精华内容
下载资源
问答
  • 云计算技术与应用 云计算安全技术 本专题主要内容 1 云计算安全挑战 2 云计算面临的安全问题 3 云计算安全关键技术 1 云计算安全 Google安全挑战 云计算特有的数据和服务外包虚拟化多租户和跨域共享 等特点,带来了...
  • CLOUD+云计算工程师培训  云计算作为信息产业模式的巨大变革,已成为当今IT行业最热门的发展领域,众多企业现在都在积极研究...因此,了解云计算,掌握云计算技术,已经成为IT系统工程师、网络工程师和服务器工程师

    CLOUD+云计算工程师培训 
    云计算作为信息产业模式的巨大变革,已成为当今IT行业最热门的发展领域,众多企业现在都在积极研究云计算相关技术和架构。云计算逐步改变当前信息产业结构和软件生产组织方式,信息消费模式也随之发生巨变。对IT专业人士来讲,云计算已经不是一个新名词,而将是当前和未来最广泛的IT架构和应用模式。因此,了解云计算,掌握云计算技术,已经成为IT系统工程师、网络工程师和服务器工程师、软件工程师的必修课。方兴未艾的云时代,您是否已经准备好了? 
    上海市信息技术培训中心携手全球信息技术领域最具影响力的行业协会CompTIA,引入国际公认的云计算认证,让在云计算环境下工作的IT人员,了解标准云术语与方法学,拥有执行、维护和交付云技术以及云基础设施(如服务器,网络维护与虚拟化技术)的知识和技能,掌握与云执行和云虚拟化应用有关的技能。 
    授课对象 
    · 企业管理者、CIO、CTO、政府信息部门官员、项目(开发)经理、咨询顾问 
    · IT经理,IT咨询顾问,IT支持专家 
    · 系统工程师、数据中心管理员、云计算管理员及想加入云计算队伍的您 
    培训目标 
    了解标准云术语与方法学,并拥有执行、维护和交付云技术以及云基础设施(如服务器,网络维护与虚拟化技术)的知识和技能,掌握与云执行和云虚拟化应用有关的技能,如IT安全与产业最优化。 
    入学条件 
    1、?拥有至少 24-36 月的IT网络、网络存储或数据中心的管理工作经验 
    2、熟悉所有主要的与服务器虚拟化有关的管理程序技术 
    3、大专以上学历 
    授课形式    限额8-10人,中文授课。 
    课程日期    2013年12月4日-12月6日 
    上课地点    上海市华山路1076号,上海市信息中心 
    认证证书 通过考试可获得CompTIA Cloud+认证证书 

    上海市信息技术培训中心SITTC介绍 
    为配合实施国民经济和社会信息化发展计划纲要,经原上海市计划委员会和上海市信息化办公室核准,在上海市信息中心培训部的基础上,上海市信息技术培训中心于1998年正式挂牌成立,以“普及信息领域新技术,推进社会信息化”为宗旨,十几年来,凭借较强的资源整合及持续创新能力,我们不断研发出与各类新技术相关的培训课程;同时作为政府序列的信息化促进机构之一,2008年起根据中国信息化发展趋势,结合企业面临的问题和实际需求,我们开始围绕“为企业优化流程化管理,提供科学系统、可操作的解决方案”,推出全方位全过程的咨询服务。上海市信息技术培训中心将致力于成为广大企业的信息化智库,为企业发展提供坚实的智慧保障。 

    咨询与联系 
    咨询地点:上海市华山路1076号上海市信息中心 
    联系人:汤老师 
    电话:021-62126450 ,021-62126633-6015 
    传真:021-52550057 
    邮箱: tangcl@shic.gov.cn 
    网址:www.sittc.com 

    附:课程大纲 
    一、云概念及其模型 
    1.    云服务类型比较(采用(NIST)标准) 
    2.    云交付模式和服务比较 
    3.    云技术特点与专业术语摘要 
    4.    对象存储 
    二、虚拟化 
    1.    各类型管理程序之间的差异 
    2.    安装、配置和管理虚拟机和设备 
    3.    虚拟资源迁移 
    4.    虚拟化在云环境中的优点 
    5.    构建云环境的虚拟组件的比较 
    三、云基础架构 
    1.    不同的存储技术对比 
    2.    存储配置与执行 
    3.    给定场景的网络设置执行 
    4.    网络优化 
    5.    基本网络连接问题的解决 
    6.    常见网络协议,端口和拓扑结构 
    7.    建立虚拟环境的常见的硬件和其特性 
    四、网络管理 
    1.    资源监测技术的执行与使用 
    2.    物理主机资源最优化 
    五、云安全 
    1.    云安全概念,工具及最优方案。 
    2.    存储安全概念,方法和最优方案 
    3.    比较各种加密技术和方法的差异 
    4.    识别访问控制方法 
    六、系统管理 
    1.    云环境的策略和过程 
    2.    诊断、修复和优化物理主机性能 
    3.    部署云服务时,实施适当的测试技术 
    七、云服务的业务可持续性 
    1.    比较灾难恢复的方法和概念 
    2.    部署满足可用性要求的解决方案

     

    上海云计算课程——上海市信息技术培训中心云计算工程师课程  云安全 云平台 云计算技术 云计算概念 - sittc7 - 上海市信息技术培训中心云啦啦

    展开全文
  • 基于云计算技术云安全管理平台设计.pdf
  • 将物理网络利用某种形式的虚拟网络技术来抽象并创建网络资源池的,我们称之为网络虚拟化,目前绝大多数的厂商都是利用某种形式的虚拟化网络(SDN)来抽象对应的物理网络并创建网络资源池的,一般情况下,用户可从...


