云安全如何演变出一种全新的安全威胁防御思路
“云安全”是“云计算”技术的重要分支,已经在反病毒领域当中获得了广泛应用。云安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。整个互联网,变成了一个超级大的杀毒软件,这就是云安全计划的宏伟目标,那云安全如何演变出一种全新的安全威胁防御思路呢?
一个“云安全”的服务至少要满足以下3个基本条件:
用户可以自行向“服务云端”按需订购相应的安全服务;
用户可以随时了解所购买的“云服务”的即时服务效果;
用户可以从“服务云端”获取自己购买了相应的安全服务以来的历史状况等分析结论。
我们可以非常清楚地看到,“云安全”既不是云计算的安全,也不是安全的云计算;它是云计算技术在信息安全领域的应用,是一种新的信息安全服务模式。无论“云安全”只是一个噱头,还是一种趋势,它起码让更多的人认识到“云计算”应用到安全领域,将会为安全领域带来巨大的变化。
云安全国内发展现状、瓶颈与未来
那么,国内的情况呢?可以发现,国内的云安全服务市场还很初级,发展相当滞后,大部分都停留在概念阶段或者是噱头阶段。
国内云安全服务发展的瓶颈,或者说障碍包括:
1、云安全服务的商业模式没有建立起来,包括不知道如何盈利、不知道怎么运营、不知道怎么管理。
2、国内云安全服务的业链配套没有建立起来,即使有云计算平台的架构,也没有太多的适合云计算架构的云服务产品。
3、国内云安全概念泛滥,滥竽充数的厂家太多,导致用户对云安全的预期降低。
4、国内信息安全市场传统的观念,缺乏“信任”,“宁可买设备了不用,也不买服务”,以及对云安全服务的认知不够。
诚然,现在国内的安全厂家,或者IT服务提供商,甚至运营商都在试水这块市场,纷纷推出了各自的云安全服务,不过整体来看这些云安全服务大多数是停留在概念阶段,有实质性内容的还并不多。
天融信的云安全服务
天融信作为国内信息安全行业的领军企业,并没有早早杀入云安全市场,打着云安全的招牌,推出各种实质上与云安全关系并不密切的产品及服务。但是这种低调并不代表天融信不重视,或者缺乏相应的技术积累。其实,天融信在云安全技术方面已经经过了近三年的积累和
完善。目前,天融信的云安全服务已经成熟,并且已经开始运用在很多行业。
天融信“云安全服务”是由“可感知的云安全服务”和“专业安全服务”组成。其中“可感知的云安全服务”利用天融信的技术优势以及多年来和运营商共建安全运营中心的经验,通过远程云监控与运中心安全专家相结合的方式,解决企业客户自身网络系统的安全监控、业务连续性,预警等安全运营问题,并提供可至用户现场的安全事件应急处理服务,从而降低网络攻击事件给用户造成的损失。
“可感知的云安全服务”首先通过云监控、云扫描等对用户的网站等应用信息进行远程的安全监控,再通过天融信安全运营平台的云分析模块与安全专家分析相结合的方式,帮助客户分析可能发生的各类攻击事件及潜在的安全威胁,针对高风险事件及时发出预警,并提供解决方案建议;提供专业安全技术人员的现场服务,可帮助客户对安全事件进行处理,并对信息系统存在的安全漏洞进行检查与修复,帮助客户提高自身的网络安全水平。
专业安全服务是天融信向用户提供的安全咨询、安全集成、安全评估、安全设备租赁及安全加固等一系列安全服务包,为用户提供安全政策合规性咨询与设计,安全体系架构规划与设计,安全系统集成与实施工作,帮助用户构建安全基础设施和安全管理体系,应对国家安全法规和政策的要求,提供系统安全整体解决方案。目前天融信云安全服务只向天融信的老用户提供体验服务,在服务过程中得到了这些对安全要求很高的老用户的一致好评。
云安全云计算的安全风险、模型和策略
云安全:云计算的安全风险、模型和策略 在这篇文章中,我们将着重探讨云计算中与安全相关的各类问题,例如云计算供应商采用的安全模式,企业在使用云计算平台中应该考虑的安全风险和采取的安全策略等。 需要强调的一点是:本文涉及的“云安全”并非是目前国内反病毒业界中非常热门的“云安全”、“云查杀”这类反病毒技术。“云安全”反病毒技术只是将云端的计算和商用模式应用到反病毒领域。换句话说,是云计算在一个特定领域的应用。 本文讨论的是通用意义上的云安全(Cloud Security)。它的影响范围和对象要比“云安全”反病毒技术广泛得多。云安全涉及的不仅仅是云计算中的相关技术,如虚拟化技术等的安全问题,而且还需要全面考虑和评估云计算所带来的潜在的技术、政策、法律、商业等各方面的安全风险。 云计算中的安全风险 云计算的服务和计算分配模式 按通用的理解,云计算是基于网络,特别是基于互联网的计算模式。在云计算模式下,软件、硬件、数据等资源均可以根据客户端的动态需求按需提供(on-demand)。某种意义上,云计算的运营模式类似于电力、供水等公用设施,只不过它所提供的服务是计算资源。 云计算中提供的服务有三个层次: ?SaaS(Software as a serv-ice):软件即服务 ?PaaS(Platform as a serv-ice):平台即服务 ?IaaS (Infrastructure as a service):基础设施即服务 事实上,云计算中涉及的许多技术,如虚拟化(virtualization)、SaaS等并不是全新的技术。最为基本的在线邮件服务功能,如Gmail、Hotmai都已经运营一段时间了。PaaS 虽然是一个比较新的概念,但构造它的组件(如SOA)也不是新技术。那么云计算中最重要的改变是什么? 云计算带来的是一种全新的商业模式。它改变的是计算分布或分配的模式(par-adigm)。 根据计算分配模式的不同,云计算又可分为: ?公用云(Public Cloud):通过云计算服务商(Cloud Service Provider - CSP)来提供公用资源来实现。这些资源同其他云计算用户共享,没有私用专有的云计算资源。 ?私用云(Private Cloud):可以通过内部的IT部门以动态数据中心的方式来运行,或者由CSP来提供专用资源来运行。这些专用资源不与其他云计算用户共享。 ?混合云(Hybrid Cloud):可以通过公用云和私有云的组合来实现,或者是基于社区、特定行业、特定企业联盟来实现。 影响云计算模式的安全因素
