云計算技術(shù)安全分析
《云計算技術(shù)安全分析》由會員分享,可在線閱讀,更多相關(guān)《云計算技術(shù)安全分析(8頁珍藏版)》請在裝配圖網(wǎng)上搜索。
.1.概述目前,業(yè)界關(guān)于云計算的概念眾說紛“云”,可以說是仁者見仁,智者見智,關(guān)于云計算的概念,維基百科認(rèn)為:“云計算是一種能夠動態(tài)伸縮的虛擬化資源,通過互聯(lián)網(wǎng)以服務(wù)的方式提供給用戶的計算模式,用戶不需要知道如何管理那些支持云計算的基礎(chǔ)設(shè)施”。 因為云計算代表著一種新的商業(yè)計算模式,其在各方面的實際應(yīng)用上還有很多不確定的地方,面臨著很多的安全挑戰(zhàn)。目前各家所提的云安全解決方案,大都根據(jù)自己企業(yè)對云平臺安全的理解,結(jié)合本企業(yè)專長,專注于某一方面的安全。然而,對于用戶來說云平臺是一個整體,急需一套針對云平臺的整體保護技術(shù)方案。針對云平臺的信息安全整體保護技術(shù)的研究的是大勢所趨,整體保護技術(shù)體系的建立,必將使云計算得以更加健康、有序的發(fā)展。1.1云計算特點(1)超大規(guī)模?!霸朴嬎愎芾硐到y(tǒng)”具有相當(dāng)?shù)囊?guī)模,Google的云計算已經(jīng)擁有100多萬臺服務(wù)器,Amazon、IBM、微軟、Yahoo等的“云”均擁有幾十萬臺服務(wù)器?!霸啤蹦苜x予用戶前所未有的計算能力。(2)虛擬化。云計算支持用戶在任意位置、使用各種終端獲取應(yīng)用服務(wù)。所請求的資源來自“云”,而不是固定的有形的實體。應(yīng)用在“云”中某處運行,但實際上用戶無需了解、也不用擔(dān)心應(yīng)用運行的具體位置。(3)高可靠性。“云”使用了數(shù)據(jù)多副本容錯、計算節(jié)點同構(gòu)可互換等措施來保障服務(wù)的高可靠性,使用云計算比使用本地計算機可靠。(4)通用性。云計算不針對特定的應(yīng)用,在“云”的支撐下可以構(gòu)造出千變?nèi)f化的應(yīng)用,同一個“云”可以同時支撐不同的應(yīng)用運行。 (5)高可擴展性?!霸啤钡囊?guī)??梢詣討B(tài)伸縮,滿足應(yīng)用和用戶規(guī)模增長的需要。(6)廉價。由于“云”的特殊容錯措施可以采用極其廉價的節(jié)點來構(gòu)成云,因此用戶可以充分享受“云”的低成本優(yōu)勢。1.2云計算服務(wù)模型現(xiàn)在通用的云計算服務(wù)模型可以分為三類,分別是基礎(chǔ)架構(gòu)即服務(wù)(IaaS)、平臺即服務(wù)(PaaS)、軟件即服務(wù)(SaaS)。下面分別介紹。1)基礎(chǔ)架構(gòu)即服務(wù)(InfrastructureasaService):是把數(shù)據(jù)中心、基礎(chǔ)設(shè)施硬件資源通過Web或其他客戶端軟件分配給用戶使用的商業(yè)模式。IaaS領(lǐng)域最引人注目的例子就是亞馬遜公司的ElasticComputeCloud。IBM、VMware、HP等傳統(tǒng)IT服務(wù)提供商也推出了相應(yīng)的IaaS產(chǎn)品。IaaS為用戶提供計算、存儲、網(wǎng)絡(luò)和其它基礎(chǔ)計算資源,用戶可以在上面部署和運行任意的軟件,包括操作系統(tǒng)和應(yīng)用程序,用戶不用管理和控制底層基礎(chǔ)設(shè)施,但需要控制操作系統(tǒng)、存儲、部署應(yīng)用程序和對網(wǎng)絡(luò)組件(如主機防火墻)具有有限的控制權(quán)限。2)平臺即服務(wù)(PlatformasaService):是把計算環(huán)境、開發(fā)環(huán)境等平臺作為一種服務(wù)提供的商業(yè)模式。