可信計(jì)算和新興計(jì)算可信計(jì)算高課件

可信計(jì)算和新興計(jì)算（可信計(jì)算高可信計(jì)算和新興計(jì)算（可信計(jì)算高可信計(jì)算與新興計(jì)算可信計(jì)算InfrastructureMobilePCClientServerSoftwareStackStorageTrustedMulti-tenantInfrastructureTrustedNetworkConnectTrustedPlatformModule新興計(jì)算云計(jì)算物聯(lián)網(wǎng)移動(dòng)計(jì)算三網(wǎng)融合虛擬化…可信計(jì)算與新興計(jì)算可信計(jì)算Infrastructure新興可信計(jì)算的風(fēng)格特征基于TPM的完整性檢查可信計(jì)算的風(fēng)格特征基于TPM的完整性檢查可信計(jì)算的風(fēng)格特征可信計(jì)算的風(fēng)格特征可信計(jì)算的風(fēng)格特征中心化的架構(gòu)體系結(jié)構(gòu)性比較強(qiáng)耦合度偏緊力圖控制得更多可信計(jì)算的風(fēng)格特征中心化的架構(gòu)體系到底什么東西變化了？在新興計(jì)算的發(fā)展中，到底什么東西變化了？在新興計(jì)算的發(fā)展中，我們習(xí)慣的內(nèi)外有別敏感區(qū)核心區(qū)非敏感內(nèi)部區(qū)互聯(lián)網(wǎng)我們習(xí)慣的內(nèi)外有別敏感區(qū)核心區(qū)非敏感內(nèi)部區(qū)互聯(lián)網(wǎng)縱深防御敏感區(qū)核心區(qū)非敏感內(nèi)部區(qū)互聯(lián)網(wǎng)IDS監(jiān)控中心IPS物理隔離內(nèi)網(wǎng)管理終端防護(hù)上網(wǎng)保護(hù)安全客戶端軟件天燕式木馬發(fā)現(xiàn)/分析工具內(nèi)網(wǎng)巡警內(nèi)網(wǎng)防毒IPSUTMIDS監(jiān)控中心IDS監(jiān)控中心縱深防御敏感區(qū)核心區(qū)非敏感內(nèi)部區(qū)互聯(lián)網(wǎng)IDSIPS內(nèi)網(wǎng)管理上生產(chǎn)終端外聯(lián)業(yè)務(wù)服務(wù)生產(chǎn)網(wǎng)絡(luò)內(nèi)聯(lián)業(yè)務(wù)服務(wù)數(shù)據(jù)中心生產(chǎn)終端辦公終端辦公網(wǎng)絡(luò)外聯(lián)網(wǎng)絡(luò)運(yùn)維終端DMZ存儲(chǔ)/備份系統(tǒng)漏洞防WEB業(yè)務(wù)入侵系統(tǒng)漏洞防系統(tǒng)入侵DB違規(guī)操作遠(yuǎn)程接入訪問(wèn)防病毒接入控制文檔防護(hù)終端審計(jì)終端維護(hù)終端漏洞接入控制防違規(guī)操作終端維護(hù)運(yùn)維過(guò)程審計(jì)命令級(jí)控制業(yè)務(wù)違規(guī)操作業(yè)務(wù)違規(guī)操作DB防入侵非法外聯(lián)入侵檢測(cè)防網(wǎng)絡(luò)入侵可信訪問(wèn)控制網(wǎng)絡(luò)訪問(wèn)控制防資源濫用防資源濫用互聯(lián)網(wǎng)行為監(jiān)管防網(wǎng)絡(luò)病毒防系統(tǒng)入侵遠(yuǎn)程終端管理/監(jiān)控平臺(tái)信息采集資產(chǎn)管理災(zāi)難備份數(shù)據(jù)恢復(fù)防WEB業(yè)務(wù)入侵身份鑒別防網(wǎng)絡(luò)入侵業(yè)務(wù)訪問(wèn)控制二次身份鑒別二次身份鑒別二次身份鑒別WEB業(yè)務(wù)漏洞賬戶管理DB漏洞IT管理網(wǎng)絡(luò)Internet外部業(yè)務(wù)服務(wù)(托管)遠(yuǎn)程接入日志管理威脅管理漏洞管理網(wǎng)元管理審計(jì)管理遠(yuǎn)程操作強(qiáng)認(rèn)證SSO系統(tǒng)漏洞防系統(tǒng)入侵業(yè)務(wù)違規(guī)操作防WEB業(yè)務(wù)入侵WEB業(yè)務(wù)漏洞可信訪問(wèn)控制數(shù)據(jù)防盜縱深的安全產(chǎn)品和服務(wù)覆蓋生產(chǎn)終端外聯(lián)業(yè)務(wù)服務(wù)生產(chǎn)網(wǎng)絡(luò)內(nèi)聯(lián)業(yè)務(wù)服務(wù)數(shù)據(jù)中心生產(chǎn)終端辦公多層次的安全掌控多層次的安全掌控各種合規(guī)性要求國(guó)際/國(guó)家標(biāo)準(zhǔn)等級(jí)保護(hù)CC