    一.网络虚拟化

    将物理网络利用某种形式的虚拟网络技术来抽象并创建网络资源池的,我们称之为网络虚拟化,目前绝大多数的云厂商都是利用某种形式的虚拟化网络(SDN)来抽象对应的物理网络并创建网络资源池的,一般情况下,用户可从这个虚拟的网络资源池中定义获取自己所需要的网络资源,支持用户在云平台中定义划分对应子网结构的能力


    二.云计算中常见网络虚拟化

    在当前云计算的环境中,常见的网络虚拟化一般分为两大类:

    2.1 VLAN (虚拟局域网)

    定义:VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网

    功能用途:VLAN利用现有的网络技术在大多数的网络硬件上去实现,即使没有云计算,其技术在绝大多数的企业里面使用的都是十分的普遍,VLAN技术其主要被用于设计企业数据中心,使用其VLAN技术可以达到分离不同的网段及业务单元、来宾网络等 ,从上面的对VLAN的定义以及用途描述来看,VLAN只适用于

    2.2 SDN (软件定义网络)

    定义:软件定义网络(Software Defined Network,SDN)是由美国斯坦福大学CLean State课题研究组提出的一种新型网络创新架构,是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台。

    功能用途:SDN(软件定义网络)是网络虚拟化实现的一种方式,使用SDN其会将网络设备控制平面与数据平面解耦,从而实现了网络流量的灵活控制,进一步的对网络进行抽象,摆脱了传统局域网的局限性。SDN(软件定义网络)其有多种的实现方式,包括基于标准和专有的,根据其实现的方式不同,其实现的功能也会不同,例如,使用SDN(软件定义网络)可以在同一个物理网络上实现多个虚拟网络的隔离重叠IP范围。其不像标准的VLAN,如方案实施得当,SDN其会提供相当有效的边界安全隔离,另外其SDNS还可以支持提供任意IP地址的范围,包括不限于10.0.0.0/8等范围的IP地址,甚至其还可以使用相同的内部网络IP地址段支持多个客户,由此可见SDN其拥有更好的网络扩展性


    三.云计算中常见网络虚拟化对比

    虚拟化方式优劣势对比
    VLAN适用单租户网络,不适用与大规模虚拟化或安全性,不建议做为一个网络隔离的有效的安全控制手段来考虑
    SDN适用大规模虚拟化或安全性,可提供有效的安全边界隔离,支持软件定义网络,针对网络提供了更高的灵活性及隔离性

    四.总结

    众所周知,现在绝大数的云厂商及企业内部自建的私有云,其出于操作和安全的原因,都会将网络进行相关隔离,往往大部分的云厂商及企业内部自建的私有云其都会选用SDN网络虚拟化,因为对于他们来说,SDN网络虚拟化它不仅提供了有效的安全边界隔离,范围很广的软件定义网络,更对现有的网络提供了更高的灵活性,隔离性及扩展性。

    展开全文
  • 戈尔登(Bernard Golden)撰文指出,一个接一个的调查表明,对于公有云计算安全是潜在用户最担心的问题。例如,2010年4月的一项调查指出,45%的以上的受访者认为云计算带来的风险超过了收益。CA和Ponemon Institute...
    HyperStratus咨询公司首席执行官伯纳德.戈尔登(Bernard Golden)撰文指出,一个接一个的调查表明,对于公有云计算,安全是潜在用户最担心的问题。例如,2010年4月的一项调查指出,45%的以上的受访者认为云计算带来的风险超过了收益。CA和Ponemon Institute进行的一项调查也发现了用户有此类担心。但是,他们还发现,尽管用户存在这种疑问,云应用还是在部署着。类似调查和结果的持续发布表明人们对云计算安全的不信任继续存在着。 
    
