云计算及安全 ——Cloud Computing & Cloud Security

Slides:



Advertisements
Similar presentations
800APP 为华图插上信息化翅膀 2010 年 9 月 20 日 年 ★ 9 月,易定宏总裁创办华图教育,专注图书出版发行。 2002 年 ★ 1 月,全国律师资格考试、法官考试、检察官考试三法合一之际,华图教育出版发行全国唯一一本 司法考试教材,考生们如获至宝,竞相购买。 2003.
Advertisements

MMN Lab 未來教室與雲端化學習 Yueh-Min Huang Department of Engineering Science, National Cheng Kung University, Tainan, Taiwan
AWS 公有云服务. Amazon Web Service 简介 AWS 是向最终用户交付计算资源、保存数据和其他应用程序的一种最经济划算的方式,开发人员只需要按使用量付费,无需前期资本支出。利用 AWS ,开发人员可以轻松购买计算、存储、数据库和其他基于 Internet 的服务来支持其应用程序,以及灵活选择任何开发平台或编程环境。
第一组 Java 与云计算. Contents 云计算简介 一 二 云计算实例 三 云计算在教育中的应用 四.
13-1 人工智慧 13-2 雲端運算 13-3 感測網路與物聯網 13-4 生物資訊 13-5 計算機萬能嗎?
云计算辅助教学风云录 黎加厚 上海师范大学教育技术系 2010年8月9日.
Cloud Computing Center, Chinese Academy of Sciences
北京工业云的实践与思考 曾宇 2010年10月.
中华字库的云输入法 王勇 基础软件国家工程研究中心
第一讲 软件与软件开发.
职业教育网络学习空间建设的实践与思考 江苏省南京工程高等职业学校.
天府软件园的智慧未来 —成都天府软件园的实践与思考 2015年1月24日.
雲端科技與智慧生活.
云计算系统测试技术与实践 中国软件评测中心 陈渌萍 2017年3月3日.
第五章 資訊科技基礎建設與新興科技.
云中行走 从未来的生活到企业 网址: 电话: 才望子信息技术(上海)有限公司 网址: 电话:
云计算应用对比分析 李洁睿 周良俊 2017/3/8.
教育雲端科技的現況與未來發展 臺北市政府教育局聘任督學 韓長澤.
OWASP Cloud ‐ 10 Project 云安全十大风险
第3届全国高校 软件定义网络(SDN)应用创新开发大赛
上海地面通云主机产品 产品介绍 通信成就梦想 未来你我把握
云计算突飞猛进.
第五章 網際爭霸戰 ~網站技術與經營模式大進化 靜宜大學資管系 楊子青
云计算学习报告 报告人: 陈 霁 大规模数据处理软件Apache Hadoop.
国外市场(亚马逊).
台灣雲端運算應用實驗中心研發計畫 計 畫 期 間:自98年7月1日至99年6月30日止 執行單位名稱 :財團法人資訊工業策進會 國立中山大學.
抓住机遇 推进 Java 构建 《中国的Java大军》 ---Java的下个十年 清华大学 计算机系 王克宏.
海蔚蓝科技公司介绍.
Part4-課程教材 教材名稱:雲端運算PART4
AWS雲端企業 馮治平 2016/09/29.
Dave 云的未来: PaaS软件 Dave
| 台南市教育局資訊中心 教育雲 飛番雲端中心 儲存雲與平台發展
基于书签的校园搜索引擎 Web 2.0时代的网络收藏夹.
高级软件工程 云计算 主讲:李祥 QQ: 年12月.
3G时代的云计算 中国云计算专家委员会 刘鹏 中国网格: 中国云计算:
建设基于OpenStack的云计算平台 Lenovo ThinkCloud Center Foundation
王耀聰 陳威宇 國家高速網路與計算中心(NCHC)
作業系統 補充: 雲端運算.
kCloudStorage - 基于云技术的廉价冗余天文海量数据存储
和諧社區資訊服務推廣計畫 -軟體雲端社區 資訊研習營
伺服器虛擬化環境建置 報告人:林又新
中国式的云计算服务模式 中企开源信息技术有限公司 CE Open Source Software.
中国移动MAS业务技术培训 研究院 2006年10月.
开源云计算系统简介 电子工业出版社 刘鹏主编《云计算》教材配套课件11.
Cloud Computing(雲端運算) 技術的現況與應用
斯巴達帶大家上雲端.
Why Cloud Computing Will Not Be Free Dave Durkee  Communications of the ACM, Vol. 53 No. 5, Pages 刁伯駒 涂崇智 指導教授:林娟娟 博士.
國立屏東高級工業職業學校 雲端網路及 雲端開系統介紹
《云计算》课件 总结与展望 主讲人:刘鹏 中国电子学会信息系统集成分会.
Cloud Computing Google云计算原理.
CHAPTER 9 供應鏈管理系統.
淺談雲端運算 (Cloud Computing)
新世代電子商務(二): 裝置服務化與行動商務
云计算概述 云计算的概念与发展历程 体系结构 应用案例 优缺点分析 云计算前景 SI TEAM 孟茶
软件工程基础 云计算概论 刘 驰.
中国式的云计算服务模式 中企开源信息技术有限公司 CE Open Source Software.
CALIS资源整合服务模式探讨 ——云计算下的变革
凤凰公司信息系统SOA转型报告 团队成员:钟培德 吴邦欲 陈 哲 李 鑫 指导教师:支志雄 教授
雲端運算的基石(6) 雲端運算與虛擬化技術
雲端虛擬化 Cloud Virtualization
裝配製造雲端營運管理系統 惠揚資訊開發股份有限公司.
亚马逊云计算AWS (Amazon Web Service)
Web Services and Its Applications
班級:四企四B 指導老師:李文瑞老師 組員: 莊煜麒4950L089 黃暉原4950L109
第九組報告 指導教授 : 林振緯 組員 : 資工四甲 曹又升 黃晏林 黃冠惟
Introduction to Service Science 课程概述
雲端架構對企業外部管理與內部管理的改變.
第14章 云计算.
第 18 章 雲端計算.
11 Overview Cloud Computing 2012 NTHU. CS Che-Rung Lee
Presentation transcript:

云计算及安全 ——Cloud Computing & Cloud Security 计算机科学与计算学院 熊焰

引言 近年来,云计算已成为IT业界最热门的研究方向之一。几乎所有的主流IT厂商都在谈论云计算,既包括硬件厂商(IBM、英特尔等)、软件开发商(微软等),也包括互联网服务提供商(Google、Amazon等)和电信运营商(AT&T、中国移动等)。这些企业覆盖了整个IT产业链,构建了一个完整的云计算生态系统。

引言 什么是云计算?

引言 云计算的最终目标是将计算、服务和应用作为一种公共设施提供给公众,使人们能够像使用水、电、煤气和电话那样使用计算机资源。

目录 云计算 云计算概述 云计算体系结构 云计算关键技术 云计算研究现状 云安全技术 云安全特征与挑战 云安全体系与关键技术

云计算起源(续) 2006年3月,亚马逊推出弹性计算云服务。 2006年8月9日,Google首席执行官埃里克·施密特在搜索引擎 大会首次提出“云计算”的概念。 2007年10月,Google与IBM开始在美国大学校园,推广云计算的 计划,这项计划希望能降低分散式计算技术在学术研究方面的 成本,并为这些大学提供相关的软硬件设备及技术支持。 2008年7月29日,雅虎、惠普和英特尔宣布一项涵盖美国、德国 和新加坡的联合研究计划,推出云计算研究测试床,推进云计 算。该计划要与合作伙伴创建6个数据中心作为研究试验平台, 每个数据中心配置1400个至4000个处理器。 2008年8月3日,戴尔正在申请“云计算” 商标。戴尔在申请文 件中称,云计算是“在数据中心和巨型规模的计算环境中,为 他人提供计算机硬件定制制造”。

云计算起源 2010年3月5日,Novell与云安全联盟(CSA)共同宣布一项供应 商中立计划,名为“可信任云计算计划”。 2010年7月,美国国家航空航天局和包括Rackspace、AMD、 Intel、戴尔等支持厂商共同宣布“OpenStack”开放源代码计 划。 微软在2010年10月表示支持OpenStack与Windows Server 2008 R2的集成;而Ubuntu已把OpenStack加至11.04版本中。 2011年2月,思科系统正式加入OpenStack,重点研制OpenStack 的网络服务。