数据中心--医疗影像云云安全解决方案
目录 第1章项目建设背景与方案设计原则 (2) 第2章医疗影像云建设需求分析 (2) 2.1云平台的基础安全保障 (2) 2.2云环境下安全责任分类界定 (4) 2.3云环境下引入的特有安全需求 (5) 第3章医疗影像云云安全建设方案 (6) 3.1平台安全架构设计 (6) 3.2医院接入架构设计 (7) 3.2.1前置机接入安全设计 (7) 3.2.2专线接入安全设计 (7) 3.3平台安全区域边界设计 (8) 3.3.1网络接入域 (8) 3.3.2内网业务区 (8) 3.3.3安全管理区 (9) 3.4平台安全设备汇总 (9) 第4章医疗影像云云安全解决方案技术特点 (10) 4.1部署架构 (10) 4.1.1南北向安全服务流 (11) 4.1.2东西向安全服务流 (11) 4.2东西向安全服务设计 (11) 4.2.1安全服务交付形式 (11) 4.2.2安全服务交付内容 (12) 4.3南北向安全服务交付设计 (12) 4.3.1安全接入服务 (12) 4.3.2安全防御服务 (13) 4.3.3应用交付服务 (14)
第1章项目建设背景与方案设计原则 ◆统一规范 遵循在统一的框架体系下,参考国际国内各方面的标准与规范,严格遵从各项技术规定,做好整个医疗影像云系统的标准化设计与部署。 ◆成熟稳定 本次建设方案采用的是成熟稳定的技术和产品,确保能够适应各方面的需求,并满足未来业务增长及变化的需求。 ◆实用先进 为避免投资浪费,方案设计不仅要求能够满足目前业务使用的需求,还必须具备一定的先进性和发展潜力,具备纵向扩增以及平滑横向扩展的能力,以便IT基础架构在尽可能短的时间内与业务发展相适应。 ◆安全可靠 由于医疗影像云属于对医疗系统提供公共服务的云平台,因此针对平台自身业务熟悉,结合国家对云平台的相关建设要求和标准,本次云平台安全体系建设参考和采用以下相关国家标准: 信息系统安全保护等级定级指南(GB/T 22240-2008) 信息系统安全等级保护基本要求(GB/T 22239-2008) 信息系统安全等级保护实施指南(国家标准报批稿) 信息系统安全等级保护测评准则(国家标准报批稿) 信息系统等级保护基本要求-云计算要求-标准草案 第2章医疗影像云建设需求分析 2.1云平台的基础安全保障 云平台的基础安全保障,是云服务方所需承担的基本、必须义务。提供SAAS服务的云
最新版云计算重要领域云安全指南
最新版云计算重要领域云安全指南
CEO的来信 我对这个社区的云安全最佳实践的最新贡献感到非常激动,这一实践始于2009年4月发布的云安全联盟最初的指导文件。我们希望您能仔细研究这里列出的问题和建议,与您自己的经 验相比较,并向我们提供您的反馈。非常感谢所有参与这项研究的人。 最近,我有机会与帮助建立云安全联盟的一位行业专家共度一天。他表示,CSA已经完成了最初的任务,即为了证明云计算可以安全,并提供必要的工具来实现这一目标。CSA不仅帮助云计算成为信息技术的可靠安全选择,而且今天的云计算已经成为IT的默认选择,并且正在以非常深远的方式重塑现代商业世界。 云计算的巨大成功和CSA在引领受信任的云生态系统方面的作用,给我们的新使命带来了 更大的挑战和紧迫感。云现在已经成为各种计算形式的后端,包括无处不在的物联网。云计算 是信息安全行业的基础。集装箱(容器)化和DevOps等等在组织内的IT新常态,已经与云计算密不可分,加速了我们的变革。在云安全联盟中,我们致力于为您提供在高速发展的IT环境中您所需的必要的安全知识,让您保持在新时代质量保证和信任趋势的前沿。总之,我们欢迎你们加入我们的社区。
目录 D1: 云计算概念和体系架构 (8) D2:治理与企业风险管理 (30) D3:法律问题,合同和电子举证 (40) D4:合规和审计管理 (55) D5:信息治理 (62) D6:管理平面和业务连续性 (69) D7:基础设施安全 (80) D8:虚拟化和容器 (96) D9:事件响应 (107) D10:应用安全 (114) D11:数据安全和加密 (125) D12:身份、授权和访问管理 (137) D13:安全即服务 (148) D14:相关技术 (154)
Tenable如何应对12大云安全威胁
Tenable针对2016 12大云安全威胁的对策和回应