    不可否认,大多数对云计算安全的担心都与公有云计算有关。全球IT从业者不断地对使用一个公有云服务提供商提出同样的问题。例如,戈尔登近期去了台湾并且在台湾云SIG会议上发表了演讲。有250人参加了这个会议。正如预料的那样,人们向他提出的第一个问题是“公有云计算环境足够安全吗,我是否应该使用私有云以避免安全问题?”所有的人似乎都认为公有云服务提供商是不可信赖的。
    然而,把云安全的讨论归结为“公有云不安全,私有云安全”的公式似乎过于简单化。简单地说,这个观点存在两个大谎言(或者说是两个基本的误会)。主要原因是这种新的计算模式迫使安全产品和方法发生了巨大变化。
    第一个云安全谎言:私有云很安全
    第一个谎言是私有云是安全的。这个结论的依据仅仅是私有云的定义:私有云是在企业自己的数据中心边界范围内部署的。这个误解产生于这样一个事实:云计算包含与传统的计算不同的两个关键区别:虚拟化和动态性。
    第一个区别是,云计算的技术基础建立在一个应用的管理程序的基础上。管理程序能够把计算(及其相关的安全威胁)与传统的安全工具隔离开,检查网络通讯中不适当的或者恶意的数据包。由于在同一台服务器中的虚拟机能够完全通过管理程序中的通信进行沟通,数据包能够从一个虚拟机发送到另一个虚拟机,不必经过物理网络。而一般安装的安全设备通常会在物理网络检查通讯流量。
    至关重要的是,这意味着如果一个虚拟机被攻破,它能够把危险的通信发送到另一个虚拟机,传统的防护措施甚至都不会察觉。换句话说,一个不安全的应用程序能够造成对其他虚拟机的攻击,用户采用的安全措施对此却无能为力。仅仅因为一个用户的应用程序位于私有云并不能确保这个应用程序不会出现安全问题。
    当然,人们也许会指出,这个问题是与虚拟化一起出现的,没有涉及到云计算的任何方面。这个观点是正确的。云计算代表了虚拟化与自动化的结合。它是导致私有云出现另一个安全缺陷的第二个因素。
    云计算应用程序得益于自动化以实现灵活性和弹性,能够通过快速迁移虚拟机和启动额外的虚拟机来管理不断变化的流量负载类型,并对不断变化的应用状况做出回应。这意味着新的实例在几分钟之内就可以上线,不需要任何人工干预。这也意味着任何必要的软件安装或者配置也必须实现自动化。这样,当新的实例加入现有的应用程序池的时候,它能够立即作为一个资源被其他应用使用。
    同样,它还意味着任何必须的安全软件必须自动化地进行安装和配置,不能有人工干预。遗憾的是,目前许多机构还必须依靠安全人员或者系统管理员人工安装和配置必要的安全组件,而且这通常是作为这台机器的其它软件组件安装和配置完毕之后的第二个步骤。
    换句话说,许多机构在安全措施实践与云要求的现实方面是不匹配的。现在可以认为私有云本身是安全的这个观点是不正确的。在用户的安全和基础设施实践与自动化的实例一致之前,肯定会产生安全漏洞。
    而且,使它们一致是非常重要的。否则,可能出现这种情况:用户的应用程序自动化超过了安全实践的应对能力。这不是一个好现象。毫无疑问,人们不想面对为什么好像安全的私有云最终还是有安全漏洞,因为云计算的自动化特征还没有扩展到软件基础设施的所有方面。
    因此,关于云计算的第一个大谎言的结果是:私有云本身就是不安全的。
    第二个云安全谎言:公有云很不安全
    关于云计算安全的第二个谎言是对公有云安全的假设,特别是错误的认为公有云计算的安全完全取决于云服务提供商。现实是,服务提供商领域的安全是提供商与用户共同承担的责任。服务提供商负责基础设施的安全以及应用程序与托管环境之间接口的安全;用户负责接入环境接口的安全,更重要的是负责应用程序本身的内部安全。
    没有正确地配置应用程序,如环境安全接口,或者没有采取适当的应用程序级安全预防措施,会使用户产生一些问题。任何提供商也许都不会对这种来自用户应用程序内部的安全问题承担责任。
    让笔者提供一个例子。与我们合作的一家公司把自己核心的应用程序放在亚马逊的Web服务中。遗憾的是这家公司既没有针对亚马逊Web服务安全机制可能存在的漏洞部署安全措施,也没有针对应用程序设计的问题采取安全防御措施。
    实际上,亚马逊提供了一个虚拟机级别的防火墙(称作安全组)。人们配置这个防火墙以允许数据包访问具体的端口。与安全组有关的最佳做法是对它们进行分区,这样,就会为每一个虚拟机提供非常精细的访问端口。这将保证只有适用于那种机器类型的通信流量才能够访问一个实例。例如,一台Web服务器虚拟机经过配置允许端口80上的通信访问这个实例,同时,数据库虚拟机经过配置允许端口80上的通信访问这个实例。这就阻止了来自外部的利用web通信对包含重要应用程序数据的数据库实例的攻击。
    要建立一个安全的应用程序,人们必须正确地使用安全组。但下述这个用户没有这样做。它对于访问所有实例的通信都使用一个安全组。这意味着访问任何实例的任何类型的通信都可以访问每一种类型的实例。这显然是没有正确使用亚马逊Web服务安全机制的一个例子。
    关于用户的应用程序本身,它也采用了很糟糕的安全措施。它没有在不同类型的机器之中对应用程序代码进行分区,而是把所有的应用程序代码都装载到同一个实例中。这个实例可以接收来自其企业网站的通信流量,以及包含专有算法的代码。
    这种情况的关键事实是:如果这个用户以为所有的安全责任都由云服务提供商来承担(在这个案例中是亚马逊Web服务),这将是一个严重的疏忽,因为用户本身没有采取重要的步骤来解决安全问题,而这个安全问题是任何一个云服务提供商都不会承担相关责任的。这就是共同承担责任的意义——双方必须建立自己控制的安全范畴。如果没有这样做,就意味着应用程序是不安全的。即使云服务提供商在自己控制的范围内所做的一切都是正确而且完善的,若是这个应用程序的所有者没有正确地履行自己的责任,这个应用程序也将会变得不安全。
    戈尔登称,我曾经见过许多安全人员讨论有关公有云服务提供商的问题。他们拒绝承担自己的公司在公有云环境中应该承担的责任,坚持把每一个安全问题转向对云服务提供商的担心。
    坦率地说,这使我感到他们的想法很轻率。因为这暗示着他们拒绝认真地做一些必要的工作以便创建一个基于公有云服务提供商的尽可能安全的应用程序。这个态度显示,好像所有的安全责任都在云服务提供商身上,再进一步发展就是认为他的公司与在公有云服务提供商环境中运行的应用程序的任何安全事故都无关。因此,以下这种论点并不让人感到意外:有关人士坚决支持私有云,声称私有云与公有云相比有优越的安全性。
    现实情况是,用户正在越来越多地在公有云服务提供商环境中部署应用程序。安全组织保证自己采取一切可能的步骤尽可能安全地执行应用程序是非常重要的。这意味着用户本身也需要在这方面采取些相关的措施。
    因此,安全是云计算的第三条轨道。安全一直被说成是私有云固有的好处和公有云计算的基本缺陷。实际上,事实比这些情况暗示的还要模糊不清。断言公有云环境有安全缺陷,不认真考虑如何缓解这些不安全因素,是不很负责任的说法。
    一个管理不善和配置糟糕的私有云应用程序是同样会非常容易受到攻击。而一个管理妥当的和配置合格的公共云应用程序却能够达到很好的安全性。把这种情况描绘成非黑即白地简单化,会危害云环境的正常发展。
    在如何选择两种不同的云环境时,更有建设性的做法是询问必须采取什么行动才能实现在时间、预算和容许风险的条件下尽可能保证应用程序安全的目标。考虑到一个具体的环境和应用,安全从来不是一个或黑或白的简单问题,而是如何尽可能地将两种云计算类型所面临的安全灰色地带如何照亮的问题。如果没有意识到上述观点,对于如何保证一个企业的基础设施建设尽可能提高效率和节约成本来说没有一点好处。
    展开全文
  • 云计算与云安全