云计算起源(续) 计算资源的演进:从集中到分布再到集中 集中式时代 网络时代 分布式时代 云时代

云计算发展路线 网络计算 分布式计算

云计算 PC C/S 云计算 硬件为中心 软件为中心 服务为中心 数据在云端:不怕丢失,不必备份; 软件在云端:不必下载自动升级; 无所不在的计算:在任何时间、任何地点、任何设备登录即可进行计算服务; 强大的计算:空间大,快速度。

云计算(续) 有了云计算,广大用户无需自购软、硬件,甚至无需知道是谁提供的服务,只关注自己真正需要什么样的资源或者得到什么样的服务。 电:从购买发电设备到购买电力服务 信息:从购买软硬件到购买信息服务 现代发电厂 信息服务提供商 软件 发电机 计算 存储 有了云计算,广大用户无需自购软、硬件,甚至无需知道是谁提供的服务,只关注自己真正需要什么样的资源或者得到什么样的服务。

云计算定义 到目前为止, 云计算还没有一个统一的定义。云计算领先者如Google、Microsoft 等IT 厂商,依据各自的利益和各自不同的研究视角都给出了对云计算的定义和理解。 维基百科:是一种基于互联网的计算方式,通过这种方式,共享的软硬件资 源和信息可以按需提供给计算机和其他设备。 Google :将所有的计算和应用放置在“云”中,设备终端不需要安装任何 东西,通过互联网络来分享程序和服务。 微软:认为云计算的应是“云+端”的计算,将计算资源分散分布,部分资 源放在云上,部分资源放在用户终端,部分资源放在合作伙伴处,最终由用 户选择合理的计算资源分布。 美国国家标准与技术实验室:云计算是一个提供便捷的通过互联网访问一 个可定制的IT 资源共享池能力的按使用量付费模式(IT 资源包括网络,服 务器,存储,应用,服务),这些资源能够快速部署,并只需要很少的管理 工作或很少的与服务供应商的交互;

云计算定义(续) 狭义云计算 狭义云计算是指IT基础设施的交付和使用模式,通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件)。 广义云计算 广义云计算是指服务的交付和使用模式,通过网络以按需、易扩展的方式获得所需的服务。这种服务可以是IT和软件、互联网相关的,也可以是任意其它的服务。

云计算基本特征

云计算优势 按需服务 快速服务 通用性 高可靠性 极其廉价 超大规模 虚拟化 高扩展性

云计算模式 软件即服务(SaaS) ——Software as a Service 平台即服务(PaaS) —— Platform as a Service 基础设施既服务(IaaS) —— Infrastructure as a Service

云计算模式(续) 云计算的服务体系 服务租赁化 平台可伸缩化 资源虚拟化

软件即服务(SaaS) 提供给客户的服务是服务商运行在云计算基础设施上的应用程序,可以在各种客户端设备上通过瘦客户端界面访问,比如浏览器。客户不需要管理或控制的底层的云计算基础设施,包括网络、服务器、操作系统、存储,甚至单个应用程序的功能. 如:Google APPS、SoftWare+Services;

平台即服务(PaaS) 提供给客户的是将客户用供应商提供的开发语言和工具(例如Java,python,.Net)创建的应用程序部署到云计算基础设施上去。客户不需要管理或控制的底层的云基础设施,包括网络、服务器、操作系统、存储,但客户能控制部署的应用程序,也可能控制应用的托管环境配置。 如:IBM IT Factory、Google APPEngine、Force.com;

SaaS & PaaS 示例 -SaaS & PaaS Google 云计算IT架构 Google应用 托管的第三方应用 办公套件 日历 视频分享 照片分享 邮件 VoIP/IM 地图服务 搜索 广告 云计算IT平台 GFS BigTable MapReduce 集群管理 定制化硬件,集装箱式数据中心

基础设施即服务(IaaS) 提供给客户的是出租处理能力、存储、网络和其它基本的计算资源,用户能够部署和运行任意软件,包括操作系统和应用程序。客户不管理或控制的底层的云计算基础设施,但能控制操作系统、储存、部署的应用,也有可能选择网络组件(例如,防火墙,负载均衡器)。 如: Amazo Ec2、IBM Blue Cloud、Sun Grid;