云計算服務(wù)提供商可以將操作系統(tǒng)、應(yīng)用開發(fā)環(huán)境等平臺級產(chǎn)品通過Web以服務(wù)的方式提供給用戶。通過PaaS服務(wù),軟件開發(fā)人員可以不購買服務(wù)器的情況下開發(fā)新的應(yīng)用程序。Google的App引擎,微軟的Azure是PaaS服務(wù)的典型代表,VMware也推出了基于開放API、springsource框架的PaaS服務(wù)。3)軟件即服務(wù)(SoftwareasaService),服務(wù)廠商將應(yīng)用軟件統(tǒng)一部署在自己的服務(wù)器上,客戶可以根據(jù)自己實際需求,通過互聯(lián)網(wǎng)向廠商定購所需的應(yīng)用軟件服務(wù),按定購的服務(wù)多少和時間長短向廠商支付費用,并通過互聯(lián)網(wǎng)獲得廠商提供的服務(wù)。用戶不用再購買軟件,而改用向提供商租用基于Web的軟件,來管理企業(yè)經(jīng)營活動,且無需對軟件進行維護,服務(wù)提供商會全權(quán)管理和維護軟件,軟件廠商在向客戶提供互聯(lián)網(wǎng)應(yīng)用的同時,也提供軟件的離線操作和本地數(shù)據(jù)存儲,讓用戶隨時隨地都可以使用其定購的軟件和服務(wù)。代表廠家:Salesforce,SuccessFactor,Workday等。圖 云計算服務(wù)模式相對來說,我們認(rèn)為關(guān)于云計算的體系結(jié)構(gòu)為IaaS為底層基礎(chǔ),PaaS為中間層,SaaS為最上層。值得一提的是,隨著業(yè)界對云計算的深入研究以及各大公司的大力推廣,這三層又逐漸融合的趨勢,大的云計算提供商也開始在各個層面分別堆出自己的云計算產(chǎn)品來搶奪先機。2.云計算的安全體系架構(gòu)云計算平臺和傳統(tǒng)計算平臺的最大區(qū)別在于計算環(huán)境,云平臺的計算環(huán)境是通過網(wǎng)絡(luò)把多個成本相對較低的計算實體整合而形成的一個具有強大計算能力的系統(tǒng),這樣的一個系統(tǒng)勢必比傳統(tǒng)意義上的計算環(huán)境要更加復(fù)雜。對云平臺的計算環(huán)境的保護也是云平臺下信息安全整體保護體系的重中之重。強大、方便的云計算服務(wù)是通過客戶端最終展現(xiàn)給用戶的,在云計算環(huán)境完成了客戶所要求的工作或服務(wù)后,這些工作、服務(wù)的成果應(yīng)通過一個安全的途徑傳輸并最終展現(xiàn)在客戶端上。云計算環(huán)境下的通信網(wǎng)絡(luò)就是保證云計算環(huán)境到客戶端、云計算環(huán)境之間進行信息傳輸以及實施安全策略的部件。區(qū)域邊界是云計算環(huán)境與云通信網(wǎng)絡(luò)實現(xiàn)邊界連接以及實施安全策略的相關(guān)部件。真正的云計算環(huán)境應(yīng)是可控的,在這一可控的云區(qū)域與其外部的不可控區(qū)域之間,應(yīng)遵循一套規(guī)則來確保只有通過認(rèn)證的用戶才能管理和使用云,從而保證云計算環(huán)境區(qū)域的安全。云計算環(huán)境內(nèi)部的各個部件的正常運轉(zhuǎn)、數(shù)據(jù)在云內(nèi)的安全傳輸、云計算環(huán)境以及云區(qū)域邊界上的安全機制的執(zhí)行,都需要進行統(tǒng)一的安全管理。操作、使用云服務(wù),也應(yīng)遵守一定的管理規(guī)章制度。云計算環(huán)境下的安全管理就是一套對云計算環(huán)境內(nèi)部以及云邊界的安全機制實施統(tǒng)一管理,并控制操作、使用云計算服務(wù)的行為的手段。3.