下面是云安全联盟列出的2016年“十二大云安全威胁”,云服务客户和提供商都可以根据这份CSA提供的报告调整防御策略。 威胁No.1:数据泄露 云环境面对的威胁中有很多都与传统企业网络面对的威胁相同,但由于有大量数据存储在云服务器上,云提供商便成为了黑客很喜欢下手的目标。万一受到攻击,潜在损害的严重性,取决于所泄露数据的敏感性。个人财务信息泄露事件或许会登上新闻头条,但涉及健康信息、商业机密和知识产权的数据泄露,却有可能是更具毁灭性的打击。 一旦发生数据泄露,公司企业或许会招致罚款,又或者将面临法律诉讼或刑事指控。数据泄露调查和客户通知的花费也有可能是天文数字。其他非直接影响,比如品牌形象下跌和业务流失,会持续影响公司长达数年时间。 云服务提供商通常都会部署安全控制措施来保护云环境,但最终,保护自身云端数据的责任,还是要落在使用云服务的公司自己身上。CSA 建议公司企业采用多因子身份验证和加密措施来防护数据泄露。 Tenable解决方案如何帮助到客户:Tenable通过实时被动式监测PVS模块,实时监测数据泄露问题,并通过PVS plugin将数据泄露事件归档, 被动式判定信息的能力给予企业在后期举证方面极高的价值。在大型网络中,若能判定所有共享文件夹内容,那么要找出潜在敏感数据就不再是难事。只要将网络中共享的各个档案记录传送至Tenable Log Correlation Engine日志关联引擎,即可分析员工活动与恶意软件活动是否合法。 如下图:(PVS针对信用卡信息泄露做的事件报警)
威胁No.2:凭证被盗和身份验证如同虚设 数据泄露和其他攻击通常都是身份验证不严格、弱密码横行、密钥或凭证管理松散的结果。公司企业在试图根据用户角色分配恰当权限的时候,通常都会陷入身份管理的泥潭。更糟糕的是,他们有时候还会在工作职能改变或用户离职时忘了撤销相关用户的权限。 多因子身份验证系统,比如一次性密码、基于手机的身份验证、智能卡等,可以有效保护云服务。因为有了多重验证,攻击者想要靠盗取的密码登进系统就难得多了。美国第二大医疗保险公司Anthem数据泄露事件中,超过8千万客户记录被盗,就是用户凭证被窃的结果。Anthem 没有采用多因子身份验证,因此,一旦攻击者获得了凭证,进出系统如入无人之境。 将凭证和密钥嵌入到源代码里,并留在面向公众的代码库(如GitHub)中,也是很多开发者常犯的错误。CSA建议,密钥应当妥善保管,防护良好的公钥基础设施也是必要的。密钥和凭证还应当定期更换,让攻击者更难以利用窃取的密钥登录系统。 计划与云提供商联合身份管理的公司,需要理解提供商用以防护身份管理平台的安全措施。将所有ID集中存放到单一库中是有风险的。要想集中起来方便管理,就要冒着这个极高价值ID库被攻击者盯上的风险。如何取舍,就看公司怎么权衡了。 Tenable解决方案:Tenable可以通过Nessus模块定期自动的密码审计,掌握系统中的弱密码和对各种权限帐号的访问记录,做到实时监控特权帐号行为。PVS被动监听模块也可以实时发现用户名及密码明文传输,信用卡以及用户自定义的数据泄露行为) 如下图:PVS针对进行HTTP明文密码传送行为进行事件报警
云安全建设思路
云计算已经成为当前IT巨头建设的重点,而其快速推进过程中频繁发生的安全故障,让人们对云计算安全不无担忧。若不能为云计算架构加入更强大的安全措施来确保其安全性,将会对用户数据以及与数据相关的人带来安全和隐私风险。 云计算环境下的安全问题分析 1.云计算已经成为当前IT巨头建设的重点 在云计算进行得如火如荼的今天,众多IT巨头开始投入到云计算的建设之中,包括亚马逊、IBM、Google、微软等都陆续推出了云计算服务,以求在这个影响未来IT应用模型的市场中找到自己的位置。比较知名的云计算服务有: ●亚马逊的在线存储服务(S3)。S3服务对新型企业和用户的强大吸引力在于这项服务能够与 亚马逊的其它在线服务联系在一起,如弹性的云计算和亚马逊的SimpleDB服务。使用这三项服务,新型企业能够节省大量的存储开支,并且可能节省客户的时间和金钱; ●Google正式宣布Google Apps Marketplace开始运营。Google Apps软件应用商店包括了Gmail、 Docs、Sites和Calendar等应用,通过这种免费商店吸引用户选择Google产品,截止到目前已经吸纳了2500多万用户; ●继Windows Azure操作系统和云计算数据库SQL Azure开始收费后,微软近期宣布,Windows Azure平台AppFabric也将投入商用。从2010年4月9日开始,全球用户都可以购买 AppFabric用以实现云计算和云计算应用程序的轻松通信。 2.云计算服务发展过程中的安全事故 在云计算快速推进的过程中,安全故障也频繁发生,包括亚马逊、Google、微软等都没能幸免。比较严重的有: ●2008年7月,亚马逊在线计算服务的主要组件简单存储服务(S3)发生故障,整个系统宕机 时间超过6小时,使用亚马逊服务的一些网站,例如网络照片和视频提供商SmugMug也报告了这个故障,这家网站存储在S3服务中的大量照片和视频都无法访问。在那年更早些时候,Amazon也曾遭遇罕见问题,美国地区服务器无法访问,时间持续约两小时; ●2009年12月,亚马逊基于云计算的EC2(弹性计算云)服务在一个星期里发生了两起事故: 一起是僵尸网络引起的内部服务故障,另一起是在弗吉尼亚州的一个数据中心发生的电源故障; ●2009年9月份,Google的Gmail服务先后发生2次宕机事件导致用户无法访问邮件系统, Google News服务也发生中断,而这种安全事故在整个2009年已经先后出现了超过5次; ●2010年2月25日,由于一个备份数据中心发生故障,谷歌应用开发者服务Google App Engine (谷歌应用引擎)宕机,对很多谷歌客户造成了影响;
CSA云安全指南V4.0中文版
中文版