AWS – Amazon Web Services 实例 计算 存储 数据库 消息队列 支付 计费 人工智能 搜索 订单履行 其他设施能力 EC2 S3 Simple DB SQS DevPay FPS MT Alexa Search FWS Other… AWS – Amazon Web Services Amazon Technology Platform(计算,存储,网络) 战略:利用内部IT资源平台,对外提供IT公用服务 作为云计算的推动者,Amazon 历经2年多时间形成了基本成熟的云计算服务 商业模式 计算,存储,带宽等IT基础设施出租 Web基础能力,电子商务基本能力作为服务出租 按需使用,按需付费 网上支付 客户 互联网应用开发者 企业(纳斯达克,纽约时报) 面向全球,目前主要集中在北美和欧洲,09年已经启动中国市场拓展 合作伙伴 IBM、Microsoft、Oracle、Google、Apple 进展 到08年11月为止,已经有45万开发者基于Amazon AWS开发Web应用 存储对象数从07年4月份50亿增长到08年10月份的290亿,在一年半的时间里增长6倍 08年云服务收入约4亿美金

云计算部署模式 类型 特征 公共云 (1)一般由大型IT服务商利用自己的云基础架构,向所有用户提供云计算服务; (2)用户可以通过互联网访问公共云中的服务,但不能长期独占; (3)云端提供的服务具有通用性; 私有云 (1)组织机构自己搭建云基础架构,面向组织机构内部或特定客户; (2)组织机构对自己的云计算平台具有自主权,可以根据自己的需求进行自主创新; (3)云端提供的服务具有针对性; 混合云 (1)组织机构同时混合使用公共云和私有云; (2)组织机构对私有云具有自主权,但对公共云没有自主权; (3)组织机构可以在公共云提供的通用服务基础上,运用自己的私有云,开发具有针对自己需求的混合云。

部署层次的类型 云计算部署模式(续) 平台即服务 Platform as a Service High Volume Transactions Software as a Service 服务器 网络 存储 Metering 监控 计费 服务云 开发云 企业云 多租赁 安全 中间件 协作 业务服务 CRM/ERP/HR 定制服务 数据中心 虚拟化,动态供应 服务管理 J2EE On-ramps 服务封装 Ajax 开发 开发工具 与其他云的互操作 软件即服务 基础设施即服务

云计算推动力量 虚拟化技术 宽带的普及 互联网应用增加 服务器浏览器开发技术的进步 IT基础设施利用率低下 数据中心能耗问题突出 ….

目录 云计算 云计算概述 云计算体系结构 云计算关键技术 云计算研究现状 云安全技术 云安全特征与挑战 云安全体系与关键技术

云计算体系结构 云计算的基本原理是通过使计算分布在大量的计算服务器上,而非本地计算机或远程服务器中,企业数据中心的运行将更与互联网相似。这使得企业能够将资源切换到需要的应用上,根据需求访问计算机和存储系统。

云计算技术系统结构 (Service-Oriented Architecture)

云计算技术系统结构(续) 云计算技术体系结构分为4层:物理资源层、资源池层、管 理中间件层和SOA构建层(如上图); 物理资源层包括计算机、存储器、网络设施、数据库和软件 等; 资源池层是将大量相同类型的资源构成同构或接近同构的资 源池,如计算资源池、数据资源池等。构建资源池更多是物 理资源的集成和管理工作,例如研究在一个标准集装箱的空 间如何装下2000个服务器、解决散热和故障节点替换的问题 并降低能耗。

2.2云计算技术系统结构(续) 管理中间件负责对云计算的资源进行管理,并对众多应用任 务进行调度,使资源能够高效、安全地为应用提供服务; 管理中间件负责对云计算的资源进行管理,并对众多应用任 务进行调度,使资源能够高效、安全地为应用提供服务; SOA构建层将云计算能力封装成标准的Web Services服务, 并纳入到SOA体系进行管理和使用,包括服务注册、查找、 访问和构建服务工作流等。管理中间件和资源池层是云计算 技术的最关键部分,SOA构建层的功能更多依靠外部设施提 供。