云計算面臨的安全風(fēng)險3.1 IaaS(基礎(chǔ)設(shè)施層)的安全與風(fēng)險分析(1)首先用戶的數(shù)據(jù)在云中會存在泄露的危險。當(dāng)用戶遷移到云的時候,對于客戶和他們的數(shù)據(jù)來說,有兩大改變。其一,相對于客戶的地理位置來說,數(shù)據(jù)會被遠(yuǎn)程存儲;其二,數(shù)據(jù)通常是從單租戶環(huán)境遷移到多租戶環(huán)境的,這就是數(shù)據(jù)泄露問題發(fā)生的源頭。數(shù)據(jù)泄露只不過是一個客戶到另一個客戶的數(shù)據(jù)遷移,實際上在云中的每個客戶都應(yīng)該只能訪問他們自己的數(shù)據(jù),而不能訪問其他客戶的數(shù)據(jù)。(2)計算服務(wù)性能不可靠。主要包括硬件與軟件問題。硬件問題包括服務(wù)器、存儲、網(wǎng)絡(luò)的問題,硬件的不兼容、不穩(wěn)定以及不易維護性,這都有可能造成計算性能的不可靠;軟件主要指統(tǒng)一部署與硬件之上的虛擬化軟件的可靠性能,包括兼容性、穩(wěn)定性、可維護性等。(3)遠(yuǎn)程管理認(rèn)證危險。IaaS資源在遠(yuǎn)端,因此你需要某些遠(yuǎn)程管理機制,這就存在認(rèn)證上的危險,比如賬戶的盜用,冒用,丟失等。(4)虛擬化技術(shù)所帶來的風(fēng)險。由于IaaS基于虛擬化技術(shù)搭建,虛擬化技術(shù)所帶來的風(fēng)險便不可避免,包括堆棧溢出、權(quán)限管理、虛擬化管理程序軟件會成為被攻擊的目標(biāo)等等。(5)用戶本身的焦慮。包括我的數(shù)據(jù)放在哪里,如何保證我的數(shù)據(jù)安全性等。(6)服務(wù)中斷。包括數(shù)據(jù)中心宕機,停止對外服務(wù),以及災(zāi)難、電力供應(yīng)等的毀滅性破壞。此類破壞大部分為不可抗拒性破壞,由于IaaS從層面上來說,更接近底層硬件設(shè)施,因而對硬件設(shè)施的這些問題,應(yīng)該給予更多的關(guān)注。此類事件一旦發(fā)生,便會造成數(shù)據(jù)中心毀滅性的破壞。3.2 PaaS(云平臺)的安全與風(fēng)險分析(1)應(yīng)用配置不當(dāng)。當(dāng)你在云基礎(chǔ)架構(gòu)中運行應(yīng)用以及開發(fā)平臺時,應(yīng)用在默認(rèn)配置下安全運行的概率機會基本為零。因此,你最需要做的事就是改變應(yīng)用的默認(rèn)安裝配置。要熟悉一下應(yīng)用的安全配置流程,也就是說如果要使用它們,就要知道如何確保其安全,因為它們占據(jù)了PaaS云架構(gòu)中所有應(yīng)用的80%之多。(2)平臺構(gòu)建漏洞,可用性、完整性差。任何平臺都存在漏洞的風(fēng)險,有些平臺極端環(huán)境下可用性、完成性的工作能力不夠,比如在大量網(wǎng)絡(luò)連接下,web服務(wù)器的承受能力等。在對外提供API的平臺應(yīng)用中,編程環(huán)境的漏洞、堆棧溢出的漏洞、高權(quán)限非法獲取的漏洞都會存在。(3)SSL協(xié)議及部署缺陷。對PaaS用戶而言,第三個需要考慮的威脅是SSL攻擊。SSL是大多數(shù)云安全應(yīng)用的基礎(chǔ)。目前,眾多黑客社區(qū)都在研究SSL,SSL在不久的將來或許會成為一個主要的病毒傳播媒介。因此,客戶必須明白當(dāng)前的形勢,并采取可能的辦法來緩解SSL攻擊,這樣做只是為了確保應(yīng)用不會被暴露在默認(rèn)攻擊之下。(4)云數(shù)據(jù)中的非安全訪問許可。對于PaaS用戶而言,第四個需要考慮的威脅是需要解決對云計算中數(shù)據(jù)的非安全訪問問題。