云計(jì)算與安全云

北京啟明星辰信息安全技術(shù)有限公司翟勝軍2011中國(guó)新聞技術(shù)工作者聯(lián)合會(huì)年會(huì)云安全與安全云匯報(bào)內(nèi)容：政府為何“鐘情”云計(jì)算云計(jì)算的安全要點(diǎn)分析安全保障思路設(shè)計(jì)云計(jì)算安全技術(shù)美國(guó)的一組數(shù)據(jù)：聯(lián)邦政府的數(shù)據(jù)中心數(shù)量1998年432個(gè)，2009年1100個(gè)數(shù)據(jù)中心每年的電力消耗2006年，610億KW，占美國(guó)電消耗1.5%2011年，1000億KW，占美國(guó)電消耗2.5%中國(guó)的一組數(shù)據(jù)：2011年2月底，鎮(zhèn)江市經(jīng)信委的一項(xiàng)調(diào)查數(shù)據(jù)顯示，近5年來市財(cái)政資金用于信息化項(xiàng)目建設(shè)達(dá)2.8億元，每年設(shè)備運(yùn)維費(fèi)達(dá)1300萬元，擁有小型機(jī)43臺(tái)，PC服務(wù)器755臺(tái)，95.8%的單位自建機(jī)房美國(guó)政府的云計(jì)算案例政府公共部門的目標(biāo)是改進(jìn)信息服務(wù)質(zhì)量、降低運(yùn)行成本OpenGovernment國(guó)防部：陸軍體驗(yàn)中心AEC：利用S建立客戶關(guān)系管理工具，提高宣傳和招募效果與效率快速訪問計(jì)算資源：安全私有云計(jì)算RACE系統(tǒng)，為軍隊(duì)項(xiàng)目提供開發(fā)與測(cè)試環(huán)境衛(wèi)生和公眾服務(wù)部：電子健康記錄HER：利用S建立客戶關(guān)系管理和項(xiàng)目管理，涵蓋70個(gè)區(qū)域中心，協(xié)助10萬多初級(jí)保健醫(yī)生開展工作國(guó)家航空航天局：世界望遠(yuǎn)鏡：星云Nebula云計(jì)算平臺(tái)，吸引公眾探索月球和火星，高達(dá)100TB的高分辨率圖片…中國(guó)政府的云計(jì)算計(jì)劃移動(dòng)：大運(yùn)計(jì)劃，支撐云、業(yè)務(wù)云、公有云電信：星云計(jì)劃，e云手機(jī)聯(lián)通：沃云計(jì)劃，商務(wù)平臺(tái)云化北京：祥云計(jì)劃上海：云海計(jì)劃杭州：西湖云計(jì)算公共服務(wù)平臺(tái)無錫：第一個(gè)商用云計(jì)算中心深圳：云計(jì)算國(guó)際聯(lián)合實(shí)驗(yàn)室哈爾濱：中國(guó)云谷寧波：星云計(jì)劃重慶：云端計(jì)劃鎮(zhèn)江：云神計(jì)劃廣州：天云計(jì)劃…涉及云計(jì)算的項(xiàng)目投資預(yù)算高達(dá)數(shù)千億什么是云計(jì)算云計(jì)算是一種信息服務(wù)交付模式。它可以便捷地、按需地實(shí)現(xiàn)對(duì)共享計(jì)算資源的訪問，訪問通過網(wǎng)絡(luò)進(jìn)行，資源池(如網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用程序、服務(wù)等)是可配置的，配置可通過人機(jī)交互快速實(shí)現(xiàn)。特點(diǎn)：按需自助服務(wù)---如同“自來水”、“電”服務(wù)、“即用即付費(fèi)”寬帶網(wǎng)絡(luò)接入---統(tǒng)一接入門戶

