(2011.1-2011.12)虚拟化与云计算安全目录云安全架构与技术实现虚拟化的安全问题云计算的安全挑战1232虚拟化的分类3虚拟化的安全问题Hypervisor安全VM隔离信息防泄漏OS安全虚拟化安全目录云安全架构与技术实现虚拟化的安全问题云计算的安全挑战123◆身份与安全管理帐号盗用,身份仿冒,违规操作,权限滥用◆应用与数据安全SQL注入、跨站等针对应用层的攻击已经成为安全最大的威胁。破坏数据的机密性、完整性和可用性。◆系统与主机威胁病毒蠕虫等将占用系统资源、破坏文件和数据。恶意用户也会利用本地漏洞和配置错误来获取额外权限。◆网络与边界安全针对网络层的攻击,如拒绝服务、漏洞扫描等。密码破解权限滥用盗号违规操作SQL注入跨站攻击数据泄露蠕虫病毒僵尸网络漏洞扫描木马拒绝服务CC攻击安全威胁传统安全威胁在云计算中仍然存在!传统安全威胁资源池层虚拟化平台物理设备服务器存储网络应用系统办公应用管理应用业务应用PORTAL基础软件数据库应用中间件操作系统◆身份与安全管理应用系统和资源所有权的分离,导致云平台管理员可能访问用户数据◆应用与数据安全不同安全需求的租户可能运行在同一台物理机上,传统安全措施难以处理◆系统与虚拟化安全虚拟化平台运行在操作系统与物理设备之间,其设计和实现中存在漏洞风险◆网络与边界安全网络边界的模糊化,传统的边界防护手段在虚拟网络中无法直接使用。除传统威胁外,虚拟化、多租户和特权用户问题使得云计算面临更大风险!云计算的新安全挑战7高速网络对安全性能的挑战IPSAnti-VirusGatewayUTMVPN对CPU性能的要求SwichFirewallRouter1G→10G10G→40G→100G•服务器接入从千兆向万兆演进•网络骨干从10G向40G/100G演进•安全对硬件的要求远高于网络,但安全硬件的发展却远远落后于网络,形成剪刀差•大二层、大数据等对安全的性能提出了更高的要求8BCP对安全可靠性的挑战•以X86架构+开源软件为主的安全设备,无法满足关键业务的高可靠性要求,在云数据中心里一旦出现故障,后果不堪设想APT对安全能力的挑战•DDoS攻击泛滥•IDS/IPS误报频仍•安全能力建设滞后•APT攻击防不胜防APT(AdvancedPersistentThreat,高级持续性威胁),简单的说就是针对特定组织所作的复杂且多方位的网络攻击。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划和有组织地窃取数据。安全产品安全能力目录云安全架构与技术实现虚拟化的安全问题云计算的安全挑战123云数据中心安全理念SaaS(按需求将应用软件为服务提供给客户)PaaS(中间件优化:应用服务器、数据库服务器、门户服务器)IaaS(虚拟化服务器、存储、网络)虚拟化资源(虚拟网络、服务器、存储)系统资源(网络、服务器、存储)业务支撑服务(客户管理、订购管理、计费)运营支撑服务(实例、映像、资源、资产管理)物理设施提供可信的云服务治理合规性风险管理确保合法用户安全接入:•控制特权用户访问•防止帐号劫持•确保企业策略满足云计算法规遵从需求:•虚拟机系统审计•跨边界数据流合规应对数据失去控制的风险:•数据分区、数据加密•虚拟机隔离和攻击防御遵从身份管理隔离合规性治理风险管理遵从身份管理隔离•多租户统一身份认证和授权•多租户审计•多租户隔离云平台云服务法规人员数据法规人员数据确保云的安全运行应用安全方案Web应用防火墙邮件安全网关访问优化方案应用交付广域网优化网络安全方案FireWallIPS/IDSAnti-DDOS虚拟机FireWallSVN(SSL加密)数据加密管道加密方案VES(虚拟机数据加密)安全领域安全方案产品组件虚拟机安全方案虚拟机AVIPS/IDS虚拟机完整性监控数据安全领域应用安全与优化领域虚拟化安全领域网络安全领域安全管理方案iSoC(安全事件管理)VSM(统一策略管理)TSM(终端身份认证)SACG(身份认证准入,访问授权)身份管理与授权方案安全管理领域Anti-DDoS(应用层)VES(VM数据加密)DLP方案网络DLP存储DLP终端DLP云数据中心安全框架13互联网接入区应用和数据区LBDDoS检测中心DDoS清洗中心管理中心SSLVPN管理区DMZ区WEB服务器eMail服务器带外管理网络应用服务器数据库服务器UTMWAFIDSUTM统一运维审计安全管理中心网络管理中心管理员IDS...