盡管說這似乎是一個特定環(huán)境下的問題,但我經(jīng)過測試發(fā)現(xiàn),許多應(yīng)用實際上存在嚴(yán)重的信息漏洞,數(shù)據(jù)的基本訪問許可往往設(shè)置不當(dāng)。從安全的角度講,這意味著系統(tǒng)需要批準(zhǔn)的訪問權(quán)限太多。3.3 SaaS(應(yīng)用服務(wù)層)的安全與風(fēng)險分析(1)數(shù)據(jù)安全。SaaS提供的是一種數(shù)據(jù)托管服務(wù),成千上萬的企業(yè)將自己的信息托管于SaaS服務(wù)商。在信息輸過程中極易丟失或被非法入侵主機的黑客篡改、竊取,為病毒所破壞或者因為程序的而不小心被其他使用者看到。(2)垃圾郵件與病毒。病毒、蠕蟲郵件在網(wǎng)絡(luò)中傳播大量占用用戶網(wǎng)絡(luò)帶寬資源,企業(yè)中被感染的局域網(wǎng)用戶機器被植入木馬程序,可能導(dǎo)致敏感、機密信息數(shù)據(jù)泄露(如重要文件、賬號密碼等)。(3)軟件漏洞,版權(quán)問題。(4)操作系統(tǒng)以及IE瀏覽器的安全漏洞。由于目前操作系統(tǒng)、lE瀏覽器漏洞較多,容易被病毒、木馬程序等破壞。而也就是因為這樣用戶口令丟失的事情時有發(fā)生,從而使得安全性得不到保障。(5)人員管理以及制度管理的缺陷。服務(wù)商內(nèi)部人員的誠信、職業(yè)道德可能造成安全危險,另外,安全法律制度的不健全,保密規(guī)范和條款缺失,也是一個急需解決的問題。(6)缺少第三方監(jiān)督認(rèn)證機制。4.云計算的安全解決方案4.1 IaaS的安全風(fēng)險對策(1)數(shù)據(jù)可控以及數(shù)據(jù)隔離。對于數(shù)據(jù)泄漏風(fēng)險而言,解決此類風(fēng)險主要通過數(shù)據(jù)隔離??梢酝ㄟ^三類途徑來實現(xiàn)數(shù)據(jù)隔離:其一,讓客戶控制他們需要使用的網(wǎng)絡(luò)策略和安全。其二,從存儲方面來說,客戶的數(shù)據(jù)應(yīng)該存儲在虛擬設(shè)備中,由于實際上虛擬存儲器位于更大的存儲陣列上,因而采取了虛擬存儲,便可以在底層進行數(shù)據(jù)隔離,保證每個客戶只能看到自己對應(yīng)的數(shù)據(jù)。其三,在虛擬化技術(shù)實現(xiàn)中,可以考慮大規(guī)模部署虛擬機以實現(xiàn)更好的隔離,以及使用虛擬的存儲文件系統(tǒng),比如VMware的VMFS文件系統(tǒng)。(2)綜合考慮數(shù)據(jù)中心軟硬件部署。在軟硬件選用中,考慮品牌廠商,硬件的選擇要綜合考慮質(zhì)量、品牌、易用性、價格、高可維護性等一系列因素,并選擇性價比高的廠商產(chǎn)品。在虛擬化軟件選擇中,也需要在價格、廠商、質(zhì)量之間平衡。建議有條件的客戶首先聘請咨詢公司進行咨詢。市場上,目前有三個云計算聯(lián)盟可以提供完整的云計算解決方案,包括從底層的硬件到上層的軟件。分別是Cisco+EMC+VMware,IBM,HP+Microsoft(3)建立安全的遠(yuǎn)程管理機制。根據(jù)定義,IaaS資源在遠(yuǎn)端,因此你需要某些遠(yuǎn)程管理機制,最常用的遠(yuǎn)程管理機制包括:VPN:提供一個到IaaS資源的安全連接。遠(yuǎn)程桌面、遠(yuǎn)程Shell:最常見的解決方案是SSH。Web控制臺UI:提供一個自定義遠(yuǎn)程管理界面,通常它是由云服務(wù)提供商開發(fā)的自定義界面。對應(yīng)安全策略如下:A.緩解認(rèn)證威脅的最佳辦法是使用雙因子認(rèn)證,或使用動態(tài)共享密鑰,或者縮短共享密鑰的共享期。B.不要依賴于可重復(fù)使用的用戶名和密碼。C.確保安全補丁及時打上。D.