云计算解决方案之云安全汇总课件.pptx

云计算解决方案之云安全,提纲,云计算平台面临的威胁云计算安全平台框架云计算安全四方面,足够安全的云计算对用户至关重要,75CIO关心云计算安全,63的CIO关心云计算的性能和投资成本,云计算安全问题关注,服务可用性数据机密性和完整性隐私权的保护,IDC autumn 2008,云计算平台安全问题分析,攻击中间人攻击重放攻击僵尸网络拒绝式服务攻击客户身份伪造冒充云计算应用认证根密钥窃取,漏洞攻击VMWare 漏洞HyperVM：zero-day僵尸网络拒绝式服务攻击黑客盗用,DoS&DDoS不是云计算特有关键核心数据和服务迁移到云计算中心拒绝服务带来的后果影响更严重消耗主机可用资源Land、Teardrop、SYN Flood、UDP Flood、ICMP Flood、Smurf消耗服务器链路带宽,DoS&DDoS定位在第三方云计算服务托管的Web服务器物理位置的计划。云制图旨在绘制服务提供商的基础设施，以确定特定虚拟机（VM）可能的位置。存在的攻击行为攻击亚马逊数据共享的API设置旁道攻击,其它：访问控制授权、数据机密性及完整性、隐私权保护、入侵检测、容灾及数据冗余、恶意代码防役,提纲,云计算平台面临的威胁云计算安全平台框架云计算安全四方面,云计算安全平台框架,提纲,云计算平台面临的威胁云计算安全平台框架云计算安全四方面,四方面安全考虑,定制加固Linux,基于Xen、KVM的开源系统虚拟化,业务计算资源调度,分布式数据库,分布式文件系统,通用PC或刀片,大规模计算平台,安全域动态数据安全静态数据安全,可信的接入安全,可信虚拟化安全,可信网络安全,可信的接入认证可信的终端设备可信的通信链路,可信的策略管理可信的用户管理可信的审计机制合规性,可信安全管理,虚拟机防护虚拟机加密存储安全补丁管理加固，定制OS,ZXCCP DHSS,ZXDFS,IVAS,可信云计算,接入安全,应用层认证SSO*共享秘密GBA/口令公钥证书 数字证书,终端软件完整性终端硬件完整性通过验证终端设备的软硬件完整性来保证设备安全,C数据机密性I 数据完整性A可用性保证数据在通信链路中传输过程的安全,可信接入安全,不同SSO机制下的身份联盟,身份认证和服务提供分离,虚拟化安全,传统虚拟化面临的挑战,IP地址依赖性虚拟机散乱无法监控主机间通讯孤立的安全政策方法,提供足够信息逐条回放虚拟机上执行的任务，通过建立具有各种依赖关系的攻击事件链，从而重构出攻击细节,Syn-Cookie(主机)/Syn-Gate(网关),Random Drop算法,带宽限制和QoS保证,专业防御DoS攻击产品,负载均衡,网络中都有大量成熟的现成工具可以利用，比较常见和有效的有Trinoo、TFN、Stacheldraht、TFN2K,虚拟机隔离虚拟机安全组虚拟机安全规则防地址欺骗阻断对虚拟机端口扫描，嗅探,虚拟机镜像加密存储系统安全定制，检查工具补丁测试，安装精简定制加固OS,网络安全,针对云计算环境，建议：内/外网Web服务器、4A、应用服务器、IDS/IPS等放置于DMZ域，作为堡垒机；,动态数据安全域间安全域内安全静态数据安全访问控制数据加密完善的冗余校验、备份恢复、异地容灾手段是云存储安全的保障,堡垒主机,安全域,合规性,用户管理,可信的审计机制,策略管理,登录策略密码设置策略登录IP管理策略认证/授权策略数据安全策略日志策略可视、可配置.,查询日志备份日志删除日志,增加用户删除用户修改用户信息查询用户信息分角色、分权分域,SAS 70,ISO 27001,FISMA,EU DPD,SOX,GLBA,HIPPA,PCI DSS,Basel II,California A.B.21,安全管理,谢谢,恳请各位领导批评指正,人有了知识，就会具备各种分析能力，明辨是非的能力。所以我们要勤恳读书，广泛阅读，古人说“书中自有黄金屋。”通过阅读科技书籍，我们能丰富知识，培养逻辑思维能力；通过阅读文学作品，我们能提高文学鉴赏水平，培养文学情趣；通过阅读报刊，我们能增长见识，扩大自己的知识面。有许多书籍还能培养我们的道德情操，给我们巨大的精神力量，鼓舞我们前进。,