英文版: https://https://www.360docs.net/doc/923191691.html,/document/security-guidance-for-critical-areas-of-focus-in-cloud-computi ng-v4-0/ 中文版:https://https://www.360docs.net/doc/923191691.html, 官方学习指南: 英文版 中文版 ? 2017 Cloud Security Alliance – All Rights Reserved All rights reserved. 你可以下载、存储、显示在你的电脑上,查看,打印,以及链接到云计算关键领域安全指南v4.0 https://https://www.360docs.net/doc/923191691.html,/document/V4.0security-guidance-for-critical-areas-of-focus-in-cloud-co mputing-v4-0 /, 以下主题:(a)报告可用于个人,信息,非商业用途;(b)报告不得修改或以任何方式改变;(c)报告不得重新分布;(d)商标,版权或其他条款不可被删除。根据美国版权法的合理使用条款,如果你将引用部分归为云计算关键领域安全指南v4.0,那么你可以引用报告的部分内容。
中文版翻译说明 CSA云计算关键领域安全指南v4.0由CSA大中华区研究院组织志愿者进行翻译。 参与翻译工作专家名单: D1及前面部分由高轶峰、张全伟、洪毅翻译,D2由王永霞翻译,D3由刘剑、白阳翻译,D4由陈皓翻译,D5由牛志军翻译,D6由李建民翻译,D7由孙军、刘永钢、陈光杰翻译,D8由王红波翻译,D9由黄远辉翻译,D10由耿万德翻译,D11由任兰芳翻译,D12由姚伟翻译,D13由黄远辉、马超翻译,D14由邹荣新翻译。 参与审校工作工作专家名单: D1及前面部分由顾伟、王朝辉审校,D2由李建民审校,D3由刘剑、白阳审校,D4由耿万德审校,D5由陈皓审校,D6由王永霞审校,D7由孙军、刘永钢审校,D8由姚伟审校,D9由王红波审校,D10由牛志军审校,D11由张全伟审校,D12由任兰芳审校,D13由黄远辉审校,D14由高轶峰审校。 合稿审核:郭剑锋、叶思海、刘文宇、李雨航、杨炳年。 全文由郭剑锋、叶思海负责组织和统稿。 在此感谢参与翻译工作的志愿者。由于翻译时间仓促,存在很多不足的地方,请大家批评指正。欢迎大家提供修改意见,可发送邮件到下面邮箱:jguo@https://www.360docs.net/doc/923191691.html,。
浅谈云计算安全威胁与对策
硕士研究生读书报告 题目浅谈云计算安全威胁与对策 作者姓名郑晟 作者学号21151039 指导教师尹可挺 学科专业金融信息技术1102 所在学院软件学院 提交日期二○一一年十二月
The Security Threats and Countermeasure of C loud Computing A Dissertation Submitted to Zhejiang University in partial fulfillment of the requirements for the degree of Master ofEngineering Major Subject: Software Engineering Advisor: Yin Keting By Zheng Sheng Zhejiang University, P.R. China 2011
摘要 随着云计算在全球大热,云计算安全的重要性也越发明显。云计算由于其开放性及其复杂性,其潜在的漏洞各式各样,安全问题不得不令人担忧;此外,云中关键数据的高密度聚合,很可能会引来潜在的攻击,极有可能引发一系列问题。 本文通过对Google文档外泄事件这一典型案例的描述,阐述了云计算安全的重要性和必要性,并对目前安全方面存在的主要威胁进行了罗列和说明。通过对其来源和可能造成的后果分析,在目前研究的基础上提出了针对的应对措施,以此来提高云计算的安全性。 关键词:云计算,云计算安全,安全威胁,对策
Abstract Withcloud computing being popular inthe global,the importance of cloud computingsecurityis more obvious.Because ofopenness and complexity of cloud computing,there may beawide range of potential vulnerabilities,thesecurityissuesshouldbe concerned. Inaddition,key datainthe cloud polymerizing highly probably will cause potential attack,leading toaseries ofproblems. Throughtheevent that documents were leakedof Google, thispaper s tresses on the importance andnecessityof cloud computing security. Besides this paperlists and describes themain threats to security at presen t.Through analyzing its source andconsequences may caused, put forward solutions onthebaseofpresentstudy toimprove the safety of cloud computing. Keywords:software requirement,requirement analysis, system design .
