雲計算安全概念與威脅分析
雲計算基本概念:雲計算通過虛拟化及網絡通信技術,提供一種按需服務、彈性化的IT資源池服務平台。
雲計算的主要特征如:
1.IT資源以服務的形式提供。滿足使用者按需使用、計量付費的要求。目前雲服務常見的服務有基礎設施即服務IaaS、平台即服務PaaS、軟體即服務SaaS、資料即服務DaaS、存儲即服務STaaS。
2.多租戶共享IT資源。
3.IT資源按需定制與按月付費。
4.IT資源可伸縮性部署。
雲計算有四種部署模式。即私有雲、社群雲、公有雲和混合雲。
雲計算安全分析:
1.雲端安全威脅。雲終端是使用者使用雲計算服務的終端裝置。雲使用者設定弱密碼,導緻雲使用者的賬号被劫,或者黑客攻擊終端平台,假冒雲使用者。雲終端裝置存在安全漏洞,導緻黑客入侵終端等。
2.雲“管”安全威脅。網絡是雲計算平台連接配接雲使用者的管道。可能面臨的安全威脅有網絡監聽、網絡資料洩露、中間人攻擊、拒絕服務等,進而導緻雲平台出現安全問題。
3.雲計算平台安全威脅。雲平台彙聚大量的應用系統及資料資源,主要威脅如下:
⑴雲計算平台實體安全威脅。雲計算促進了各種資源的集中化,極易形成實體環境單點安全高風險,一旦遭受實體安全威脅,後果可能是災難性的。
⑵雲計算平台服務安全威脅。雲計算平台服務的安全性依賴于雲服務商的安全管理及維護。
⑶雲平台資源濫用安全威脅。攻擊者利用雲服務平台的虛拟主機漏洞,非法入侵雲平台的虛拟主機,構造僵屍網絡,發動拒絕服務攻擊。針對雲平台存儲服務安全管理缺陷,利用雲存儲儲存網絡犯罪資訊。
⑷雲計算平台運維及内部安全威脅。雲提供商的内部從業人員違反安全規定或誤操作,導緻資料丢失和洩露,雲計算平台服務非正常關閉等安全事件時有發生。
⑸資料殘留。存儲空間回收後剩餘資訊沒有完全清除,存儲空間再配置設定給其他雲租戶使用容易造成資料洩露。
⑹過度依賴。由于缺乏統一的标準和接口,不同雲計算平台上的雲租戶資料和應用系統難以互相遷移,同樣也難以從雲計算平台遷移回雲租戶的資料中心。
⑺利用共享技術漏洞進行的攻擊。如果雲租戶之間的隔離措施失效,一個雲租戶有可能侵入另一個雲租戶的環境,或幹擾其他雲租戶應用系統的運作。
⑻濫用雲服務。
⑼雲服務中斷。
⑽利用不安全接口的攻擊。攻擊者利用非法擷取的接口通路密鑰,将能夠直接通路使用者資料,導緻敏感資料洩露;通過實施注入攻擊,進行篡改或者破壞使用者資料;通過接口的漏洞,攻擊者可繞過虛拟機螢幕的安全控制機制,擷取系統管理權限,将給雲租戶帶來無法估計得損失。
⑾資料丢失、篡改或洩露。資料的實際存儲位置可能在境外,容易造成資料洩露。雲計算系統容易成為被攻擊的目标,一旦遭受攻擊,會導緻嚴重的資料丢失、篡改或洩露。
雲計算安全要求:在雲計算環境中,除了傳統的安全需求外,新增的安全需求主要是多租戶安全隔離、虛拟資源安全、雲服務安全合規、資料可信托管、安全運維及業務連續性保障、隐秘保護等。相比傳統計算平台的安全,其安全運維要求更高。
雲計算服務安全需求
雲計算技術安全需求:
1.雲端安全需求分析。主要涉及雲使用者的身份辨別和鑒别、雲使用者資源通路控制、雲使用者資料安全存儲以及雲端裝置及服務軟體安全。
2.網絡安全通信安全需求分析。網絡安全通信的安全目标是確定雲使用者及時通路雲服務以及網上資料及資訊的安全性。實作技術包括身份認證、密鑰配置設定、資料加密、信道加密、防火牆、VPN、抗拒絕服務等。
3.雲計算平台安全需求分析。目标是確定雲服務的安全可信性和業務連續性。雲計算平台的安全需求主要有實體環境安全、主機伺服器安全、作業系統、資料庫安全、應用及資料安全、雲作業系統安全、虛拟機安全和多租戶安全隔離等。