    2012-10-15 10:32:32
    主要从云计算安全要点、安全保障思路设计、云计算安全技术几个方面分析平台实施安全保障的一些策略。
  • 云安全环境下的云计算关键技术研究.pdf
  • 云计算&云安全.zip

    2020-03-02 17:18:36
    7.国内第一本深入剖析云计算技术的教材《云计算》。8.阿里云计算专业认证-考试大纲。9.网格计算云计算。10.《信息技术 云计算 边缘云计算通用技术要求》 征求意见稿。11.大话云计算和深入云计算。12.2017云计算...
  • 随后亚马逊、微软、惠普、雅虎、英特尔、IBM等公司都宣布了自己的“云计划”,云安全、云存储、内部云、外部云、公共云、私有云……一堆让人眼花缭乱的概念在不断冲击人们的神经。那么到底什么是云计算技术呢?对...
  • 云计算技术架构实践 云计算技术架构实践 云计算技术架构实践
  • JR/T 0167-2018 云计算技术金融应用规范 安全技术要求
  • 原生安全物联网无线通信大数据分析人工智能云计算技术报告.pdf
  • 云计算云安全

    2012-05-03 18:58:55
    云计算中云安全的技术文章,主要是关于各大杀毒公司对云安全的运用
  • 技术与实现: 谷歌架构的可信云安全技术培训教材
  • 技术与实现: 苹果架构的可信云安全技术培训教材
  • 云计算与云计算安全

    2012-09-03 15:00:08
    云计算与云计算安全,时下流行的云计算与元计算安全技术的介绍,可以下下来看一下
  • 云安全初识之云计算

    千次阅读 2019-06-06 15:41:01
    云安全初识之云计算篇 首发于https://www.freebuf.com/column/204786.html,转载记录在个人博客。 等保2.0已经正式发布,12月1日开始实施,随着国内数字经济的发展和云计算的深入推进,云计算基础设施将得到进一步...

    云安全初识之云计算篇

    首发于https://www.freebuf.com/column/204786.html,转载记录在个人博客。

    等保2.0已经正式发布,12月1日开始实施,随着国内数字经济的发展和云计算的深入推进,云计算基础设施将得到进一步发展。身为安服攻城狮,怎可不懂云安全!

    1. 云技术定义

    云技术是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。它是基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。

    2. 云安全定义

    “云安全 ”是继“云计算”“云存储”之后出现的“云”技术的重要应用,是传统IT领域安全概念在云计算时代的延伸,已经在反病毒软件中取得了广泛的应用,发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。云安全是我国企业创造的概念,在国际云计算领域独树一帜,最早由趋势科技在美国正式推出了“云安全”技术。

    3. 云计算定义

    “云计算”(Cloud Computing)是分布式处理(Distributed Computing)、并行处理(Parallel Computing)和网格计算(Grid Computing)的发展,或者说是这些计算机科学概念的商业实现。云计算在IT技术领域快速发展,成为引领技术潮流的新技术。云计算带来的利好毋庸置疑,但存在的风险也随之产生。在信息安全领域,风险就是一个恶意或非恶意暴露机密信息事件、或威胁数据一致性以及干扰系统和信息可用性事件发生的概率。任何接入互联网的组织都处于风险之中,他们都应考虑黑暗网络的弹性特性和扩展私有云计算和公共云计算网络的能力。