云服务安全风险分析研究
云服务安全风险分析研究 陕西省网络与信息安全测评中心 2012年5月
一、目前云服务应用现状 云计算是近几年来逐渐兴起的新理念,旨在使计算能力和存储资源简化,变得像公共自来水或者电一样易用,最终实现用户只要连接上网路即可方便地使用并按量付费的目标。云计算不仅提供了灵活高速的计算能力,而且还提供了庞大的存储资源,采用云计算的企业不需要像传统企业一样构建自己专用的数据中心便可以在云平台上运行各种各样的业务系统。云计算所采用的创新计算模式,可以使用户通过互联网随时获得近乎无限的计算能力和丰富多样的信息服务,便于用户对计算能力和存储等服务取用自由、按量付费。所以,众多IT巨头纷纷投入到云计算的建设之中。 1.知名云计算服务 测评中心对目前国内外云服务应用现状进行了调研,发现包括亚马逊、IBM、Google、微软等IT巨头都陆续推出了云计算服务,以求在这个影响未来IT应用模型的市场中找到自己的位置。比较知名的云计算服务有: 第一,亚马逊的在线存储服务(S3)。S3服务对新型企业和用户的强大吸引力在于这项服务能够与亚马逊的其它在线服务联系在一起,如弹性的云计算和亚马逊的SimpleDB服务。使用这三项服务,新型企业能够节省大量的存储开支,并且可能节省客户的时间和金钱; 第二,google和IBM在大学开设云计算课程,IBM发布云计
算商业解决方案,推出“蓝云”计划; 第三,继Windows Azure操作系统和云计算数据库SQL Azure 开始收费后,微软近期宣布,Windows Azure平台AppFabric也将投入商用。从2010年4月9日开始,全球用户都可以购买AppFabric用以实现云计算和云计算应用程序的轻松通信。 此外,还有Vmware公司的云操作系统vmware vsphere等等。 2.云计算发展和安全事故 下面列举一些云计算服务发展过程中出现的安全事故,包括亚马逊、Google、微软等都没能幸免,让人们对云计算安全不无担忧,若不能为云计算架构加入更强大的安全措施来确保其安全性,将会对用户数据以及与数据相关的人带来安全和隐私风险。在这种背景下,进行云计算服务下的潜在安全风险分析就变得非常必要了。 二、云服务下信息系统面临的风险与安全需求分析 1.数据安全 在传统的企业数据中心中,服务提供商只提供机架和网络,而包括服务器、防火墙、软件和存储设备等都由企业自行负责。用户对所有的物理设备和软件系统有完全的控制权,企业不论是不顾成本自建数据中心还是租用机房,通过物理隔离的方式都可以避免未授权用户接触到自己的服务器和数据。而云计算环境下,企业自身的数据都在云中,而云本身的构架又是不透明的,从而会产生一种不信任的心理。这不仅仅是一个商业问题,其中涉及
云安全等保防护解决方案
概述 随着美国棱镜门事件以来,信息安全受到越来越多的国家和企业的重视,特别是今年从国家层面成立了网络安全与信息化领导小组,因此就某种程度而言,2014年可以说是真正的信息安全元年。就当前的信息安全建设驱动来看,主要来自政策性合规驱动和市场需求驱动是两个重要的驱动点。 ·从政策层面看国家成立了网络安全与信息化领导小组,强调自主可控是信息安全领域国家的基本意志体现。同时也出台了相关的政策要求对信息安全产品、云计算服务等进行安全审查,通过政策、法律、规范的合规性要求加强对信息安全的把控。 ·从需求层面来看,随着愈演愈烈各种的信息泄密事件、大热的APT攻击等,大量的企业对信息安全的认识已经从过去的“被动防御”转变成“主动防御”,尤其是新型的互联网金融、电商业务、云计算业务等都前瞻性企业都把安全当做市场竞争的重要砝码,并寻求各种资源不断提升用户对其信任性。 ·用户选择云计算服务的角度来看,我们了解了很多的云计算用户或潜在的云计算用户,用户的一项业务在往云计算中心迁移时考虑的前三位的要素一般是安全、技术成熟度和成本,其中首要考虑的是安全。因为由于云服务模式的应用,云用户的业务数据都在云端,因此用户就担心自己的隐私数据会不会被其他人看到,数据会不会被篡改,云用户的业务中断了影响收益怎么办,云计算服务商声称的各种安全措施是否有、能否真正起作用等,云用户不知道服务提供商提供的云服务是否真的达到许诺的标准等担忧。 1.云环境下的等级保护问题研究 综上所述,用户在选择云计算的时候首先会考虑安全性,对普通用户来说,云计算服务的合规性是安全上很重要的参考依据。云计算服务的安全合规目前主要有等级保护、27001、CSA云计算联盟的相关认证。其中等级保护是一项基本政策,比如用户的一个等级保护三级的业务,采用云计算模式时,一定要求云计算服务必须达到三级的要求。
企业上云安全策略指南
云深不知处——2016企业上云安全策略 指南