雲計算隐私保護要求:
1.資料采集。明确個人資訊采集範圍和用途,告知使用者相關安全風險。
2.資料傳輸。網絡傳輸采用加密安全措施,防止網絡通信過程資訊洩露。
3.資料存儲。采用加密、認證、通路控制、備份等多種措施保護好敏感個人資料安全,避免資料洩露。
4.資料使用。制定相應特權管理、個人資訊披露等安全控制政策規則,采用實名認證、安全标記、特權控制等措施,限制個人資料使用範圍、人員,防止内部人員濫用和非正當披露個人資訊。
5.資料維護。制定敏感個人資料安全生命周期管理流程,安全管理制度和措施符合國家安全管理法律法規政策要求,相關人員簽訂保密協定,敏感個人資料按規清除。
6.資料安全事件處置。
雲計算安全保護機制與技術方案
雲計算安全等級保護架構:首先要求保證雲計算基礎設施位于中國境内,并從技術、管理兩方面給出具體規定。圍繞“一中心、三重防護”的原則,建構雲計算安全等級保護架構。一個中心是指安全管理中心;三重防護包括安全計算環境、安全區域邊界和安全通信網絡。
雲計算安全防護:涉及實體和環境安全、網絡和通信安全、裝置和計算安全、應用和資料安全。
常見的雲計算網絡安全機制:1.身份鑒别認證機制。2.資料完整性機制。3.通路控制機制。4.入侵防範機制。5.安全審計機制。6.雲作業系統安全增強機制。
雲計算安全管理:
雲計算安全運維:
常見的雲計算安全運維的安全措施如下:
1.雲計算安全風險評估機制。
2.雲計算内部安全防護機制。
3.雲計算網絡安全監測機制。
4.雲計算應急響應機制。
5.雲計算容災備份機制。“兩地三中心”,兩地指同城、異地;三中心指生産中心、同城容災中心、異地容災中心。
雲計算安全綜合應用綜合應用案例分析
阿裡雲安全:阿裡雲建立了安全防護機制、監控機制、審計機制、身份認證機制以及安全運維機制。面對雲上租戶的安全需求,阿裡雲提供雲盾、DDos高防IP、Web應用防火牆、态勢感覺、SSL證書、雲防火牆、加密服務、實人認證等多種雲安全服務産品。
騰訊雲安全:騰訊雲提供了網絡安全、終端安全、應用安全、資料安全、業務安全、安全管理、安全服務、身份認證等網絡安全防護體系。
1.網絡安全:DDos防護、雲防火牆、網絡入侵防護系統、騰訊雲樣本智能分析平台。
2.終端安全:主機安全、騰訊雲反病毒引擎、騰訊終端安全管理系統、騰訊雲零信任無邊界通路控制系統、移動終端安全管理系統。
3.應用安全:騰訊雲Web應用防火牆、騰訊應用級智能網關、漏洞掃描服務、移動應用安全、手遊安全。
4.業務安全:天禦借貸反欺詐、保險反欺詐、登入保護服務、騰訊雲驗證碼、騰訊雲活動防刷、注冊保護服務、營銷風控服務、文本内容安全服務、營銷号碼安全、業務風險情報。
5.資料安全:騰訊雲堡壘機、騰訊雲資料安全審計、資料安全治理中心、敏感資料處理、雲加密機。
6.安全管理:安全營運中心、安全營運中心(私有雲)、密鑰管理系統、憑據管理系統。
7.安全服務:專家服務、公共網際網路威脅量化評估、網絡資産風險監測系統。
8.使用者身份驗證。
華為雲安全:華為提供雲計算、雲存儲、雲網絡、雲安全、雲資料庫、雲管理與部署應用等IT基礎設施雲服務。建構了晶片、平台、系統、應用、資料、開發、生态、隐私等安全防護技術體系,具體技術措施描述如下。
1.晶片級可信計算和安全加密。2.平台安全。3.系統安全。4.應用安全。5.資料安全。6.開發安全。7.生态安全。8.隐私保護。
微軟Azure雲安全:主要網絡安全措施描述如下。
1.資料存儲安全。2.業務連續性保障。3.實體環境安全。4.隐私保護。5.合規性。6.基礎結構安全。7.資料服務保障。