什么是云計算安全?
云計算安全或云安全指一系列用于保護云計算數據��、應用和相關結構的策略����、技術和控制的集合�����,屬于計算機安全��、網絡安全的子領域����,或更廣泛地說屬于信息安全的子領域。
云計算安全可以促進云計算創新發展��,將有利于解決投資分散����、重復建設、產能過剩�����、資源整合不均和建設缺乏協同等很多問題��。
云計算的定義
云計算是一種按使用量付費的模式����,這種模式提供可用的、便捷的����、按需的網絡訪問,
進入可配置的計算資源共享池(資源包括網絡�����,服務器�����,存儲��,應用軟件�����,服務)��,這些資源能夠被快速提供,只需投入很少的管理工作�����,或與服務供應商進行很少的交互�����。
隨著云計算逐漸成為主流��,云安全也獲得了越來越多的關注�����,傳統和新興的云計算廠商以及安全廠商均推出了大量云安全產品�����。但是����,與有清晰定義的“云計算”(NIST
SP 800-145和ISO/IEC 17788)不同,業界對“云安全”從概念����、技術到產品都還沒有形成明確的共識��。
主要有三種系統類別:IaaS, PaaS, IaaS:
SaaS:傳統軟件用戶將其安裝到硬盤然后使用。在云中�����,用戶不需要購買軟件����,而是基于服務付費。它支持多租戶�����,這意味著后端基礎架構由多個用戶共享����,但邏輯上它沒每個
用戶是唯一的。
PaaS:PaaS將開發環境作為服務提供����。開發人員將使用供應商的代碼塊來創建他們自己的應用程序。該平臺將托管在云中��,并將使用瀏覽器進行訪問�����。
IaaS:在IaaS中,供應商將基礎架構作為一項服務提供給客戶����,這種服務以技術,數據中心和IT服務的形式提供�����,相當于商業世界中的傳統“外包”��,但費用和努力要少得多��。主要目的是根據所需的應用程序為客戶定制解決方案����。
云計算與云安全的關系
云安全(Cloud
Security)是一個從“云計算”演變而來的新名詞。云安全就是基于云計算商業模式的安全軟件��、硬件�����、用戶��、機構安全云平臺的總稱。它通過對網絡軟件的行為進行監測�����,獲取互聯網中木馬�����、惡意程序的最新信息�����,并發送到服務端進行自動分析和處理��,再把病毒和木馬的解決方案分發到每一個客戶端�����。
從發展的脈絡分析����,“云安全”相關的技術可以分兩類:
—— 一類為使用云計算服務提供防護�����,即使用云服務時的安全(security for using the cloud),也稱云計算安全(Cloud
Computing Security),一般都是新的產品品類;
—— 一類源于傳統的安全托管(hosting)服務�����,即以云服務方式提供安全(security provided from the
cloud)�����,也稱安全即服務(Security-as-a-Service, SECaaS)����,通常都有對應的傳統安全軟件或設備產品。
“安全即服務”和“云計算安全”這兩類“云安全”技術的重合部分�����,即以云服務方式為使用云計算服務提供防護����。
云計算的三種服務模式
基于云計算的服務模式、部署模式和參與角色等三個維度�����,美國國家標準技術研究院(NIST)云計算安全工作組在2013年5月發布的《云計算安全參考架構(草案)》給出了云計算安全參考架構(NCC-SRA����,NIST
Cloud Computing Security Reference Architecture)。
NIST云計算安全參考架構的三個構成維度:
云計算的三種服務模式:IaaS����、PaaS�����、SaaS
云計算的四種部署模式:公有����、私有、混合����、社區
云計算的五種角色:提供者、消費者�����、代理者、承運者����、審計者
云計算具有以下特點:
—虛擬化:云計算支持用戶在任意位置、使用各種終端獲取應用服務����。
—規模化整合:云里的資源非常龐大��,在一個企業云可以有幾十萬甚至上百萬臺服務器��,在一個小型的私有云中也可擁有幾百臺甚至上千臺服務器���。
—高可靠性:云計算使用了多副本容錯技術���、計算節點同構可互換等措施來保障服務的高可靠性,使用云計算比使用本地計算機可靠���。
云安全包含的風險
云服務因其總體架構���、網絡部署�、運維服務具有相似性����,面臨著共性安全風險,以下從基礎設施���、網絡部署����、云上應用����、運維服務四個方面進行安全風險分析����。其中,基礎設施是指為云上應用提供運行環境的軟硬件及管理編排系統����。
(1) 基礎設施安全風險
主要包括:物理環境及設備安全風險�、虛擬化安全風險�、開源組件風險、配置與變更操作錯誤�、帶寬惡意占用、資源編排攻擊���。
(2) 網絡部署安全風險
主要包括:數據泄露���、身份和密鑰管理、接入認證�、跨數據中心的橫向攻擊、APT等新型攻擊���。
(3) 云上應用安全風險����。
主要包括:API接口安全���、無服務器攻擊�、DOS攻擊���、跨租戶/跨省橫向攻擊����、跨工作負載攻擊、云服務被濫用及違規使用���、用戶賬號管理安全���、核心網攻擊。
(4) 運維服務安全風險�。
主要包括:管理接口攻擊、管理員權限濫用����、漏洞和補丁管理安全、安全策略管理���。
視頻會議
滬公網安備 31011202009659號