2016年1月
互联网实验室观点 价值与安全是企业做出上云决策的两个支点。面对上云决策,企业需要在价值需求与安全需求之间形成最适合于企业自身发展战略、业务特性的决策天平。 在对价值支点的判断上,云是大势所趋已经深入人心。企业可以通过对内部IT成本的核算和业务发展情况等内部信息对上云的价值做出有效评估。企业如果能将云的诸多优点引入生产、运营、服务环节之中,就能够在创造新的商业模式、持续创新、降低成本等方面释放巨大的价值潜能。例如: 有了云,用户不再需要购买、建立、安装并运行昂贵的计算机硬件,而通过无处不在的可用有线或无线网络,就可简便的获取计算机资源,正如获取其他公共资源一样; 云还具备弹性,用户可以快速并且经济的增加或者减少云服务; 云共享的计算机资源可以提供客观的经济效益,并且可以减少成本、加快创新; 云提供的服务已经存在,可以在需要时按需分配,按需扩容; 用户可以快速并且经济地计算自身云服务的吞吐量,并据此进行相应调整。 而在对安全支点的判断上,无法排解的安全忧虑导致企业上云迟疑甚至可能引发决策反复。企业在将转移IT解决方案到云计算的同时,由于企业客户基础设施和应用程序的外部化使得企业的完全控制权发生变化,安全保障的不透明性和不可控性使得上云企业对云服务有效存储和安全共享等方面存在一定的安全风险顾虑。在调研中我们发现,企业对于上云后的数据安全的担忧基本上覆盖了云端数据安全的整个生命链条:例如数据传输和存储是否安
全;数据访问控制权限是否可控;数据是否会被入侵、被攻击;漏洞或系统不稳定是否造成企业用户的业务中断、数据被盗、被篡改?这些现实情况使得中国企业上云之路呈现出漫长曲折的形态。 以基于价值与安全感知的企业云决策象限来谋求破题之道。在项目初期,我们对有上云需求的企业进行初步接触时发现,企业或者无限期地延缓上云行动;或者在上云后出现决策反复;或者认为云有优点,但也有不确定风险,需要谨慎上云;甚至或者即使经在用云,仍对安全抱有较大不信任。因此,我们在报告当中以企业对云价值的释放是否清晰,企业对安全的感知、需求是否明确为维度描绘了如下企业云决策象限。 安全需求的模糊性会加重决策天平的不稳定性,企业所面临的难以权衡取舍的决策困境需要破解。面对安全问题,企业要基于对外部信息结合自身IT能力和需求进行判断,这无疑是难度更大的,尤其是难以形成量化结论。难以言喻的IT功能外部产生的失控感又大大加重了上云决策中安全需求的主观法码。 我们将基于区分企业对云的安全感知状态来拨开企业云安全感知迷雾。企业对云的安全
云数据中心安全规划设计
云数据中心安全规划设计
目录 1前言 (2) 1.1背景 (2) 1.2文档目的 (2) 1.3适用范围 (2) 1.4参考文档 (2) 2安全 (3) 2.1信息安全背景 (3) 2.2工作方法说明 (3) 2.3集团安全目标 (5) 2.4集团安全体系功能服务组件框架 (8) 2.5集团云安全规划路线 (30)
1.1背景 集团信息中心中心引入日趋成熟的云计算技术,建设面向全院及国网相关单位提供云计算服务的电力科研云,支撑全院各个单位的资源供给、数据共享、技术创新等需求。实现云计算中心资源的统一管理及云计算服务统一提供;完成云计算中心的模块化设计,逐渐完善云运营、云管理、云运维及云安全等模块的标准化、流程化、可视化的建设;是本次咨询规划的主要考虑。 1.2文档目的 本文档为集团云计算咨询项目的咨询设计方案,将作为集团信息中心云计算建设的指导性文件和依据。 1.3适用范围 本文档资料主要面向负责集团信息中心云计算建设的负责人、项目经理、设计人员、维护人员、工程师等,以便通过参考本文档资料指导集团云计算数据中心的具体建设。 1.4参考文档 《集团云计算咨询项目访谈纪要》 《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) 《信息系统灾难恢复规范》(GB/T20988-2007) 《OpenStack Administrator Guide》(https://www.360docs.net/doc/923191691.html,/) 《OpenStack High Availability Guide》(https://www.360docs.net/doc/923191691.html,/) 《OpenStack Operations Guide》(https://www.360docs.net/doc/923191691.html,/) 《OpenStack Architecture Design Guide》(https://www.360docs.net/doc/923191691.html,/)