對于下面這些程序:SSH:使用RSA密鑰進行認(rèn)證;微軟的遠(yuǎn)程桌面:使用強加密,并要求服務(wù)器認(rèn)證;VNC:在SSH或SSL/TLS隧道上運行它;Telnet:不要使用它,如果你必須使用它,最好通過VPN使用。E.對于自身無法保護傳輸數(shù)據(jù)安全的程序,應(yīng)該使用VPN或安全隧道(SSL/TLS或SSH),推薦首先使用IPSEC,然后是SSLv3或TLSv1。(4)選擇安全的虛擬化廠商以及成熟的技術(shù)。最好選擇要能有持續(xù)的支持以及對安全長期關(guān)注的廠商。定期更新虛擬化安全補丁,并關(guān)注虛擬化安全。成熟的虛擬化技術(shù)不但能夠預(yù)防風(fēng)險,在很大情況下還能增強系統(tǒng)安全性,比如VMware對有問題虛擬機的隔離,DRS系統(tǒng)動態(tài)調(diào)度等。(5)建立健全IT行業(yè)法規(guī)。在云計算環(huán)境下,用戶不知道自己的數(shù)據(jù)放在哪兒,因而會有一定的焦慮,比如我的數(shù)據(jù)在哪兒,安全嗎?等等的疑問。在IaaS環(huán)境下,由于虛擬機具有漂移特性,用戶很大程度上不知道數(shù)據(jù)到底存放在那個服務(wù)器、存儲之上。另外由于數(shù)據(jù)的獨有特點,一旦為別人所知,價值便會急劇降低。這需要從法律、技術(shù)兩個角度來規(guī)范,首先建立健全法律,對數(shù)據(jù)泄漏、IT從業(yè)人員的不道德行為進行嚴(yán)格約束,從人為角度防止出現(xiàn)數(shù)據(jù)泄漏等不安全現(xiàn)象。其次,開發(fā)虛擬機漂移追蹤技術(shù)、IaaS下數(shù)據(jù)獨特加密技術(shù),讓用戶可以追蹤自己的數(shù)據(jù),感知到數(shù)據(jù)存儲的安全。(6)針對突然的服務(wù)中斷等不可抗拒新因素,采取兩地三中心策略。服務(wù)中斷等風(fēng)險在任何IT環(huán)境中都存在,在部署云計算數(shù)據(jù)中心時,最好采取基于兩地三中心策略,進行數(shù)據(jù)與環(huán)境的備份。圖 數(shù)據(jù)中心兩地三中心防災(zāi)方案生產(chǎn)中心與同城災(zāi)備中心一般在同一個城市,距離在10Km以內(nèi),異地災(zāi)備中心通常在國家的另一個區(qū)域,距離可以跨越數(shù)個省份。生產(chǎn)中心為對外提供服務(wù)的主中心,由于與同城災(zāi)備中心距離近,可以采取裸光纖相連,采取同步復(fù)制模式,數(shù)據(jù)實時保持同步。同城災(zāi)備中心與異地災(zāi)備中心數(shù)據(jù)由于距離遠(yuǎn),只能采取WAN連接,因此采取異步復(fù)制模式。在該環(huán)境下,一旦生產(chǎn)中心發(fā)生毀壞,同城災(zāi)備中心可以實時承接對外服務(wù)的任務(wù),在此情況下,用戶感覺不到任何的服務(wù)中斷。在發(fā)生地震或者戰(zhàn)爭等大面積毀壞的情況下,生產(chǎn)中心與同城災(zāi)備中心服務(wù)同時中斷,可以啟用異地災(zāi)備中心對外服務(wù),在這種情況下,由于數(shù)據(jù)需要恢復(fù),用戶感覺到服務(wù)中斷,但短時間內(nèi)會恢復(fù),不會造成嚴(yán)重事故。4.2 PaaS安全風(fēng)險對策(1)嚴(yán)格參照手冊進行配置。嚴(yán)格按照應(yīng)用程序供應(yīng)商提供的安全手冊進行配置,尤其是在Windows環(huán)境下,你需要具備確保IIS、MicrosoftSQL和.NET安全的能力。不要留有默認(rèn)的密碼或者不安全的Guest賬戶。(2)保證補丁能夠及時得到更新。需要依靠應(yīng)用供應(yīng)商來提供正確應(yīng)用配置或配置補丁的具體步驟。