云計算-第8章 云計算的安全技術(shù)

第8章云計算的安全技術(shù)3 肉雞控制權(quán)肉雞控制權(quán)(黑客)4弱雞控制權(quán)商業(yè)機密形帳號密碼·竊后在黑市交易計算能力,被在黑市標(biāo)價出租隱私資料被盜竊-勒索或泄漏客集團發(fā)送垃圾郵件o全天25000個樣本共需50000小時的工作時間o以100萬個樣本的病毒代碼為20MB計算o每天25000個樣本會占用的0.5MB5網(wǎng)絡(luò)安全基本概念因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常硬件資源信息資源網(wǎng)絡(luò)安全漏洞與威脅89網(wǎng)絡(luò)安全體系結(jié)構(gòu)的任務(wù)體系結(jié)構(gòu)，其任務(wù)并不是為網(wǎng)絡(luò)提供具體的安全方案，而是提供有關(guān)形成網(wǎng)絡(luò)安全方案的方法和若干必須遵循的思(OSI安全體系結(jié)構(gòu))ISO7498-2開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)標(biāo)準(zhǔn)規(guī)定OSI安全體系結(jié)構(gòu)的核心內(nèi)容是：以實現(xiàn)完備的網(wǎng)絡(luò)安全功能為目標(biāo)，描述了5類安全服理，并且盡可能地將上述安全服務(wù)配置于開放系統(tǒng)互聯(lián)/數(shù)據(jù)完整性通信流量填充認(rèn)證交換數(shù)據(jù)完整性通信流量填充認(rèn)證交換OSI安全體系結(jié)構(gòu)的三維空間表示鏈路層機序號1防止實體假冒或重放以前的連接，即偽造連接初始化攻擊。2防止非法用戶進(jìn)入系統(tǒng)及防止合法用戶對系統(tǒng)資源的非法訪問使用。3對數(shù)據(jù)提供安全保護(hù)，防止數(shù)據(jù)被未授權(quán)用戶獲知。4防止非法實體對用戶的主動攻擊(對正在交換的數(shù)據(jù)進(jìn)行修改、插入、使數(shù)據(jù)延時以及丟失數(shù)據(jù)等),確保收到的數(shù)據(jù)在傳輸過程中沒有被修改、插入、刪除、延遲等。5防止通信參與者事后否認(rèn)參與：①發(fā)送的不可否認(rèn)服務(wù)，即防止數(shù)據(jù)的發(fā)送者否認(rèn)曾發(fā)送過數(shù)據(jù)；②接收的不可否認(rèn)服務(wù)，即防止數(shù)據(jù)的接收者否認(rèn)曾接收到數(shù)據(jù)。物理層鏈路層網(wǎng)絡(luò)層傳輸層會話層身份認(rèn)證√訪問控制√數(shù)據(jù)機密性√數(shù)據(jù)完整性不可否認(rèn)性按照OSI安全體系結(jié)構(gòu)，為了提供上述6類安全服務(wù)，(1)數(shù)據(jù)加密機制(5)認(rèn)證交換機制(2)數(shù)據(jù)簽名機制(6)信息流填充機制(3)訪問控制機制(7)路由控制機制(4)數(shù)據(jù)完整性機制(8)公證機制安全機制是用來實現(xiàn)和提供安全服務(wù)的，但給定一種安全服務(wù)，往往需要多種安全機制聯(lián)合發(fā)揮作用來提供；而某一種安全機制，往往又為安全機制數(shù)據(jù)加密數(shù)據(jù)簽名訪問控制數(shù)據(jù)完整性認(rèn)證交換信息流量填充路由控制公證機制身份認(rèn)證√√√√訪問控制√數(shù)據(jù)機密性√√√數(shù)據(jù)完整性√√√不可否認(rèn)性√√√防火墻技術(shù)03認(rèn)證技術(shù)的基本思想是通過驗證被認(rèn)證對象的屬性來達(dá)到確認(rèn)被認(rèn)證對象是否真實有效的目的。被認(rèn)證對象的屬性可以是口令、數(shù)字簽名或者像指紋、聲音、視網(wǎng)膜這樣的生理特征。身份認(rèn)證技術(shù)消息認(rèn)證技術(shù)防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)，它不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器,而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。信息系統(tǒng)信息系統(tǒng)攻擊者入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。