云安全事件分类标准
目录 1.目的 (2) 2.安全事件等级 (2) 2.1定义 (2) 2.2说明 (2) 3.安全事件的来源与分类 (4) 3.1说明 (4) 3.2分类 (4) 安全事件 (4) 应用故障 (4) 4.安全事件管理规定 (4) 4.1安全事件报告和受理 (4) 4.2安全事件的处理和解决 (5) 4.3安全事件的反馈和关闭 (5) 4.4相关文件及记录 (5)
1.目的 为安全运营、安全运维和业务部门对信息安全事件和处置信息安全事件时的定性、定责及处罚提供统一执行标准和依据。 2.安全事件等级 2.1定义 依据灾难可能造成的业务影响、信息系统中断、企业声誉损失等情况。由高到低划分为I级重大事件、II级较大事件和III级一般事件。 2.2说明 符合以下一项或多项标准: 50%及以上的客户受到不良影响; 无法正常对外提供服务时间超过12小时; 造成的信誉及严重恶劣影响的事件; 引起监管部门或社会公众严重关注的事件; 需要集团高级管理层直接处置的事件; 电信、联通、移动运营商网络链路中断;(骨干网调整、物理链路损坏) IDC场所遭遇重大灾难完全失效;(地震、爆炸、洪水) 对外官网页面被篡改;(反动信息)
被DDoS攻击、入侵 符合以下一项或多项标准: 30%以上的客户受到不良影响; 无法正常对外提供服务时间超过6小时; 引起合规风险、较大财务损失,且预计3小时内无法恢复; 造成的信誉及恶劣影响的事件; 需要集团高级管理层直接处置的事件; 被DDoS小规范攻击、入侵; 电信、联通、移动运营商网络链路抖动;(骨干网调整) 利用平台发布违规信息; 利用平台开设违规网站提供服务等; 符合以下一项或多项标准: 10%以上的客户受到不良影响; 无法正常对外提供服务时间超过3小时; 引起合规风险、较大财务损失,且预计3小时内无法恢复; 造成的信誉及恶劣影响的事件;
云安全策略案例简述
Applogic云安全策略 2012年12月08日
策略概述 挑战 如何为云服务提供足够的安全保障?当考虑到有可能在向云服务转移过程中无法控制局面的时候,对是否有充分的安全保障的质疑也很就容易理解了。IT机构带头为其所在的组织提供足够安全的技术是很有必要的,否则他们就要冒着失去运营商的危险,显而易见,这对任何一方都没有好处。 解决方案 安全解决方案可以帮助私有云提供:?管理身份?管理访问?管理信息 效益 Applogic安全解决方案在私有或公共云服务中为您提供成熟的解决方案来保护您重要的IT资产,您将会从以下几点受益: ?通过改善控制能力以降低安全风险 ?通过提高透明度缓解监管压力 ?降低管理开支以提高效益 ?通过自动化安全工艺,加强IT灵活性 具体阐述 在私有和公共云中控制认证、访问和信息 当您为在云中的认证管理制定策略时,有三个重要问题需要解决,请见下图:
若要提供有效的安全保障,您必须做到以下三个方面: ?管理身份:管理用户身份认证和其角色,限制用户对资源的访问,增强身份认证和访问规定的契合度以及监测用户和规范性活动。 ?管理访问:完善对网络应用、系统、系统服务和核心信息访问的相关政策,并为特权用户提供管理以避免不恰当的行为。 ?管理信息:发现、识别分类并防止公司和客户机密信息的泄漏事件。 无论是在私有还是公共云中,对于云环境中的IAM安全而言,以上三方面因素是最基本的也是必要的。管理身份认证 Applogic解决方案包括身份认证管理能力、角色 超级管理员(superadmin)整个系统底层的维护者和以及普通管理员(admin)私有云的管理者权利配置的区别。这种端到端的方法包括用户身份的初步创建、账户和其所需访问权限的分配、用户角色变化带来的持续不断的权限修改以及在用户终止使用服务之后及时移 除这些权限和账户。 此外还有能让您在私有和公共云中有效地管理用户身份认证的CA产品包括: ?CA身份管理器(CA Identity Manager):提供身份管理、配置/卸载、用户自助服务和合规性审计和报告。它帮助您建立始终如一的的身份安全规则、简化合规步骤,以及在面对多个独立使用者时,将重要的身份认证管理实现自动化。此外,它能够在如https://www.360docs.net/doc/923191691.html,等各种预置应用及其他云服务中管理用户帐户。 ?CA 角色和合规管理器(CA Role and Compliance Manager):提供角色管理和识别、特权清理、权利认证和合规性报告。它帮助您确认用户始终享有合适的权利,同时对所有用户和租户实行统一的身份合
云计算面临的主要安全威胁