/ISO15408ISO

27001ISO

20000系列SOX…機(jī)構(gòu)內(nèi)部制度網(wǎng)絡(luò)安全體系指南防病毒指南系統(tǒng)加固手冊(cè)防火墻配置手冊(cè)入侵事件處理流程…各種合規(guī)性要求國(guó)際/國(guó)家標(biāo)準(zhǔn)等級(jí)保護(hù)機(jī)構(gòu)內(nèi)部制度網(wǎng)絡(luò)安全體系IATF信息技術(shù)保障框架和安全域IATF信息技術(shù)保障框架和安全域3+1服務(wù)域示意圖網(wǎng)絡(luò)可以按照業(yè)務(wù)的服務(wù)特征分解成4個(gè)域終端域Client

Zone互聯(lián)基礎(chǔ)設(shè)施域Inter-networkingZone支撐性基礎(chǔ)設(shè)施域SupportingZone計(jì)算服務(wù)域ServiceZone3+1服務(wù)域示意圖網(wǎng)絡(luò)可以按照業(yè)務(wù)的服務(wù)特征分解成4個(gè)域終新變化新變化終端域ClientZone互聯(lián)基礎(chǔ)設(shè)施域Inter-networkingZone支撐性基礎(chǔ)設(shè)施域SupportingZone計(jì)算服務(wù)域ServiceZone從區(qū)域變?yōu)榭臻gFromzonetospace互聯(lián)網(wǎng):載體

空間網(wǎng)站:媒體

空間用戶:訪問(wèn)者

空間的一員管理:管控

治理

業(yè)務(wù):Zone業(yè)務(wù)

+Space業(yè)務(wù)終端域互聯(lián)基礎(chǔ)設(shè)施域支撐性基礎(chǔ)設(shè)施域計(jì)算服務(wù)域從區(qū)域變?yōu)榭臻g大象無(wú)形大漠無(wú)邊,古城翩然如舟云海漫漫,陋舍不知其所大象無(wú)形大漠無(wú)邊,古城翩然如舟云海漫漫,陋舍不知其所不良定義問(wèn)題良好定義問(wèn)題不良定義問(wèn)題更大數(shù)量的節(jié)點(diǎn)更復(fù)雜的Stakeholders更豐富的應(yīng)用更模糊的邊界…操作系統(tǒng)安全局域網(wǎng)安全廣域網(wǎng)安全云安全移動(dòng)安全物聯(lián)網(wǎng)安全不良定義問(wèn)題良好定義問(wèn)題不良定義問(wèn)題更大數(shù)量的節(jié)點(diǎn)操作系統(tǒng)安IT概念立方體構(gòu)思開(kāi)發(fā)部署運(yùn)行維修消退空間分布虛實(shí)層次生命周期IT概念立方體構(gòu)思開(kāi)發(fā)部署運(yùn)行維修消退空間分布虛實(shí)層次生命周另外一個(gè)安全獲得思路放棄追求極大化的可控在不可信和不安全的假設(shè)下獲得可信如：銀行個(gè)人大額的詢問(wèn)機(jī)制另外一個(gè)安全獲得思路放棄追求極大化的可控一個(gè)有趣的攻防陣列一個(gè)有趣的攻防陣列緩沖觀點(diǎn)和配伍觀念安全來(lái)自于緩沖和重復(fù)冗余、重復(fù)、縱深、延緩…預(yù)警、抑制、丟車保帥、局部和整體…響應(yīng)、恢復(fù)、反擊……重復(fù)需要君臣佐使來(lái)配伍緩沖觀點(diǎn)和配伍觀念安全來(lái)自于緩沖和重復(fù)云思

CLOUDTHINKING從房間到空間的大象無(wú)形云思

CLOUDTHINKING從房間到空間的大象無(wú)形云安全聯(lián)盟云安全聯(lián)盟http://www.cloudsecurityaCSAv2.1第一部分云架構(gòu)D1:云計(jì)算架構(gòu)框架第二部分：云的治理D2:治理和企業(yè)風(fēng)險(xiǎn)管理D3:法律與電子證據(jù)發(fā)現(xiàn)D4:合規(guī)與審計(jì)D5:信息生命周期管理D6:可移植性和互操作性第三部分：云的運(yùn)行D7:傳統(tǒng)安全、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)D8:數(shù)據(jù)中心運(yùn)行D9:應(yīng)急響應(yīng)、通告和補(bǔ)救D10:應(yīng)用安全D11:加密和密鑰管理D12:身份和訪問(wèn)管理D13:虛擬化/