    4. 云计算相关介绍

    一张图描述云计算:

    image.png

    4.1 五个基本特征

    (1)按需自助服务:用户可以根据自己的实际需求,获取相应的服务资源。
    (2)广泛的网络访问:云平台通过网络连接为用户提供服务,用户可以通过PC客户端、移动客户端等多种方式进行接入管理。
    (3)资源池化:云服务商依托虚拟化技术,将各种的IT资源汇聚到资源池内,采用多租户的模式,按照不同的用户需求将资源池内相应的IT资源分配给对应用户进行使用。
    (4)快速弹性化:云计算平台能够根据用户对资源的需求情况,快速的进行资源的动态划分,使用户的资源能够做到弹性的扩容和收缩,保障用户业务的高效、稳定运行。
    (5)可度量:云计算之所以能够按需提供服务,其主要依赖于所提供服务能够进行有效度量,用户可以根据自身使用量进行付费。

    4.2 三种服务模型

    (1)基础设施即服务(IaaS):基础设施福分包括电脑、网络、存储、负载平衡设备、虚拟机。这些服务于终端用户的软硬件资源都可以按照它们的需求来进行扩展或收缩。
    (2)软件即服务(SaaS):顾名思义,这种模式包括类似虚拟桌面、各种实用应用程序、内容资源管理、电子邮件、软件及其他等软件部分。在此种模式中,云服务供应商负责安装、管理和运营各种软件,而客户则通过云来登入和使用他们。
    (3) 平台即服务(PaaS):在此种模式中,托管服务供应商通过提供工作平台来帮助客户,包括执行运行时间、数据库、Web服务、开发工具和操作系统,客户无需手动分配资源。

    三中服务类型租户和云服务商责任图如下:

    image.png

    4.3 四种部署方式

    (1)公有云:在此种模式下,应用程序、资源、存储和其他服务,都由云服务供应商来提供给用户,这些服务多半都是免费的,也有部分按需按使用量来付费,这种模式只能使用互联网来访问和使用。同时,这种模式在私人信息和数据保护方面也比较有保证。这种部署模型通常都可以提供可扩展的云服务并能高效设置。
    (2)私有云:这种云基础设施专门为某一个企业服务,不管是自己管理还是第三方管理,自己负责还是第三方托管,都没有关系。只要使用的方式没有问题,就能为企业带来很显着的帮助。不过这种模式所要面临的是,纠正、检查等安全问题则需企业自己负责,否则除了问题也只能自己承担后果,此外,整套系统也需要自己出钱购买、建设和管理。这种云计算模式可非常广泛的产生正面效益,从模式的名称也可看出,它可以为所有者提供具备充分优势和功能的服务。
    (3)社区云:这种模式是建立在一个特定的小组里多个目标相似的公司之间的,他们共享一套基础设施,企业也像是共同前进。所产生的成本由他们共同承担,因此,所能实现的成本节约效果也并不很大。社区云的成员都可以登入云中获取信息和使用应用程序。
    (4)混合云:混合云是两种或两种以上的云计算模式的混合体,如公有云和私有云混合。他们相互独立,但在云的内部又相互结合,可以发挥出所混合的多种云计算模型各自的优势。

    5 云计算风险和建议

    根据云计算的服务模型进行风险分析:

    5.1 IaaS层风险分析

    基础设施即服务(IaaS)为用户提供计算、存储、网络和其它基础计算资源,用户可以在上面部署和运行任意的软件,包括操作系统和应用程序,用户不用管理和控制底层基础设施,但要控制操作系统、存储、部署应用程序和具有对网络组件(如主机防火墙)具有有限的控制权限的能力。

    IaaS层由物理层和虚拟层两层组成。面临的安全风险就包括物理层安全风险和虚拟层安全风险。各自风险如下:

    虚拟层主要由虚拟控制器及虚拟机(VirtualMachine,VM)组成。虚拟控制器用来实现对虚拟机的控制,虚拟机的功能是实现向云用户提供按需分配的计算和存储资源。由于云计算具有共享资源的特点,这使得虚拟机之间有可能产生干扰,而它们之间的通信是无法监测和控制的,这就会带来很多的安全风险;同时,在一个系统中存在多个安全需求的虚拟机,以及虚拟机的动态迁移都会带来新的风险;另外,虚拟化技术引入了管理程序hypervisor等,也使系统面临着新的威胁,这些风险在虚拟化环境中需要使用新的防范措施。

    云计算的物理层安全包括一般信息系统里的几个层次,如包括物理设备的安全、网络环境的安全、系统安全和网络安全等,这一层主要保障云计算系统不受自然环境和人为的破坏。物理层安全是整个云计算系统安全的前提。这里的系统安全和网络安全与第3章分析的一般信息系统的系统安全和网络安全内容是相同的[1]。对于网络安全问题着重考虑的是拒绝服务攻击(DenialofService,DOS)和逻辑边界安全等问题。

    云安全联盟(CSA)在2015年便发表了”IaaS云存在的错误可能让你的数据处于危险之中”的文章,一个核心主题是,许多最严重的IaaS风险很大程度是由于云管理员对操作系统,应用程序和云管理界面的错误配置或缺乏安全控制。列出的第一个主要风险是缺乏安全的API,这些API是由云提供商提供以允许用户与他们的服务以及服务管理更无缝的集成。尽管提供商负责提供安全的API和补丁,客户应该自己对这些API进行评估,包括支持的传输方法以及什么样的数据在与供应商的交互过程中被来回发送。API或应用程序的更新很容易导致兼容性问题,甚至也可能引发数据泄露的场景,因此客户应该定期测试他们的程序和API交互的部分。