云计算技术系统结构(续) 计算的管理中间件负责资源管理、任务管理、用户管理和安 全管理等工作。 计算的管理中间件负责资源管理、任务管理、用户管理和安 全管理等工作。 资源管理负责均衡地使用云资源节点,检测节点的故障并试 图恢复或屏蔽之,并对资源的使用情况进行监视统计; 任务管理负责执行用户或应用提交的任务,包括完成用户任 务映象(Image)的部署和管理、任务调度、任务执行、任务 生命期管理等等;

云计算技术系统结构(续) 用户管理是实现云计算商业模式的一个必不可少的环节,包 括提供用户交互接口、管理和识别用户身份、创建用户程序 的执行环境、对用户的使用进行计费等; 安全管理保障云计算设施的整体安全,包括身份认证、访问 授权、综合防护和安全审计等。

云计算和下一代IT架构 强化: 虚拟化: 自动化: 商业流程 虚拟应用 虚拟信息 底层结构虚拟 减少费用 & 提高质量 用户界面 & 接口 协作消息 服务/资源管理 & 安全 虚拟化: 简单接入, 提高终端用户管理 & 使用最大化 虚拟应用 虚拟信息 集成&开发 自动化: 提高速度和预言性 & 减少劳动力 虚拟存储 虚拟进程 底层结构虚拟

(“Software-as-a-Service”) 云计算和下一代IT架构(续) 云计算应用 (“Software-as-a-Service”) 商业流程 用户界面 & 接口 协作消息 服务/资源管理 & 安全 虚拟应用 集成&开发 虚拟信息 底层结构虚拟 虚拟存储 虚拟进程

云计算和下一代IT架构(续) 商业流程 云平台 虚拟应用 虚拟信息 用户界面 & 接口 服务/资源管理 协作消息 & 安全 (“Platform-as-a-Service”) 服务/资源管理 & 安全 协作消息 虚拟应用 Integration, Event & Deployment 集成&开发 虚拟信息 底层结构虚拟 虚拟存储 虚拟进程

云计算和下一代IT架构(续) 商业流程 云协作 虚拟应用 虚拟信息 用户界面 & 接口 服务/资源管理 协作/消息 & 安全 集成 & 开发 虚拟存储 虚拟进程 底层结构虚拟

云计算和下一代IT架构(续) 商业流程 虚拟应用 云存储 虚拟信息 云服务器/处理 底层结构虚拟 用户界面 & 接口 服务/资源管理 & 安全 协作/消息 云存储 云服务器/处理 虚拟应用 集成 & 开发 虚拟信息 底层结构虚拟 虚拟 存储 虚拟 进程

云计算和下一代IT架构(续) 商业流程 基础设施 软件 虚拟应用 虚拟信息 底层结构虚拟 用户界面 & 接口 服务/资源管理 & 安全 (“Infrastructure-as-a-Service”) 软件 (“Software-as-a-Service”) 用户界面 & 接口 服务/资源管理 & 安全 服务/资源管理 & 安全 协作/消息 虚拟应用 集成 & 开发 Virtualized Information 虚拟信息 底层结构虚拟 虚拟 存储 虚拟 进程

目录 云计算 云计算概述 云计算体系结构 云计算关键技术 云计算研究现状 云安全技术 云安全特征与挑战 云安全体系与关键技术

云计算关键技术 虚拟化技术 分布式技术 数据中心构建技术 云计算安全技术 云计算编程模型 ……. 云计算的目标是以低成本的方式提供高可靠、高可用、规模可伸缩的个性化服务。为了达到这个目标,需要数据中心管理、虚拟化、海量数据处理、资源管理与调度、QoS 保证、安全与隐私保护等若干关键技术加以支持。 虚拟化技术 分布式技术 数据中心构建技术 云计算安全技术 云计算编程模型 …….

云计算与相关技术的联系

IaaS 层关键技术 IaaS 层是云计算的基础。通过建立大规模数据中心,IaaS 层为上层云计算服务提供海量硬件资源。同时,在虚拟化技术的支持下,IaaS 层可以实现硬件资源的按需配置,并提供个性化的基础设施服务。 主要研究问题: 如何建设低成本、高效能的数据中心; 如何拓展虚拟化技术,实现弹性、可靠的基础设施服务。

