胁格局的发展,安全防御技术的发展,混合威胁,网络钓鱼,间谍软件,僵尸,脚本病毒,电子邮件蠕虫,服务器收集 病毒信息,安全产品联动,防火墙,扩大已知病毒库,宏病毒,网络蠕虫,垃圾邮件,R

13、ootkits,利益驱动,计算机病毒文件传染者,防病毒,形成互联网范围病毒库,魔高一尺，道高一丈！,网络威胁数量增长图,防病毒软件防护真空期,实际数据图表可以更清楚地表现网络战争的愈演愈烈。,在安全中检测最适合做成云模式,36,1.,用户收到黑客的垃圾邮件,2.,点击链接,4.,发送信息,/,下载病毒,Web,Web,Web,Web,Web,对客户所访问的网页进行安全评估,阻止对高风险网页的访问,3.,下载恶意软件,云安全,37,云安全的客户价值,侦测到威胁,防护更新,应用防护,侦测到威胁,病毒代码更新,病毒代码部署,传统代码比对技术,云安全技术,获得防护所需时间（小时）,降低防护所需时间,:

14、更快的防护,更低的风险更低的花费,更低的带宽占用,更小的内存占用,Bandwidth Consumption(kb/day),ConventionalAntivirus,Cloud-clientArchitecture,Memory Usage(MB),ConventionalAntivirus,Cloud-clientArchitecture,云安全优势,1,2,研究方向更加明确,分析“云安全”的数据，可以全面精确的掌握“安全威胁”动向。,分析模式的改变,“云安全”的出现，使原始的传统病毒分析处理方式，转变为“云安全”模式下的互联网分析模式。,3,防御模式的改变,“云安全”使得网络安全防御

15、模式由被动式向主动式转变。,云安全改变信息安全行业,互联网用户,云安全中心,云安全客户端,用户计算机,用户计算机,用户计算机,用户计算机,用户计算机,来源挖掘,威胁挖掘集群,数据分析,威胁信息数据中心,即时升级服务器,即时查杀平台,自动分析处理系统,互联网内容,下载网站,门户网站,搜索网站,恶意威胁,云计算愈加普及，安全性就愈应该得到重视，在最近召开的,Hadoop,云计算大会和第二届云计算大会上，有关云计算的安全话题也占了相当的比例。对云服务提供商来说，如何保证用户存储在云中的数据的安全？对用户来说，如何才能相信云服务提供商能保证云中数据的安全？将是云计算落地急需解决的问题。,THANK YOU!,