    云租户面临的风险和建议:
    (1)针对数据泄露进行数据隔离。
      用户的数据在云中会存在泄露的危险。当用户迁移到云的时候,对于客户和他们,这就是数据泄露问题发生的源头。对于数据泄漏风险而言,解决此类风险主要通过数据隔离。主要有通过网络安全策略隔离、虚拟存储隔离、采用虚拟机隔离和虚拟机文件系统,比如VMware的VMFS文件系统。

    (2)针对服务不可靠性综合考虑数据中心软件部署。
      计算服务性能不可靠。主要包括硬件与软件问题。硬件问题包括服务器、存储、网络设备的安全性、不稳定以及不易维护性,这都有可能造成计算性能的不可靠;软件系统包括安全性、兼容性、稳定性、可维护性等。 在操作系统和应用程序等虚拟化软件选择中,建议在价格、厂商、质量、稳定性、安全性之间平衡。建议有条件的客户首先聘请咨询公司进行咨询。

    (3)针对远程管理认证风险设置安全认证机制。
      根据定义,IaaS资源在远端,因此你需要某些远程管理机制,这就存在远程认证危险。最常用的远程管理机制包括:
      VPN:提供一个到IaaS资源的安全连接。远程桌面、远程Shell:最常见的解决方案是SSH。
      Web控制台UI:提供一个自定义远程管理界面,通常它是由云服务提供商开发的自定义界面(如管理亚马逊AWS服务的RightScale界面)。
      对应安全策略如下:
      1.缓解认证威胁的最佳办法是使用双因子认证,或使用动态共享密钥,或者缩短共享密钥的共享期。
      2.不要依赖于可重复使用的用户名和密码。
      3.确保安全补丁及时打上。
      4.对于下面这些程序:SSH:使用RSA密钥进行认证;微软的远程桌面:使用强加密,并要求服务器认证;VNC:在SSH或SSL/TLS隧道上运行它;Telnet:不要使用它,如果你必须使用它,最好通过VPN使用。
      5. 对于自身无法保护传输数据安全的程序,应该使用VPN或安全隧道(SSL/TLS或SSH),推荐首先使用IPSEC,然后是SSLv3或TLSv1。

    (4)针对虚拟化技术风险选择安全的虚拟化厂商以及成熟的技术
      IaaS基于虚拟化技术搭建,虚拟化技术也是有很多漏洞的,例如虚拟机逃逸和各种逻辑漏洞。因此最好选择要能有持续的支持以及对安全长期关注的厂商。定期更新虚拟化安全补丁,并关注虚拟化安全。
    (5)针对用户担心建立健全IT行业法规。
      在云计算环境下,用户不知道自己的数据放在哪儿,因而会有一定的焦虑,比如我的数据在哪儿,安全吗?等等的疑问。
      在IaaS环境下,由于虚拟机具有漂移特性,用户很大程度上不知道数据到底存放在那个服务器、存储之上。另外由于数据的独有特点,一旦为别人所知,价值便会急剧降低。这需要从法律、技术两个角度来规范,首先建立健全法律,对数据泄漏、IT从业人员的不道德行为进行严格约束,从人为角度防止出现数据泄漏等不安全现象。其次,开发虚拟机漂移追踪技术、IaaS下数据独特加密技术,让用户可以追踪自己的数据,感知到数据存储的安全。
    (6)针对突然的服务中断等不可抗拒风险,采取两地三中心策略。
      服务中断等风险在任何IT环境中都存在,在部署云计算数据中心时,最好采取基于两地三中心的策略,进行数据与环境的备份。

    5.2 PaaS层风险分析

    PaaS平台资源的容器是基于操作系统的虚拟化,与IaaS基础环境实现解耦,平台自身的实现多数是应用较广的开发框架和标准 API,能够有效提升资源管理水平,有效避免厂商绑定;同时,合理调整单个操作系统之上容器密度的有效部署,可以更好提升资源使用率,降低硬件采购成本。
    PaaS主要以容器云形式实现,容器云依赖容器基础技术,目前常见的有Docker和garden两种类型。

    平台即服务(PaaS)这一层的安全风险主要来自于用户接口和用户运行应用程序所带来的风险。用户接口的信息安全风险主要来自对用户的认证、信息的加密以及用户的访问控制上,防范利用接口进行攻击并滥用云服务的行为。运行风险主要体现在PaaS提供商要防范用户在通过PaaS开发平台开发自己的应用程序并运行时,要保证提供商的PaaS平台不受到用户的运行的应用程序的影响。常见用户应用风险漏洞例如应用配置不当、平台构建漏洞、SSL协议及部署缺陷、未授权访问、软件设计缺陷和不良的测试方法。因此,运行安全包括对用户的应用程序进行安全控制、监控、隔离和安全审计等措施。