這里最關(guān)鍵的問題是要及時,必須要確保自己有一個變更管理項目,來確保SSL補丁和變更程序能夠迅速發(fā)揮作用。(3)重新設(shè)計安全應(yīng)用。要解決這一問題,需要從兩方面來考慮。一方面需要對你的應(yīng)用進行重新設(shè)計,把安全工作做得更細(xì)一點,來確保使用應(yīng)用的所有用戶都能被證明是真實可靠的。另一方面,通過這樣做,你可以應(yīng)用適當(dāng)?shù)臄?shù)據(jù)和應(yīng)用許可制度,來確保所有訪問控制決策都是基于用戶授權(quán)來制定的4.3 SaaS確保應(yīng)用服務(wù)層的安全風(fēng)險對策(1)建立可信安全平臺。結(jié)合防火墻、入侵檢測、病毒防治、權(quán)限控制以及安全郵件技術(shù),保證網(wǎng)絡(luò)傳輸時系統(tǒng)的應(yīng)用和數(shù)據(jù)存儲、傳輸?shù)陌踩?。?)數(shù)據(jù)存儲與備份。這里的數(shù)據(jù)存儲與備份針對運營數(shù)據(jù),要達到安全性與實時性相結(jié)合。在SaaS環(huán)境下,為各個環(huán)節(jié)做冗余設(shè)計,保證任何一個硬件或者軟件的單點故障都不會影響整個SaaS的運營。(3)選擇可靠的操作系統(tǒng),定期升級軟件補丁,并關(guān)注版權(quán)信息。選擇穩(wěn)定的主流操作系統(tǒng),定期更新操作系統(tǒng)與軟件補丁,定時掃描漏洞。有條件的客戶可以選擇安全專家對系統(tǒng)做評估,并選用定制的網(wǎng)絡(luò)設(shè)備或者硬件設(shè)施。(4)對服務(wù)器跟客戶端的安全都要重視。對于客戶端,最好采用通過SSL服務(wù)器端認(rèn)證的HTTPS協(xié)議,保證所有傳輸?shù)臄?shù)據(jù)都是加密過的,以保證數(shù)據(jù)傳輸安全。同時對于身份認(rèn)證,可以考慮給予USBKey的方式,唯一識別客戶身份。對于服務(wù)器方面,可以使用虛擬化的高可用技術(shù),以保證任意一臺服務(wù)器出現(xiàn)故障,不會影響系統(tǒng)的整體可用性。(5)選擇可靠的SaaS提供商。首先,可靠的SaaS提供商應(yīng)該具有業(yè)界領(lǐng)先的成熟的安全技術(shù),比如對于SaaS郵件提供商,成熟的反病毒、反垃圾郵件技術(shù)必不可少。其次,知識產(chǎn)權(quán)也比較重要,SaaS提供商擁有核心知識產(chǎn)權(quán),可以保證以后服務(wù)的延續(xù)性與可靠性。最后,SaaS提供商最好要有業(yè)界良好的信譽以及安全資質(zhì),可以保證服務(wù)運行的可靠性與可信度,并能夠提供持續(xù)的技術(shù)支持。(6)安全管理。首先,最好建立第三方監(jiān)理制度,應(yīng)用第三方監(jiān)理確保科學(xué)化、公平化、專業(yè)化,才能使SaaS更合理、有效的運營下去。其次,安全制度也非常重要,要建立服務(wù)商與客戶之間的誠信體系,社會方面也需要提供外部的法律支持,使泄露客戶商機的行為能夠收到懲處。良好的信用體系是SaaS安全發(fā)展的一個必要條件。再次,需要加強對人員技術(shù)知識和應(yīng)急安全事件處理能力的培訓(xùn),增強安全管理意識,并遵守安全管理規(guī)范。5.云計算通用安全技術(shù)分析上面分別從IaaS、PaaS以及SaaS角度分析了云安全所面臨的風(fēng)險以及解決方案,有些安全風(fēng)險,在這三層都存在或者不能劃分層次,而在云計算環(huán)境下,安全風(fēng)險的解決方式也會有些變化。