---數(shù)據(jù)中心整合技術(shù)---資源池---虛擬化技術(shù)管理資源(存儲(chǔ)、處理、內(nèi)存、帶寬、虛擬機(jī)等)有彈性的服務(wù)能力---用戶看到的虛擬服務(wù)可度量的服務(wù)---用戶得到的真實(shí)服務(wù)服務(wù)模式：SaaS：為消費(fèi)者提供使用運(yùn)營(yíng)商應(yīng)用程序的能力PaaS：在云計(jì)算基礎(chǔ)設(shè)施上為消費(fèi)者提供部署應(yīng)用程序的能力IaaS：為消費(fèi)者提供處理、存儲(chǔ)、網(wǎng)絡(luò)和其他基礎(chǔ)計(jì)算資源的能力部署模式：公共云(搜索服務(wù)、S、IDC服務(wù))、私有云、混合云通道：互聯(lián)網(wǎng)/專網(wǎng)用戶：智能終端云服務(wù)接入門戶IaaS/PaaS/SaaS云服務(wù)管理平臺(tái)數(shù)據(jù)中心云計(jì)算模型云計(jì)算服務(wù)的“五大”安全關(guān)鍵點(diǎn)存儲(chǔ)服務(wù)器Windows虛擬機(jī)虛擬化平臺(tái)虛擬機(jī)虛擬機(jī)數(shù)據(jù)中心機(jī)房網(wǎng)絡(luò)UnixLinux應(yīng)用軟件服務(wù)軟件專用軟件用戶A用戶B用戶C云服務(wù)管理平臺(tái)管理、安全等必須的支撐軟件IaaS：基礎(chǔ)設(shè)施即服務(wù)PaaS：平臺(tái)即服務(wù)智能終端(固定+移動(dòng))SaaS：軟件即服務(wù)用戶流量導(dǎo)引門戶云服務(wù)接入門戶1、雙向身份鑒別

傳輸加密

門戶防DDOS攻擊

門戶防入侵(邏輯炸彈)

用戶流量隔離(防流量滲入)2、虛擬機(jī)內(nèi)安全監(jiān)控與用戶行為審計(jì)、病毒過濾4、云管理平臺(tái)內(nèi)部安全監(jiān)控，管理行為審計(jì)，阻止虛擬機(jī)用戶“外泄”與“上浮”

防黑客入侵5、備份與容災(zāi)

防黑客入侵3、虛擬機(jī)間的“溢出”監(jiān)控與阻斷等級(jí)保護(hù)思路---合規(guī)性建設(shè)風(fēng)險(xiǎn)防護(hù)措施信息資產(chǎn)威脅漏洞防護(hù)需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿足一般風(fēng)險(xiǎn)評(píng)估的理論基礎(chǔ)3分技術(shù)，7分管理：通過管理驅(qū)動(dòng)技術(shù)，通過技術(shù)實(shí)現(xiàn)管理風(fēng)險(xiǎn)管理思路(ISO13335)應(yīng)急響應(yīng)思路(PDR模型)事前：未雨綢繆事中：風(fēng)雨同舟事后：亡羊補(bǔ)牢安全是攻與防相互學(xué)習(xí)、共同提高的對(duì)抗性活動(dòng)安全基線建設(shè)思路(花瓶模型)事后事中事前敏感數(shù)據(jù)重要業(yè)務(wù)安全防護(hù)基線動(dòng)態(tài)監(jiān)控基線信任管理基線安全事件空間時(shí)間管理=>安全花瓶模型v4.1-安全保障架構(gòu)五邊界事前防護(hù)五監(jiān)控事中監(jiān)控三驗(yàn)證事后取證平臺(tái)管理云計(jì)算安全模型SaaSPaaSIaaS接入門戶邊界雙向身份鑒別業(yè)務(wù)流邊界用戶隱私保護(hù)虛擬機(jī)行為審計(jì)私有云公有云混合云云服務(wù)交付云服務(wù)信任云服務(wù)運(yùn)營(yíng)用戶安全需求等保符合度虛擬安全組件-安全資源池接入門戶虛擬服務(wù)管理平臺(tái)虛擬安全組件倉(cāng)庫(kù)(FW/IPS/IDS/ADUIT/SCAN)虛擬存儲(chǔ)Internet云計(jì)算平臺(tái)虛擬服務(wù)組件倉(cāng)庫(kù)虛擬安全管理平臺(tái)虛擬安全組件：把安全產(chǎn)品虛擬化，變成平臺(tái)可“分配”的組件，與計(jì)算、存儲(chǔ)資源一樣成為虛擬機(jī)的基本構(gòu)件，實(shí)現(xiàn)安全目標(biāo)：1、用戶不能突破虛擬機(jī)的界限2、虛擬機(jī)之間安全隔離3、虛擬機(jī)內(nèi)部的安全監(jiān)控與惡意代碼過濾安全云---雙云策略云計(jì)算接入門戶云計(jì)算“蜜罐”云用戶入侵者、攻擊者、盜用者異常流量牽引到“蜜罐”云中監(jiān)控、過濾、清洗業(yè)務(wù)流蜜罐云：清洗“惡意”業(yè)務(wù)流1、木馬的跟蹤與識(shí)別2、攻擊流量3、滲透工具(“肉雞”)4、惡意利用(破譯密碼、對(duì)外攻擊等)每個(gè)“服務(wù)云”的大門旁應(yīng)該有個(gè)“安全云”小結(jié)1、云計(jì)算是一種新型信息服