模块2:云计算基础设施安全课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《模块2:云计算基础设施安全课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 模块 计算 基础设施 安全 课件
- 资源描述:
-
1、 模块2:云计算基础设施安全1 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.学习目标 云计算基础设施的组件 不同部署模型的安全情况 基于虚拟基础设施工作的安全优点和缺点 如何保护云管理平面的安全 不同服务模型的安全基本知识2 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.云基础设施安全3 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.保护
2、底层基础设施4 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.举例:IaaS如何工作5VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor计算池 管理协调存储池管理协调计算控制器存储/容量控制器管理网络(使用API库) 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.公共云 vs.私有云6VMVMHypervisorVMVMHypervisorVMVMHypervis
3、orVMVMHypervisor计算池管理协调存储池管理协调在公共云中,你只能控制你购买的部分,附加很少的管理能力管理网络(使用API库)计算控制器存储/容量控制器 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.基础设施组件8Image Service镜像服务Identity Service身份服务 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.基础设施组件案例9Image ServiceIdentity ServiceAl
4、l of these core components need to be securely configured, patched, hardened, and maintained.所有核心组件都需要进行安全配置、更新补丁、加固和维护 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.保护云基础设施10 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.加固主机和服务 加固主机 所有云仍运行在硬件之上,因此关于数据中心安全的所有
5、知识还都适用,服务器和服务需要进行适时的更新,建设时需要有冗余的措施,以使得更新数据库或消息服务器时不需要停止云的运行 加固和隔离主机上的服务 云运行在一组服务上并将这些服务整合在一起,每个服务都跟其它服务器一样需要被保护。如果攻击者入侵了云中的任何一个组件,它们就可能控制你的整个云系统,因此应关掉不使用的任何功能。 有些云服务总想以不必要的较高的权限来运行(比如使用一个数据库root帐号)你需要尽量让每个服务以尽可能低的权限来运行。11 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.关于物理安全 云中心的选
6、址:避开地震带,洪水易侵蚀的地区,考虑当地的犯罪率、政治稳定情况、供电等。 边界安全的4D手段:阻止deter、检测detect、延缓delay、否决deny 机房的基础设施建设:防火、防水、防盗措施 在选择云服务前,用户需要与服务提供商充分的沟通,了解其在物理安全方面的保障能力,以及改进的能力,从而判定是否满足自身的风险偏好。 关于灾备与恢复计划:定义恢复点和恢复时间目标,选择运服务时需要考虑云中心的位置、风险程度,以及恢复要素的记录是否与目标一致 云备份和灾难恢复服务的目标是:降低云服务提供商为客户付出的基础设施、应用和总体业务过程的成本11 2012 Securosis LLC and
7、Cloud Security AllianceAll Rights Reserved.虚拟机管理程序安全12 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.IaaS网络13 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.架构安全考虑14 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.保护架构15使用信任/可用区进行隔离以满足安全和合规要求普
8、通区安全区VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor网络池A网络池C网络池B存储池A存储池C 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.Management Plane Security管理平面安全16 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.管理平台 关键功能虚机迁移虚机供应启动/停机配置资源池 计算 存储 网络(V
9、LAN)安全考虑鉴权访问控制日志/监控 管理平面是私有云的关键点,需要进行精细的保护17 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.信任状管理 Resources to help Shlomo Swidler - Mitch Garnaat - 18 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.云管理中的IAM(身份和访问管理) 基于角色的访问控制 不同提供商/平台管控粒度不同 不同产品线管控粒度不同 寻找集成外部SS
10、O或者目录服务的能力 调研第三方工具19 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.虚拟主机和网络的安全20 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.Host Security主机安全21 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.虚拟化考虑 不同的hypervisor/虚拟化技术以及云平台的组合包含了不同安全特征和选项集合。
11、在一个私有云(不论是位于内部还是外部)部署中处理虚拟化技术时通常需要考虑的一些问题: 你或你的提供商采用的是什么类型的虚拟化? 在提供层次化的安全保护中使用了何种第三方的安全技术? 虚拟机中采用了什么安全控制?采用了何种日志审计手段?服务合同中是否限定了服务商应提供一定级别的安全? 虚拟机中的安全机制是否被用来提供底层平台的监控?22 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.虚拟网络23 虚拟网络与安全 虚拟网络与物理网络面临的安全问题是类似的. 虚拟网络总是运行在物理网络之上. 虚拟网络提供了一种更简
12、单的层次栈以构建私有云 更多的控制是通过VLAN提供的. 虚拟网络对网络安全监测和控制带来了显著的变化 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.虚拟网络24服务器1服务器2物理网络VMVMVMVMVMVM虚拟网络虚拟网卡!物理网卡 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.失去网络可视性25服务器1服务器2物理网络VMVMVMVMVMVM虚拟网络虚拟化后物理网络服务器1服务器2虚拟化前 2012 Securosis
13、 LLC and Cloud Security AllianceAll Rights Reserved.虚拟防火墙26 虚拟防火墙是作为网络服务或者设备运行的防火墙的一个虚拟化实例 虚拟防火墙可以以桥模式或者hypervisor模式运行 可以作为一个设备部署,也可以安装到一个虚拟机上 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.物理网络Server 2虚拟防火墙27Server 1VMVMVMVMVMVM桥接虚拟防火墙FW物理网络Server 2Server 1VMVMVMVMVMVMFWFWHypervi
14、sor虚拟防火墙 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.软件定义网络(SDN)提供了一个分离的控制平面,使得安全保护更加容易OpenFlow是SDN的一个例子 管理员可实现远程访问控制管理典型情况下采用基于角色的访问控制进行访问管理28 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.网络安全建议 评估你的hypervisor及云平台的监控和强制选项 识别存在的差距 利用云平台特定的改进措施或主机保护措施进行弥补 通常
展开阅读全文