主要內(nèi)容主要內(nèi)容云計算面臨各種挑戰(zhàn)全是人們對云計算最大的擔(dān)心”云時代的主要安全威脅2016年，云計算安全聯(lián)盟(CloudSecurityAlliance,CSA)列出了云計算領(lǐng)域的十二大安全威脅。失云安全參考模型從服務(wù)模型的角度，CSA提出了基于3種基本云服務(wù)的層次性及其依賴關(guān)系的安全參考模型，并實現(xiàn)了從云服務(wù)模型到安全控制模型的映射。數(shù)據(jù)元數(shù)據(jù)內(nèi)容Web應(yīng)用防火墻，事務(wù)處理硬件&軟件&RoT&APIs統(tǒng)一文件/日志管理，加密物理安全加強公共基礎(chǔ)設(shè)施保護(hù)能力、服務(wù)商對云服務(wù)的基礎(chǔ)設(shè)施包提供一定的質(zhì)量保證存儲安全網(wǎng)絡(luò)安全虛擬化安全接口安全統(tǒng)一的用戶編程接口運行安全加強硬件系統(tǒng)和軟件系統(tǒng)運行的穩(wěn)定性數(shù)據(jù)安全加強人員管理和安全行為審計密鑰管理先進(jìn)的加密機制和嚴(yán)格的密鑰管理體系身份認(rèn)證訪問控制策略安全事件管理安全跟蹤技術(shù)和安全審計策略業(yè)務(wù)連續(xù)性鏈路負(fù)載均衡、自動災(zāi)難恢復(fù)機制同時其面臨的安全技術(shù)挑戰(zhàn)也是前所未有的。目前，云計算所涉及數(shù)據(jù)安全用戶身份管理與訪問控制用戶身份管理訪問控制訪問控制(AccessControl)是指云計算環(huán)境中存在多種網(wǎng)絡(luò)安全威脅問題，主要是拒絕服務(wù)攻擊和中間人攻擊兩種攻擊方式。因此需要劃分安全區(qū)域，保證網(wǎng)絡(luò)安全。安全域1安全域1交換控制功宿主機(物理主機)宿主機(物理主機)安全域2該模式用VM將每個安全域劃分成幾個模塊，然后存在邏輯關(guān)系的模塊寄宿在物理主機上面，通過虛擬交換控制模塊進(jìn)行安全域1安全域1安全共2交換機以Cisco、HP等交換機廠家將虛擬機的網(wǎng)絡(luò)流量通過引出到傳統(tǒng)網(wǎng)絡(luò)設(shè)備(防火針對當(dāng)前云計算中數(shù)據(jù)資源所面的威脅，如何利用有效的安全加密機制來加強數(shù)據(jù)的安全性、防止數(shù)據(jù)泄露和加強隱私保護(hù)是云計算安不同的云計算服務(wù)提供模式創(chuàng)建了不同的安全管理邊界，以及由運行責(zé)任；●PaaS,由運營商和用戶共同分擔(dān)安全管理責(zé)任；●IaaS,運營商僅負(fù)責(zé)網(wǎng)絡(luò)、云平臺等基礎(chǔ)設(shè)備安全管理，而用戶負(fù)責(zé)安全管理標(biāo)準(zhǔn)規(guī)定了安全管理邊界的界定條件，運營商和用戶聯(lián)動方式等。從而實現(xiàn)云服務(wù)的可用性管理、漏洞管理、補丁管理、配置管理以虛擬化安全安全隔離通過采用云存儲數(shù)據(jù)隔離加固技術(shù)和虛擬機隔離加固技術(shù)，可以使數(shù)安全運行安全監(jiān)控基于虛擬化技術(shù)，可以進(jìn)行安全監(jiān)控。從安全監(jiān)控實現(xiàn)技術(shù)的角度來看，基于虛擬化的安全監(jiān)控可以分為兩類許多云服務(wù)提供商紛紛提出并部署了相應(yīng)的云計算安全解決方中的數(shù)據(jù)被未經(jīng)認(rèn)可的系統(tǒng)或用戶攔截，并在不犧牲用戶要求的配置靈活性的基礎(chǔ)上提供最大限度的安全保障。amazon主機操作系統(tǒng)02客戶操作系統(tǒng)防火墻實例隔離具有進(jìn)入管理面業(yè)務(wù)需要的管理員被要求使提供了一個完整的防火墻解決方案，用戶須 云安全(CloudSecurity)主要包含兩個方面的含義：也稱為云計算安全，包括云計算應(yīng)用系統(tǒng)安全、云計算應(yīng)用服務(wù)安全、云計算用戶信息安全等，云計算安全是云計算技術(shù)健康可持續(xù)發(fā)展的基礎(chǔ)。也即云計算技術(shù)在安全領(lǐng)域的具體應(yīng)用，也稱為安全云計算，就是基于云計算的、通過采用云計算技術(shù)來提升安全系統(tǒng)的服務(wù)效能的安全解決方案，如基于云計算的防病毒技術(shù)、掛馬檢測技術(shù)等。云安全的核心技術(shù)云服務(wù)提供商紛紛