    5.3 SaaS层风险分析

    SaaS(Software-as-a-Service,软件即服务),也叫作应用程序服务层,通过网络在线交付服务,企业可以节省更多的成本,把更多的精力用在促进业务发展上而不必被ERP这些软件的升级维护琐事而困扰,极大的提升运营效率。但是很多企业,尤其是大型企业,很不情愿使用SaaS正是因为安全问题,SaaS解决方案缺乏标准化,企业要保护核心数据,不希望这些核心数据由第三方来负责。这一层的安全风险主要是应用风险,是指由于云计算系统上运行着各种不同的应用程序而带来的风险,主要包括一些web安全漏洞等

    5.4 公共安全风险

    在IaaS层、PaaS层、SaaS层的安全风险分析中,除了以上介绍的各种安全风险外,还会存在以下的每一层都会存在的公共安全风险,它包括数据安全、加密和密钥管理、身份识别和访问控制、安全事件管理、业务连续性、管理安全和法律法规与标准等几个方面的安全威胁,由于云环境下的安全事件管理、业务连续性和管理安全风险与互联网的信息安全风险管理具有较大的相似性,这里不再赘述。

    5.4.1 数据安全

    云安全联盟(CloudSecurityAlliance,CSA)在其《2013年云计算最大威胁》研究报告中指出云计算目前面临着九大威胁,其中排名前两位的都是数据安全问题,分别是数据泄露和数据丢失,可见数据面临的信息安全风险特别大。企业由于使用云计算服务,不得不将自己的数据交给云计算服务提供商,对于企业来说,数据可能面临以下风险:企业将大量商业信息存储在云中而无法对其进行监管,企业数据面临着被非法收集、处理和利用的风险。云计算采用虚拟化技术,企业无法得知自己的数据储存在哪个物理位置,企业面临着数据不可控的风险。云计算环境下,多个用户共享计算和存储资源,不同用户的数据有可能混淆在一起,其数据有可能遭受恶意使用和篡改,造成数据保密性和完整性风险。由于不同的用户可以在世界的任何不同地方通过Internet网络访问“云”,使得用户访问处于多点访问的情况,数据面临着有效访问控制的风险。

    5.4.2 身份识别和访问控制

    云计算服务是的用户和为其服务的云计算服务器通常位于不同的信任域中,这使得传统的访问控制列表的方法以及基于角色的访问控制等访问控制模型失效,因此,需要去研究新的适合云计算环境这种开放环境的访问控制方法。

    5.4.3 加密和密钥管理

    为确保数据在存储、传输过程中的机密性和完整性,一般要对数据进行加密。云计算环境中,为了防范云服务提供商及恶意用户对数据的非法使用,需要对存储在云中的数据加密;又由于数据在传输过程中,可能要从这片“云”传输到那片“云”。因此,存储和传输过程中采用何种加密技术对数据进行加密,确保这些环境下的数据的机密性,减少风险,这就需要进一步研究加密技术[3]。而对于密钥的管理包括密钥存储的保护、访问控制及密钥的备份与恢复等。

    5.5 管理风险

    5.5.1云服务无法满足SLA

    企业依靠服务等级协议(SLA)来要求云计算供应商为所提供的服务提供保障,并在发生服务故障时提出维权主张。比如,SLA明确规定了供应商的责任,在什么样的时限内供应商应当能够解决问题,以及发生停机时间和客户失去业务情况下应当由供应商承担的责任。但是,当谈及云计算SLA时,问题的症结往往在于细节。比如,涉及客户退还的内容就是存在问题的。

    5.5.2 云服务不可持续风险

    企业用户必须确认保存在云中的数据是长期可用的。当出现问题时,用户可以在多长时间内把你关心的数据交还给你。

    5.5.3 身份管理

    业务专家理解和接受与云计算客户和云计算供应商相关的风险。无论你担任了什么样的角色,要管理什么样不想要发生的潜在事件,都必须实施风险管理。在云计算关系的特定情况下,双方的风险管理工作都是必要的,其中企业用户和云计算供应商都必须拥有成熟的风险管理计划。成熟度是通过一个有管理、有周期性报告以及维持低风险状态定量证据的计划来证明的。

    5.6 法律法规风险

    5.6.1 数据跨境

    随着大数据时代的来临,传统的存储架构无法解决高速的数据增长,越来越多的企业使用大数据平台存储数据。大数据平台大多是基于一些开源软件开发而成,其复杂的架构,模块的不稳定,数据的跨地域传输等特点,都会给大数据平台的安全带来极大的威胁。当使用云计算后,你将无法知道数据确切的存放位置,甚至不知道是被存放在了哪个国家。

    5.6.2 隐私保护

    在使用云计算提供的服务时,虽然可以通过SSL对数据进行加密,但是由于云计算同时为多个用户提供服务,你的数据很有可能与其他云客户的数据存放在一起。

    5.6.3 犯罪取证

    云计算同时为多个企业提供服务,同时记录了多个企业使用云计算的情况,当某一个企业需要被调查时,这种多个企业使用云计算的日志被记录在一起的情况增加了司法调查的难度。
    这对云计算普及提出了更高的要求和更大的挑战。在网络安全等级保护制度中,云服务商和云租户应该共同承担安全责任,建设安全防护措施。而现有云环境下,除提供边界的安全防护和基本虚拟网络保护外,缺少更丰富的安全服务,更无法直接为租户提供安全服务,云租户难以便利实现其网络安全防护,履行其安全职责,存在合规性风险。

