云计算安全技术.pptx
- 文档编号:30578335
- 上传时间:2023-08-17
- 格式:PPTX
- 页数:40
- 大小:1.07MB
云计算安全技术.pptx
《云计算安全技术.pptx》由会员分享,可在线阅读,更多相关《云计算安全技术.pptx(40页珍藏版)》请在冰豆网上搜索。
云计算安全技术,目录,第页,云安全概述云安全设计原则和策略云安全架构网络安全虚拟化软件安全数据安全运维安全基础设施安全,云计算带来新的安全威胁,存虚拟化平台运行在操作系统与物理设备之间,其设计和实现中存在漏洞风险应用与数据安全不同安全需求的租户可能运行在同一台物理机上,传统安全措施难以处理网络与边界安全网络边界的模糊化,传统的边界防护手段在虚拟网络中无法直接使用身份与安全管理应用系统和资源所有权的分离,导致云平台管理员可能访问用户数据,虚拟化(安全隔离),失去本地资源控制合规性隐私保护公有云,多租户系统行为取证资源隔离,地理隔离数据位置限定当地法律遵从,安全虚拟化虚拟化安全设施监控APIs数据安全私有云(虚拟化数据中心)系统与虚拟化安全,易受到分布式DoS攻击安全边界模糊位置感知的接入鉴权不受控的终端虚拟化安全虚拟机间攻击休眠虚拟机安全风险虚拟机调度安全风险安全合规性系统行为取证,第页,第页,云计算安全威胁分析
(1),第页,云计算安全威胁分析
(2),云计算安全风险关注要点,管理员安全系统可用性数据的安全虚拟机隔离及访问控制,流量监控与审计,第页,目录,第页,云安全概述云安全设计原则和策略云安全架构网络安全虚拟化软件安全数据安全运维安全基础设施安全,云计算安全设计原则,门禁、机房监控系统、云监控,集中用户管理和认证、集中日志审计,虚拟机隔离、虚拟防火墙,恶意VM预防,防火墙、IDS/IPS、Anti-DDOS、僵尸网络/蠕虫检测、网络平面隔离、传输安全(SSL、VPN),系统完整性保护、OS/DB/Web加固、安全补丁、病毒防护等,物理安全基础设备网络安全管理安全虚拟化数据虚拟化管理安全网络安全基础设备物理安全,内容监管、SOX法案、SAS70、PCI/HIPAA等其他:
法律法规的遵循数据隔离、数据访问控制、剩余信息保护、数据盘加密存储、存储位置要求,第页,华为“端管云”立体信息安全防护策略,云平台,客户端软件网络应用桌面应用,数据安全文件加密及权限控制VM磁盘加密数据容灾备份虚拟机终端安全,终端安全USB端口策略管控禁止直接访问内置存储补丁和升级管理防截屏高度的系统裁剪和加固与身份认证系统和三合一结合桌面终端,接入控制/传输安全多种用户接入认证(Ukey/指纹/令牌)防止非法接入传输通道加密传输通道精细化管理与CA身份认证网关结合网络安全硬件防火墙虚拟化VSA安全接入网关平面隔离入侵防护VxLAN安全组(Hypervisor虚拟防火墙)接入、网络,云平台安全操作系统/数据库加固防病毒安全补丁虚拟化隔离Web安全可信虚拟机Hypervisor虚拟防火墙平台、数据,管理,用户验证信息用户个人数据企业办公数据,运维人员,UserA,UserB运维管理安全统一账户管理及认证日志审计堡垒主机,集中的维护入口和审计分权分域-三权分立,本课程讨论范围,第页,目录,第页,云安全概述云安全设计原则和策略云安全架构网络安全虚拟化软件安全数据安全运维安全基础设施安全,FusionSphere总体安全框架,第页,云平台安全:
网络传输安全虚拟机隔离数据存储安全运维管理安全:
从帐号密码、用户权限、日志、传输安全等方面增强日常运维管理方面的安全措施物理主机的安全:
修复Web应用漏洞、对操作系统和数据库进行加固、安装安全补丁和防病毒软件等手段,目录,第页,云安全概述云安全设计原则和策略云安全架构网络安全虚拟化软件安全数据安全运维安全基础设施安全,网络平面隔离,FusionSphere的网络通信平面划分为业务平面、存储平面和管理平面,且三个平面之间隔离存储平面与业务平面、管理平面间物理隔离管理平面与业务平面间是逻辑隔离通过网络平面隔离保证管理平台操作不影响业务运行,最终用户不能破坏基础平台管理业务平面为用户提供业务通道,为虚拟机虚拟网卡的通信平面,对外提供业务存储平面为iSCSI存储设备提供通信平面,并为虚拟机提供存储资源,但不直接与虚拟机通信,而通过虚拟化平台转化管理平面负责整个云计算系统的管理、业务部署、系统加载等流量的通信,第页,安全组,通过虚拟网桥实现虚拟交换功能,虚拟网桥支持VLANtagging功能,实现VLAN隔离,确保虚拟机之间的安全隔离虚拟网桥的作用是桥接一个物理机上的虚拟机实例,VIF,第页,虚拟磁盘文件,Vm1(192.168.1.1)sshVm1(192.168.1.1)SG2access,第页,虚拟机实例可以动态地加入和删除安全组,实现虚拟机间的互通或阻隔。
使用防火墙将导致配置的管理复杂性提高和效率降低。
安全组可以完成虚拟机的授权、安全组间的授权访问安全组规则可以随虚拟机动态迁移安全组1安全组2安全组3,第页,防IP、MAC仿冒&DHCP隔离,通过IP和MAC绑定方式实现:
防止虚拟机用户通过修改虚拟网卡的IP、MAC地址发起IP、MAC仿冒攻击,增强用户虚拟机的网络安全具体技术能力包括通过DHCPsnooping生成IP-MAC的绑定关系,然后通过IP源侧防护(IPSourceGuard)与动态ARP检测(DAI)对非绑定关系的报文进行过滤在虚拟交换层执行虚拟机安全策略,支持对虚拟机的DHCP隔离,禁止用户虚拟机启动DHCPServer服务,防止用户无意识或恶意启动DHCPServer服务,影响正常的虚拟机IP地址分配过程,第页,广播报文抑制,在服务器整合、桌面云等企业应用场景,如果发生网络攻击或病毒发作等引起的广播报文攻击,可能造成网络通信异常,此时可以开启虚拟交换机的广播报文抑制功能虚拟交换机提供虚拟机虚端口发送方向ARP广播报文和IP广播报文的抑制开关,以及抑制阈值设置功能。
可以通过开启虚拟机网卡所在端口组的广播包抑制开关设置阈值,减少过量广播报文对二层网络带宽的消耗管理员可以通过系统Portal,基于虚拟交换机端口组对象,配置广播报文抑制开关、ARP广播报文抑制阈值、IP广播报文抑制阈值,VPC虚拟私有云,VPC(虚拟私有云)现数据中心基础上的局域网功能,一个VPC相当于一个局域网。
VPC通过VPN(VirtualPrivateNetwork)等方式也可以连接到外部网络,实现局域网与外网的互通。
VPC作为企业数据中心的延伸,减少企业的对于数据中心的投资降低企业的CPEX和OPEXVPC保证不同企业在网络和云中完全隔离VPC客户按需分配,动态增加、删除、扩展数据中心VPC企业自助配置IP,VPN资源,企业B网络,VPNA,企业A网络,企业A,第页,企业B,VPNB,公网,VPNGW,VPNGW,VPNGW,网络安全总结,云存储,云管理,企业B,企业C,企业A,企业B,企业C,企业AVLAN隔离,安全组隔离VPN隔离,基础设施物理隔离,第页,VPNAVPNBVPNC,VLANAVLANB,VLANC,云数据中心云计算,端到端网络隔离保证租户的安全,基础设施的云管理平台、云存储平台、云计算平台物理隔离虚拟机之间安全组隔离、VLAN隔离支持对虚拟机的DHCP隔离不同企业租户之间VPC隔离不同企业租户之间VPN隔离基础设施与公网之间通过防火墙隔离,目录,第页,云安全概述云安全设计原则和策略云安全架构网络安全虚拟化软件安全数据安全运维安全基础设施安全,安全的Hypervisor,Domain0,VLAN1,VLAN2,计算资源统,一分配模块,虚拟机2AppOS,虚拟机1AppOS,虚拟机3AppOS,虚拟机4AppOS,CPU分时管理,内存分块管理,+,Hypervisor,硬件,vSwitch,隔离物理资源与虚拟资源,由Hypervisor对资源进行统一部署与管理vSwitch隔离虚拟机网络资源,划分安全组,第页,虚拟机安全隔离,计算虚资拟源硬件统一分配模块,OS,虚拟机2App,虚拟机1GAupepstOSOS,vcpu1,vcpu1,vcpu2,vSwitch,VirtualMachine,Hypervisor,HW,第页,物理资源与虚拟资源的隔离Hypervisor统一管理物理硬件资源,保证每个虚拟机都能获得相对独立的资源;屏蔽虚拟资源故障,虚拟机崩溃不影响Hypervisor及其他虚拟机,虚拟机之间的隔离Hypervisor从物理层面隔离虚拟机各类资源,使得虚拟机在整个生命周期内互不可见,避免虚拟机之间的数据窃取或恶意攻击支持定制每个虚拟机的资源配额,保证虚拟机的资源使用不受周边虚拟机的影响,基于TPM/TCM的可信云平台,利用服务器上TPM芯片,提供ClouldOS完整性保护方案,实现云平台的可信启动和可信运,行。
符合TPM/TCM规范,虚拟化平台/Hypervisor,TPM,可信度量根(可选2):
IntelTXT安全扩展,度量/信任链传递,保存度量值,报告度量值/可信状态,信存储根信报告根,应用程序/虚拟机,CPU,BIOS,引导扇区/Bootloader硬件ROM,计算节点,可信验证服务器,虚拟化管理服务器,可信度量根(可选1):
UEFIBIOS安全启动,第页,目录,第页,云安全概述云安全设计原则和策略云安全架构网络安全虚拟化软件安全数据安全运维安全基础设施安全,第页,数据访问控制,虚拟机所有的I/O操作都会由Hypervisor截获处理,Hypervisor保证虚拟机只能访问分配给该虚拟机的物理磁盘,实现不同虚拟机之间的用户数据隔离系统对每个卷定义不同的访问策略,没有访问该卷权限的用户不能访问该卷,只有卷的真正使用者(或者有该卷访问权限的用户)才可以访问该卷,每个卷之间是互相隔离的对虚拟机磁盘卸载和挂载操作能独立授权,且有详细的日志记录用于审计,剩余信息保护,对高安全要求的场景,系统支持在虚拟磁盘回收时对所有bit位进行清零数据中心的物理硬盘更换后,需要数据中心的系统管理员采用消磁或物理粉碎等措施保证数据彻底清除,00000000,用户A,1租用,2使用,3退租,123#!
123#!
用户B,4租用,第页,虚拟卷,对虚拟卷每一个物理Bit位清“零”,数据盘加密,为防范非法用户访问用户虚拟机磁盘数据,FusionSphere提供虚拟机磁盘加密解决方案通过在用户虚拟机中部署加密进程,加密进程对虚拟机磁盘加密系统(VES)包含虚拟机磁盘加密管理模块(VEM)和虚拟机磁盘加密客户端代理(VEA)两个模块VEM负责授权客户端使用加密功能、登记客户端信息、安全地存储加密密钥、备份关键信息,并且对外提供管理接口VEA提供磁盘加密证书配置、选择待加密磁盘的本地UI,通过磁盘过滤驱动对虚拟机数据盘进行加密保护,技术特点,第三方CA或企业已有CA,自助注册登陆VM,企业IT管理员证书、USBkey发放用户,证书发放,系统结构图,加密机,密钥托管服务,虚拟机管理系统,加密业务管理,接口对接,云数据中心,VEM(加密业务管理模块),密文,Hypervisor存储设备,加解密Agent明文,业务流程交互VM用户磁盘,加密原理,证书非对称加密,密钥对称加密磁盘,由用户掌握,由VEM管理磁盘加密,第页,目录,第页,云安全概述云安全设计原则和策略云安全架构网络安全虚拟化软件安全数据安全运维安全基础设施安全,管理员分权分域管理,管理员对设备和业务的管理,支持“分权分域管理模式”,遵循NIST标准的RBAC模型,支持灵活的创建角色和管理员,使得管理员不能越权管理,虚拟化网络交换层虚拟化操作系统Serve,r,Storage,UseOS,UsrOS,虚拟化网络交换层虚拟化操作系统,Server,Storage,UseOS,UseOS,集群1,集群2,FW,管理员C,管理员B,管理员A,管理网络,越权操作,越域操作,第页,第页,账号口令安全,账号口令满足复杂度要求,认证模块支持防暴力破解账号口令加密存储对需要还原成明文的口令,采用AES128算法对不需要还原成明文的口令,采用SHA256云平台机机账号和人机账号分离,支持口令回收机机账号回收一个应用对应一个机机账号,由应用提供UI界面修改本端及服务端口令人机账号回收用户手工回收或与第三方账号密码管理系统对接,第页,完整的操作日志记录,管理员操作记录的日志内容详实,能够支撑审计,包括操作名称、操作用户、用户IP、级别、开始时间、结束时间、操作结果、失败原因、详细信息等日志支持快速搜索,支持搜索的关键字包括:
操作用户、操作时间日志支持导出,日志定期备份,管理数据传输加密,数据在传输过程中可能遇到被中断、复制、篡改、伪造、窃听等威胁,因此需保证信息在网络传输过程的完整性,机密性和有效性管理员访问管理系统时,华为云平台采用HTTPS方式传输通道采用SSL加密,FW,管理员,管理网络,虚拟化网络交换层,虚拟化操作,Serv系,er,Storage,r,UsOS,r,UsOS,HTTPS,管理系统,第页,目录,第页,云安全概述云安全设计原则和策略云安全架构网络安全虚拟化软件安全数据安全运维安全基础设施安全,操作系统加固,完整性保护,安全测试,安全配置,由于软件存在bug,在安全上就可能引起相应的漏洞,通过对操作系统、数据库、应用的加固以及补丁管理,可以修补这些漏洞华为具备业界领先的的产品开发流程(IPD)和成熟的安全开发经验,包括一整套的从需求、设计到开发与测试规范与工具系统加固,操作系统加固,数据库加固,应用加固(Web加固),加固领域,加固流程,具体方法,裁撤不必要的组件、服务等,代码遵从代码规范,遵从业界配置加固规范,如CIS,采用业界扫描工具如Appscan,完整性校验工具实现审查,代码安全,最小化裁剪,补丁管理,防病毒,第页,第页,数据库加固,数据库管理的是客户最关键的数据资产,在整个安全体系设计中应处于核心的地位,数据库安全出事故意味着:
用户密码泄密、帐户余额篡改企业面临巨额赔偿或惩罚品牌与形象受损,Web安全,Web服务器加固操作系统加固,Web安全代码。
华为具备业界领先的的产品开发流程(IPD)和成熟的Web应用开发经验,包括一整套的从需求、设计到开发与测试规范与工具,确保web应用代码没有漏洞Web服务器、操作系统与数据库加固。
华为具有多年的操作系统、Web服务器、数据库的加固经验IPS/IDS与Web应用防火墙集成。
华为IPS与Web应用防火墙将有效防范SQL注入、XSS跨站点脚本攻击等常见Web应用攻击WEB应用防火墙,数据访问控制数据库加固,FWSSLVPN,IPS/IDS,Web安全代码操作系统加固,第页,防病毒,管理节点:
各管理节点上部署兼容Suse11的防病毒软件,防止FusionSphere遭受病毒入侵计算和存储节点:
由于采用裁剪及安全加固的Linux操作系统,病毒感染风险极低,不建议安装防病毒软件用户虚拟机:
支持统一部署防病毒服务器,计算集群,存储,管理集群,第页,虚拟机防病毒技术,部署一台单独的VM部署第三方安全厂商的防病毒;相对传统防病毒的优点:
,可避免同一台物理上不同VM同时扫描病毒带来的AV风暴问题解决数据中心内部VM之间的攻击相对于在VM上安装传统的防病毒、IPS、FW,能大幅提高性能,HuaweiUVPHypervisor,DOMAIN-0,DOMAIN-U,NetworkandFSDeviceDrivers,HookLayerController,Domain-UDevices,SecurityAPI,SECURITYVM3rdPartySecurityAnti-Virus,PhysicalDeviceDrivers,Domain-UDevices,HookLayer,ClientAgent,防病毒管理中心,第页,第页,安全补丁,虚拟化平台安全补丁虚拟化平台的管理节点中部署了补丁服务器,具有自动补丁安装、测试功能。
用户虚拟机安全补丁FusionSphere没有针对用户虚拟机提供额外的安全补丁机制。
请客户根据操作系统安全补丁官方的发布情况,结合实际的使用需求,为用户虚拟机定期安装安全补丁(Windows补丁,可通过WSUS管理和发布),谢谢,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算 安全技术