5.1云計算中的通用安全防護策略建立可信云,根據(jù)可信計算的思想,可信計算的是由可信任模塊到操作系統(tǒng)內(nèi)核層,再到應(yīng)用層都建立關(guān)系,構(gòu)建信任關(guān)系,并在此基礎(chǔ)上,擴展到網(wǎng)絡(luò)中建立起信任鏈,從而形成對病毒和木馬的免疫。在云端,植入信任根,組成可信鏈,通過可信鏈的擴充組成可信云。安全認(rèn)證。通過單點登錄認(rèn)證,強制用戶認(rèn)證,代理、協(xié)同認(rèn)證、資源認(rèn)證、不同安全域之間的認(rèn)證或者不同認(rèn)證方式相結(jié)合的方式。數(shù)據(jù)加密。加強數(shù)據(jù)的私密性才能保證云計算安全,無論是用戶還是存儲服務(wù)提供商,都要對文件數(shù)據(jù)進行加密,這樣既保證文件的隱私性,又可以進行數(shù)據(jù)隔離。法律和協(xié)議。云計算的穩(wěn)定運行和健康發(fā)展,需要完善的規(guī)章制度與法律保護。5.2傳統(tǒng)安全技術(shù)在云計算下的分析DDoS攻擊通常分為流量型攻擊和應(yīng)用型攻擊。對于流量型攻擊,防范方式與解決方式有流量統(tǒng)計、TCP代理、源探測、會話清洗等多種方法。對于應(yīng)用層攻擊,防范與解決方式則有應(yīng)用協(xié)議格式認(rèn)證、指紋過濾等清洗技術(shù)。這些技術(shù)對于明顯有異常行為的DDoS攻擊流量是很有效的。在云計算環(huán)境下,由于傳統(tǒng)的DDos攻擊防護一般采取被動模式,而新型的DDos一般采取小流量應(yīng)用層攻擊,這種攻擊會造成性能的巨大消耗。對于僵尸網(wǎng)絡(luò)、木馬、蠕蟲的檢測過濾,一個困難就是這些惡意代碼的樣本難于獲得,沒有樣本就無從特征,現(xiàn)在的惡意代碼樣本往往幾天就失效了,收集不到其網(wǎng)絡(luò)通信報文特征也就更難談及檢測和過濾。垃圾郵件,很多都是僵尸網(wǎng)絡(luò)發(fā)起。黑客利用僵尸網(wǎng)絡(luò),不斷的進行大規(guī)模的垃圾郵件發(fā)送,這些主機今天感染了僵尸網(wǎng)絡(luò)發(fā)郵件,明天可能重新上網(wǎng),IP發(fā)生了變化,黑名單很難奏效?;谶@些分析,在云計算環(huán)境下,出現(xiàn)了兩種新型的云安全技術(shù),分別是:自動特征分析以及全網(wǎng)共享、信譽服務(wù)。(1)自動特征分析,該技術(shù)是指云中心端搜集云端上傳的可執(zhí)行文件信息,自動化的進行惡意性分析,識別是否是惡意代碼,如果是惡意代碼,則對其進行自動化檢測,自動分析出其網(wǎng)絡(luò)通信特征,然后云中心端再把這個樣本的特征進行全云設(shè)備的下發(fā),讓云內(nèi)所有設(shè)備的安全知識庫升級。如果用戶設(shè)備購買了這項特征庫服務(wù),也可以通過插入SDK包來享受自動化分析和全網(wǎng)特征共享帶來的好處。這種云安全技術(shù)可以達到主動防御、源頭打擊的目的。(2)信譽服務(wù),是云中心端搜集各個云端設(shè)備的檢測結(jié)果,包括DDoS、僵尸網(wǎng)絡(luò)、垃圾郵件、蠕蟲等,把這些信息涉及的IP、域名、URL記錄下來,利用關(guān)聯(lián)和統(tǒng)計分析,并與域名反查、運營商的帳戶系統(tǒng)、時間因素等結(jié)合起來,形成關(guān)于IP、域名、URL的信譽數(shù)據(jù),云中心端可以利用這些信譽數(shù)據(jù)對云端設(shè)備和用戶設(shè)備提供IP、域名、URL的信譽查詢服務(wù),這樣當(dāng)網(wǎng)絡(luò)設(shè)備面臨難于決策判斷某個IP的當(dāng)前動作是善意還是惡意的時候,結(jié)合其由歷史統(tǒng)計分析得出的信譽黑白名單進行判斷往往是很好的選擇。這也就是信譽分析,知識為云。