数据中心相关技术 下一代数据中心的特征 虚拟化 智能 绿色 低成本 消除异构化系统之间障碍 快速动态部署资源和服务 云计算平台对资源的独立,兼容各类应用平台 计算,存储,网络资源的智能化统一管理 面向业务的资源的定制化部署 智能 基于云计算 的基础架构 绿色 虚拟化技术与绿色科技结合,降低能耗 先进、高效、智能的系统散热方案 智能化的环境控制和能效管理系统 低成本 虚拟化提高资源利用率, 简化管理维度,节省维护成本 支持异构资源兼容,实现业务的平滑升级

数据中心相关技术 与传统的企业数据中心不同,云计算数据中心具有以下特点 自治性。 规模经济。 规模可扩展。 研究重点: ① 数据中心网络设计 以低成本、高带宽、高可靠的方式连接大规模计算节点; ② 数据中心节能技术

虚拟化技术 虚拟化(Virtualization) 是将计算机物理资源如服务器、网络、内存及存储等予以 抽象、转换后呈现出来,使用户可以采用比原本的组态更好 的方式来应用这些资源。这些资源的新虚拟部份是不受现有 资源的架设方式,地域或物理组态所限制。 包括: 软件虚拟化 硬件辅助虚拟化 操作系统级虚拟化

虚拟化技术 非虚拟化环境 难以管理 无灵活性 投资回报率低 众多分立的采购 虚拟化环境 可管理性高 灵活的基础架构 良好的投资回报 HP Internet WAN LAN CRM ERP SCM 非虚拟化环境 难以管理 无灵活性 投资回报率低 众多分立的采购 VHCI VPN Virtual Server Virtual Storage CRM ERP SCM 虚拟化环境 可管理性高 灵活的基础架构 良好的投资回报 统一的采购

虚拟化技术 数据中心为云计算提供了大规模资源。为了实现基础设施服 务的按需分配,需要研究虚拟化技术。虚拟化是IaaS 层的重要组成部分 ,也是云计算的最重要特点。虚拟化技术可以提供以下特点。 资源分享 资源定制 细粒度资源管理 为了进一步满足云计算弹性服务和数据中心自治性的需求 ,需要研究虚拟机快速部署和在线迁移技术。 虚拟机快速部署技术 虚拟机在线迁移技术

PaaS 层关键技术 PaaS 层作为3 层核心服务的中间层,既为上 层应用提供简单、可靠的分布式编程框架,又需 要基于底层的资源信息调度作业、管理数据,屏 蔽底层系统的复杂性。随着数据密集型应用的普 及和数据规模的日益庞大,PaaS 层需要具备存 储与处理海量数据的能力。 主要技术包括: 海量数据存储与处理技术 资源管理与调度技术

服务管理层 为了使云计算核心服务高效、安全地运行,需要服务管 理技术加以支持。服务管理技术包括: QoS保证机制 安全与隐私保护技术 为了使云计算核心服务高效、安全地运行,需要服务管 理技术加以支持。服务管理技术包括: QoS保证机制 安全与隐私保护技术 资源监控技术 服务计费模型 ….

目录 云计算 云计算概述 云计算体系结构 云计算关键技术 云计算研究现状 云安全技术 云安全特征与挑战 云安全体系与关键技术

云计算研究现状 IBM:蓝云计划 谷歌:Google App Engine 亚马逊:弹性计算云Elastic Compute Cloud (EC2) 微软:Windows Azure platform 惠普、英特尔、雅虎:Open Cirrus云计算测试平台 Salesforce:软件服务提供商 …

云计算研究现状

Google 101 计划:卡耐基梅隆大学,MIT,斯坦福大学,加利福尼亚大学伯克利分校,马里兰大学和华盛顿大学。 云计算研究现状 Google 101 计划:卡耐基梅隆大学,MIT,斯坦福大学,加利福尼亚大学伯克利分校,马里兰大学和华盛顿大学。 学生们学习如何调整自己的程序来适应Google计算机,并雄心勃勃地设计开发网络规模的项目 这些数据可能用于开发新药品和疗法、制造新的清洁能源、甚至预测地震