CloudSecurityAlliance,GreaterChinaChapterCSAv2.1第一部分云架構(gòu)第三部分：云的運(yùn)行wwwNIST給出的定義NIST給云計(jì)算定義了五個(gè)關(guān)鍵特征、三個(gè)服務(wù)模型、四個(gè)部署模型。NIST給出的定義NIST給云計(jì)算定義了五個(gè)關(guān)鍵特征、三個(gè)服云的五個(gè)關(guān)鍵特征按需自服務(wù)用戶可以在需要時(shí)自動(dòng)配置計(jì)算能力，例如服務(wù)器時(shí)間和網(wǎng)絡(luò)存儲(chǔ)，根據(jù)需要自動(dòng)計(jì)算能力，而無(wú)需與服務(wù)供應(yīng)商的服務(wù)人員交互。寬帶接入服務(wù)能力通過(guò)網(wǎng)絡(luò)提供，支持各種標(biāo)準(zhǔn)接入手段，包括各種瘦或胖客戶端平臺(tái)（例如移動(dòng)電話、筆記本電腦、或PDA），也包括其它傳統(tǒng)的或基于云的服務(wù)。虛擬化的資源“池”提供商的計(jì)算資源匯集到資源池中，使用多租戶模型，按照用戶需要，將不同的物理和虛擬資源動(dòng)態(tài)地分配或再分配給多個(gè)消費(fèi)者使用。雖然存在某種程度上的位置無(wú)關(guān)性，也就是說(shuō)用戶無(wú)法控制或根本無(wú)法知道所使用資源的確切物理位置，但是原則上可以在較高抽象層面上來(lái)指定位置（例如國(guó)家、州、省、或者數(shù)據(jù)中心）。資源的例子包括存儲(chǔ)、處理、內(nèi)存、網(wǎng)絡(luò)帶寬以及虛擬機(jī)等。即使是私有的“云”往往也趨向?qū)①Y源虛擬“池”化來(lái)為組織的不同部門提供服務(wù)。快速?gòu)椥约軜?gòu)服務(wù)能力可以快速、彈性地供應(yīng)–在某些情況下自動(dòng)地–實(shí)現(xiàn)快速擴(kuò)容、快速上線。對(duì)于用戶來(lái)說(shuō)，可供應(yīng)的服務(wù)能力近乎無(wú)限，可以隨時(shí)按需購(gòu)買?？蓽y(cè)量的服務(wù)云系統(tǒng)之所以能夠自動(dòng)控制優(yōu)化某種服務(wù)的資源使用，是因?yàn)槔昧私?jīng)過(guò)某種程度抽象的測(cè)量能力（例如存儲(chǔ)、處理、帶寬或者活動(dòng)用戶賬號(hào)等）。人們可以監(jiān)視、控制資源使用、并產(chǎn)生報(bào)表，報(bào)表可以對(duì)提供商和用戶雙方都提供透明。云的五個(gè)關(guān)鍵特征按需自服務(wù)當(dāng)前主流云計(jì)算的一些風(fēng)格特征多租戶基礎(chǔ)架構(gòu) Multi-TenantInfrastructure當(dāng)前主流云計(jì)算的一些風(fēng)格特征多租戶基礎(chǔ)架構(gòu)云計(jì)算的水性云計(jì)算的水性大象亦有具象的微粒關(guān)于水滴和沙粒EverythingasaCloudService?是不是所有的事情都可以變成云計(jì)算、云服務(wù)？只有資源性的對(duì)象，最適合云服務(wù)？比如：自來(lái)水、電力、計(jì)算能力、存儲(chǔ)空間、特征代碼、黑名單…大象亦有具象的微粒關(guān)于水滴和沙粒當(dāng)前主流云計(jì)算的一些風(fēng)格特征多租戶基礎(chǔ)架構(gòu) Multi-TenantInfrastructure水滴集群化 Mass-Droplet當(dāng)前主流云計(jì)算的一些風(fēng)格特征多租戶基礎(chǔ)架構(gòu)三個(gè)(*aaS)模型三個(gè)(*aaS)模型云的三個(gè)服務(wù)模型云軟件作為服務(wù)(SaaS).提供給用戶的能力是使用服務(wù)商運(yùn)行在云基礎(chǔ)設(shè)施之上的應(yīng)用。用戶使用各種客戶端設(shè)備通過(guò)“瘦”客戶界面（例如瀏覽器）等來(lái)訪問(wèn)應(yīng)用（例如基于瀏覽器的郵件）。用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，例如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)、甚至其中單個(gè)的應(yīng)用能力，除非是某些有限用戶的特殊應(yīng)用配置項(xiàng)。云平臺(tái)作為服務(wù)(PaaS).提供給用戶的能力是在云基礎(chǔ)設(shè)施之上部署用戶創(chuàng)建或采購(gòu)的應(yīng)用，這些應(yīng)用使用服務(wù)商支持的編程語(yǔ)言或工具開(kāi)發(fā)，用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、或存儲(chǔ)等，但是可以控制部署的應(yīng)用，以及應(yīng)用主機(jī)的某個(gè)環(huán)境配置。云基礎(chǔ)設(shè)施作為服務(wù)(IaaS).提供給用戶的能力是云供應(yīng)了處理、存儲(chǔ)、網(wǎng)絡(luò)，以及其它基礎(chǔ)性的計(jì)算資源，以供用戶部署或運(yùn)行自己任意的軟件，包括操作系統(tǒng)或應(yīng)用。用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，但是擁有對(duì)操作系統(tǒng)、存儲(chǔ)和部署的應(yīng)用的控制，以及一些網(wǎng)絡(luò)組件的有限控制（例如主機(jī)防火墻等）。云的三個(gè)服務(wù)模型云軟件作為服務(wù)(SaaS).