    6 云服务商风险和建议

    云服务商面临的风险和建议:
    (1)人员管理风险:云计算服务提供商内部人员,特别是具有高级权限管理员的失职,将可能给用户数据安全带来很大威胁,如非授权复制虚拟机镜像,导致用户数据或隐私泄露,因此应该严格管控云服务安全管理人员。
    (2)安全界面不清的风险:由于用户并不直接控制云服务器系统,对系统的防护依赖云计算服务提供商,但云计算服务提供商对用户上层应用并不清楚,因此双方需要在安全界面上达成一致,避免运营风险。
    (3)服务连续性风险:用户的数据和业务应用处于云计算系统中,其业务流程将依赖于云计算服务提供商所提供的服务,这对服务提供商的云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析能力等提出了挑战。同时,当发生系统故障时,如何保证用户数据的快速恢复也成为一个重要问题。
    (4)法律合规性风险:云计算应用地域性弱,信息流动性大,信息服务或用户数据可能分布在不同地区甚至国家,在政府信息安全监管等方面可能存在法律差异与纠纷。云计算服务提供商需要基于法律法规要求,对运营管理制度、业务提供的合规性进行合理规范,在商业合同中的司法管辖权合理设定服务内容,以规避不必要的法律风险。

    7 总结

    云计算环境下的信息安全风险问题既包括一般信息系统的信息安全风险,如物理层安全风险、网络层安全风险等,同时又由于云计算采用服务计算模式、动态虚拟化管理方式和多用户共享运营模式,产生了许多有别于一般信息系统的特殊安全问题,如虚拟化安全、数据安全、应用安全、加密等。云计算已经成为产业的升级和变革的主要支撑,小伙伴们感兴趣的话可以跟随专栏开启云安全的学习之旅。

    感谢各界大佬的知识普及,参考链接:
    http://www.shblunwen.com/a/jisuanjijiaoyu10186.html
    http://blog.nsfocus.net/cloud-computing-security
    http://cloud.51cto.com/art/201508/488283.htm

    展开全文
  • 云计算技术

    2012-11-05 20:10:49
    关于云计算计算的论文,云计算的现状,优点和缺点,及云安全和云的发展趋势
  • 描述了云计算可能面临的主要安全风险,提出了政府部门采用云计算服务的安全管理基本 要求及云计算服务的生命周期各阶段的安全管理和技术要求。
  • 什么是虚拟化 虚拟化的典型实现方式 三个关键的虚拟化技术选择 虚拟化的发展方向 新一代数据中心的核心内涵 解决方案--端到端的云计算解决方案 解决方案架构逻辑拓扑图等
  • 随着云计算相关技术的不断发展,云计算服务质量和安全能力不断提升,云计算已面向各个行业提供丰富、高效和稳定的服务。通过采购云计算服务,使用者将自己的数据和业务部署到服务商的平台中,大量客户数据集中,使...
  • 全球相比,中国的云计算市场成长空间大。从全球视野来看,我国的云计算 技术的发展和应用目前仍处于起步阶段。根据艾媒咨询的研究,尽管云计算已经 发展 10 年,但中国云计算市场整体规模较小,落后全球云计算市场...
  • 由CSDN主办、为期三天的2016中国云计算技术大会(CCTC),全面聚焦云计算技术与行业实践应用。从2010年开始,CSDN已经连续参与举办了六年中国云计算大会,一步步见证了云计算从概念到逐步落地的全部...
  • 客户采用云计算服务时,其信息和业务的安全性既涉及服务商的责任,也涉及客户自身的责任。为了规范服务商的安全责任,需要提出云计算服务安全能力要求,以加强云计算服务安全管理,保障云计算服务安全
  • BT 31167-2014 信息安全技术 云计算服务安全指南 BT 31167-2014 信息安全技术 云计算服务安全指南 BT 31167-2014 信息安全技术 云计算服务安全指南
  • 1. 概述 目前业界关于云计算的概念众说纷云 ...因为云计算代表着一种新的商业计算模式 其在各方面的实际应用上还有很多不确定的 地方 面临着很多的安全挑战 目前各家所提的云安全解决方案 大都根据自己企业对云平 台
  • 云计算技术与应用

    千次阅读 2020-12-20 22:26:40
    #云计算与大数据技术与应用 ##云计算概述 ###1.1什么是云计算 云计算的概念: 现阶段对云计算的定义有多种说法。对于到底什么是云计算,至少可以找到100种解释。广为接受的说法是美国国家标准与技术研究院(NTSI)...
  • 要解决的应用领域问题、关键技术、如何利用云计算或物联网相关技术解决、解决方案的逻辑框架、应用系统的软硬件结构等;文字描述和结构图并用,内容完整、条理清晰,表述清楚、语言流畅、图文并茂
  • 大数据互联网科技云计算;01;请修改为您的相关页面标题文字;请修改为您的相关页面标题文字;请修改为您的相关页面标题文字;标题数字等都可以通过点击和重新输入进行更改顶部开始面板中可以对字体字号颜色行距等进行...
  • 第九届中国云计算大会已经拉上帷幕,当前新一轮科技革命席卷全球,云计算、大数据、物联网、机器学习等新技术不断涌现,逐步地融合,构建了一种新生态,这种生态正深刻地改变着生产和生活的方式,成为了智能制造和...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 74,752
精华内容 29,900
关键字:

云安全与云计算技术