云计算研究现状 Google

云计算研究现状 Google App Engine

国内云计算企业

目录 云计算 云计算概述 云计算体系结构 云计算关键技术 云计算研究现状 云安全技术 云安全特征与挑战 云安全体系与关键技术

2.云安全技术 云计算安全 安全 云

目录 云计算 云计算概述 云计算体系结构 云计算关键技术 云计算研究现状 云安全技术 云安全特征与挑战 云安全体系与关键技术

云安全技术特征 云计算特有的数据和服务外包、虚拟化、多租户和跨 域共享等特点,带来了前所未有的安全挑战。安全和 隐私问题已经成为阻碍云计算普及和推广主要因素之 一。 2011年,考虑到自身数据的安全性,很多公司正在控 制云计算方面的投资。出于安全方面的考虑,他们正 在延缓云的部署,并且有三分之一的用户正在等待。 由于云计算环境下的数据对网络和服务器的依赖,隐 私问题尤其是服务器端隐私的问题比网络环境下更加 突出。导致云计算的普及难以实现。

云计算的特点 安全威胁 数据和服务外包 (1)隐私泄露 (2)代码被盗 多租户和跨域共享 (1)信任关系的建立、管理和维护更加困难; (2)服务授权和访问控制变得更加复杂; (3)黄色、钓鱼欺诈等不良信息的云缓冲 (4)恶意SaaS应用 虚拟化 (1)用户通过租用大量的虚拟服务使得协同攻击变得更加容易,隐蔽性更强; (2)资源虚拟化支持不同租户的虚拟资源部署在相同的物理资源上,方便了恶意用户借助共享资源实施侧通道攻击。

云安全技术挑战 实际上,对于云计算的安全保护,通过单一的手段是远远不够的,需要有一个完备的体系,涉及多个层面,需要从法律、技术、监管三个层面进行。 传统安全技术,如加密机制、安全认证机制、访问控制策略通过集成创新,可以为隐私安全提供一定支撑,但不能完全解决云计算的隐私安全问题。 需要进一步研究多层次的隐私安全体系(模型)、全同态加密算法、动态服务授权协议、虚拟机隔离与病毒防护策略等,为云计算隐私保护提供全方位的技术支持。

云计算面临的安全威胁 Threat #1: Abuse and Nefarious Use of Cloud Computing 云计算的滥用、恶用、拒绝服务攻击 Threat #2: Insecure Interfaces and APIs 不安全的接口和API Threat #3: Malicious Insiders 恶意的内部员工 Threat #4: Shared Technology Issues 共享技术产生的问题 Threat #5: Data Loss or Leakage 数据泄漏 Threat #6: Account or Service Hijacking 账号和服务劫持 Threat #7: Unknown Risk Profile 未知的风险场景

恶意使用 攻击者使用云的理由与合法消费者相同——低成本进行巨量处理 说明 密码破解、DDoS、恶意存取、垃圾邮件、CAPTCHA破解等 影响 现在在amazonaws.com中搜索MalwareDomainList.com,可获得21个结果 “过去三年中,ScanSafe记录了与amazonaws相关的80个恶意事件” – ScanSafe博客 Amazon的EC2出现了垃圾邮件和恶意软件的问题 - Slashdot 举例

数据丢失/数据泄漏 由于不合适的访问控制或弱加密造成数据破解 因为多租户结构,不够安全的数据风险较高 说明 数据完整性和保密性 影响 喂,别碰我的云:可以查询第三方电脑云中的数据泄漏(UCSD/MIT) 研究详细技术,确保图像位于相同的物理硬件中,然后利用跨虚拟机攻击检查数据泄漏 举例

恶意业内人士 云供应商的员工可能滥用权力访问客户数据/功能 减少内部进程的可见性可能会妨碍探测这种违法行为 说明 数据保密性和完整性 名誉损失 法律后果 影响 根据Verizon的2010数据泄漏调查报告,48%的数据泄漏是业内人士造成的。在云计算环境下的情况可能更加严重。 举例

流量拦截或劫持 对客户或云进行流量拦截和/或改道发送 偷取凭证以窃取或控制账户信息/服务 说明 数据保密性和完整性 声誉影响 资源恶意使用造成的后果(法律) 影响 Twitter账户盗用 Zeus botnet C&C在Amazon EC2上的账户被盗用 举例

共享技术潜在风险 公共的硬件、运行系统、中间件、应用栈和网络组件可能有着潜在风险 说明 成功使用可能影响多个用户 影响 Cloudburst - Kostya Kortchinksy (Blackhat 2009) 在虚拟PCI显示卡Vmware SVGA II设备中确认的任意代码执行的潜在风险 VMware Workstation、VMware Player、VMware Server和VMware ESX中的脆弱部件 举例