6.云計算安全的未來展望從信息安全領(lǐng)域的發(fā)展歷程我們可以看到,每次信息技術(shù)的重大革新,都將直接影響安全領(lǐng)域的發(fā)展進程,云計算的安全也會帶來相關(guān)IT行業(yè)安全的重大變革。一下為幾個可能的發(fā)展方向:(1)IT行業(yè)法律將會更加健全,云計算第三方認(rèn)證機構(gòu)、行業(yè)約束委員會等組織有可能出現(xiàn)。只有這些社會保障因素更好的發(fā)展健全,才能從社會與人的角度保證云計算的安全。(2)云計算安全將帶動信息安全產(chǎn)業(yè)的跨越式發(fā)展,信息安全將會進入以立體防御、深度防御等為核心的信息安全時代,將會形成以預(yù)警、攻擊防護、響應(yīng)、恢復(fù)為特征的生命周期安全管理。并在大規(guī)模網(wǎng)絡(luò)攻擊與防護、互聯(lián)網(wǎng)安全監(jiān)管等出現(xiàn)重大創(chuàng)新。(3)如下與云計算相關(guān)的信息安全技術(shù)將會得到更深發(fā)展:可信訪問控制技術(shù)。利用密碼學(xué)方法實現(xiàn)訪問控制,具體實現(xiàn)上,可以考慮基于層次密鑰生成與分配策略實時訪問控制等方式。虛擬安全技術(shù)。虛擬技術(shù)是云計算的基石,在使用虛擬技術(shù)時,云架構(gòu)服務(wù)商需要向其客戶提供安全性和隔離保障。因此虛擬技術(shù)中的訪問控制、數(shù)據(jù)計算、文件過濾掃描、隔離執(zhí)行等安全技術(shù)將會有很好的發(fā)展前景。資源訪問控制技術(shù)。在云計算中,每個云都有自己的不同管理域,每個安全域都管理著本地的資源和用戶,當(dāng)用戶跨域訪問時,域邊界便需要設(shè)置認(rèn)證服務(wù),對訪問者進行統(tǒng)一的認(rèn)證管理。同時,在進行資源共享時,也需要對共享資源進行訪問控制策略進行設(shè)置。7.結(jié)束語云計算的興起,必然伴隨著機會與挑戰(zhàn),同時面臨的安全技術(shù)挑戰(zhàn)也是前所未有。云計算安全設(shè)計技術(shù)領(lǐng)域,同時還面對標(biāo)準(zhǔn)化、法律法規(guī)、行業(yè)道德、監(jiān)管模式等的挑戰(zhàn)。需要IT領(lǐng)域、信息安全領(lǐng)域,乃至整個社會的研究者共同探索解決之道。本文從云計算簡介入手,簡單的介紹了當(dāng)前國內(nèi)外主要廠商的云計算平臺,進而轉(zhuǎn)入云安全討論,從云計算體系結(jié)構(gòu)開始,系統(tǒng)的介紹了每層所面對的風(fēng)險與對策,再次基礎(chǔ)上介紹了國內(nèi)外云安全廠商的解決方案。最后,文章分析了云安全的現(xiàn)狀與未來展望。參考文獻1馮登國,張敏,張妍,徐霞,云計算安全研究,軟件學(xué)報,2011,22(1):71832劉飛,張立濤,張志慧,SaaS模式存在的安全隱患及對策研究,syssecurity系統(tǒng)安全,第39期3楊勃,云計算商業(yè)價值及應(yīng)用,云計算應(yīng)用,2010年9月4陳丹偉,黃秀麗,任勛益,云計算以及安全分析,計算機技術(shù)與發(fā)展,2010年2月.- 1.請仔細(xì)閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
10 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該PPT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 計算 技術(shù) 安全 分析
鏈接地址:http://m.italysoccerbets.com/p-13171147.html