不安全的API API用于允许功能和数据访问,但其可能存在潜在风险或不当使用,让程序受到攻击 说明 数据保密性和完整性 拒绝服务 影响 P0wning可编程网络 (Websense – AusCERT 2009_ 80%的测试应用程序没有使用API中的安全保护(例如不加密流量和基本验证) 经验证的CSRF、MITM和数据泄漏攻击 举例

未知风险预测 说明 对安全控制的不确定性可能让顾客陷入不必要的风险。 影响 可能因为云用户没有相关知识,造成重大的数据外泄。 举例 Heartland支付系统“只愿意做最小的工作量并符合国家法律,而不会通知每一位客户他们的数据是否被盗取。” http://www.pcworld.com/article/158038/heartland_has_no_heart_for_violated_customers.html 举例

目录 云计算 云计算概述 云计算体系结构 云计算关键技术 云计算研究现状 云安全技术 云安全特征与挑战 云安全体系与关键技术

云安全指南 https://cloudsecurityalliance.org/

云计算的安全管控 云计算迁移前理清相关合同、SLA和架构是保 护云 的最好时机 了解云提供商的“供应商”、BCM/DR、财务 状况 以及雇员审查等 尽可能识别数据的物理位置 计划好供应商终止和资产清退 保留审计权利 对再投资引起的成本节省谨慎注意

云计算的安全管理最佳实践 云计算的安全运行 能加密则加密之,独立保管好密钥 适应安全软件开发生命周期的环境要求 理解云提供商的补丁和配置管理、安全保护等措施 记录、数据渗漏和细粒化的客户隔离 安全加固虚拟机镜像 评估云提供商的IdM集成,例如SAML, OpenID等

云计算平台安全框架建议

安全防御技术发展历程 利益驱动 威胁格局 的发展 混合威胁 安全防御技术的发展 防病毒 扩大已知病毒库 防火墙 安全产品联动 垃圾邮件 网络钓鱼 脚本病毒 电子邮件蠕虫 间谍软件 Rootkits 宏病毒 僵尸 网络蠕虫 特洛伊 计算机病毒文件传染者 威胁格局 的发展 利益驱动 防病毒 扩大已知病毒库 防火墙 安全产品联动 服务器收集 病毒信息 形成互联网范围病毒库 混合威胁 安全防御技术的发展

实际数据图表可以更清楚地表现网络战争的愈演愈烈。 网络威胁数量增长图 防病毒软件防护真空期

对客户所访问的网页进行安全评估 –阻止对高风险网页的访问 Web 云安全 3.下载恶意软件 1.用户收到黑客的垃圾邮件 4.发送信息/下载病毒 2.点击链接 对客户所访问的网页进行安全评估 –阻止对高风险网页的访问

更低的带宽占用 更小的内存占用 降低防护所需时间: 更快的防护= 更低的风险+更低的花费 获得防护所需时间(小时) 传统代码比对技术 Bandwidth Consumption (kb/day) Conventional Antivirus Cloud-client Architecture 病毒代码部署 Memory Usage (MB) Conventional Antivirus Cloud-client Architecture 病毒代码更新 侦测到威胁 应用防护 防护更新 侦测到威胁 更低的带宽占用 传统代码比对技术 更小的内存占用 云安全技术 降低防护所需时间: 更快的防护= 更低的风险+更低的花费 82

云安全优势 83

云安全改变信息安全行业 1 防御模式的改变 “云安全”使得网络安全防御模式由被动式向主动式转变。 2 分析模式的改变 “云安全”的出现,使原始的传统病毒分析处理方式,转变为“云安全”模式下的互联网分析模式。 3 研究方向更加明确 分析“云安全”的数据,可以全面精确的掌握“安全威胁”动向。 84

互联网用户 云安全中心 恶意威胁 云安全客户端 互联网内容 下载网站 门户网站 搜索网站 来源挖掘 威胁挖掘集群 威胁信息数据中心 数据分析 用户计算机 用户计算机 威胁信息数据中心 用户计算机 数据分析 云安全客户端 即时升级服务器 自动分析处理系统 用户计算机 用户计算机 即时查杀平台 互联网用户 云安全中心

谢谢大家!