云计算面临的主要安全威胁 一、传统威胁 服务器虚拟化环境中,VM通常都是租给客户使用的,对客户而言与租用某台物理主机差异不大。因此,VM依然面临各种传统的网络攻击威胁,这些威胁主要包括: (一)远程漏洞攻击。通过严重的远程服务漏洞,如RPC/IIS等漏洞,在VM中执行任意代码,并安装后门,以实现长期远程控制。 (二)Dos/DDos攻击。典型的服务器致瘫手段,利用僵尸网络(botnet)使外界无法正常访问目标服务器。 (三)主动Web攻击。通过SQL注入、旁注攻击、Cookie欺骗登录等手段获取站点权限,以及后续的权限提升,最终效果为安 装后门或接管整个网站后台。
(四)网页挂马攻击。此类攻击的目标通常是存在特定浏览器漏洞的客户端,就服务器而言,对应的威胁主要是被控制后攻击者实施的挂马行为,如重定向主页到真正的挂马网站。 (五)登录认证攻击。通过嗅探、猜解、暴破等方式,获取VM 的3389、4899、telnet等远程管理登录信息,以及各类网站后台入口登录信息,以实现对远程VM或网站后台的控制。 (六)基于移动存储介质的病毒传播。通常是结合U盘进行的病毒传播,典型的案例为2010年的“震网”病毒(Stuxnet),结合快捷方式漏洞(MS10- 046)及U盘进行传播,但这类攻击一般与VM管理员的操作系统有关。通过及时更新反病毒软件实施防御。 二、虚拟化带来的新威胁 逃逸即虚拟机逃逸,是指在已控制一个VM的前提下,通过利用各种安全漏洞,进一步拓展渗透到Hypervisor甚至其它VM中。 站在服务器虚拟化安全角度,可以从“一个前提、三类模式、四种影响、一个根源”四方面来理解逃逸。 (一)逃逸攻击前提。服务器虚拟化环境里,Hypervisor直接
云安全相关技术介绍
云安全相关技术介绍 主要内容: ?从发展的脉络分析,“云安全”相关的技术使用云服务时的安全和以云服务方式提供安全两类; ?介绍5大类24种云安全相关技术及其客户收益和使用建议,并从技术成熟度和市场成熟度两方面进行了评估; ?分析企业使用云服务的场景,指出了国内云安全技术和市场的现状和差异及其原因; 并对未来的发展进行了推测和预判; ?集中介绍云安全相关的各种法规、标准和认证 概述 随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从概念、技术到产品都还没有形成明确的共识。 从发展的脉络分析,“云安全”相关的技术可以分两类:一类为使用云计算服务提供防护,即使用云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computing Security),一般都是新的产品品类;另一类源于传统的安全托管(hosting)服务,即以云服务方式提供安全(security provided from the cloud),也称安全即服务(Security-as-a-Service, SECaaS),通常都有对应的传统安全软件或设备产品。 云安全技术分类
“安全即服务”和“云计算安全”这两类“云安全”技术的重合部分,即以云服务方式为使用云计算服务提供防护。 云计算安全 基于云计算的服务模式、部署模式和参与角色等三个维度,美国国家标准技术研究院(NIST)云计算安全工作组在2013年5月发布的《云计算安全参考架构(草案)》给出了云计算安全参考架构(NCC-SRA,NIST Cloud Computing Security Reference Architecture)。 NIST云计算安全参考架构的三个构成维度: ?云计算的三种服务模式:IaaS、PaaS、SaaS ?云计算的四种部署模式:公有、私有、混合、社区 ?云计算的五种角色:提供者、消费者、代理者、承运者、审计者 NIST云计算安全参考架构 作为云服务的使用者,企业需要关注的以下几个子项的安全:
公共基础设施云安全策略 .doc
公共基础设施云安全策略 公共基础设施云安全策略 云服务提供商的公共基础设施云主要是基于云计算平台的IT基础设施为用户提供租用服务,如IDC等。对于该类云服务而言,一方面其仍然是基于传统的IT环境,面临的安全风险和传统的IT环境并没有本质的不同;另一方面,云服务模式、运营模式和云计算新技术的引入,给服务提供商带来了比传统IT环境更多的安全风险。 对于公共基础设施云服务而言,重点需要解决云计算平台安全、多租户模式下的用户信息安全隔离、用户安全管理,以及法律与法规遵从等方面的安全问题。由于公有云平台承载了海量的用户应用,如何保障云计算平台的安全高效运营至关重要。而在公有云典型的多租户应用环境下,能否实现用户信息的安全隔离直接关系到用户的安全隐私能否得到有效保护。同时法律与法规的遵从也是非常重要的内容,作为云服务提供商对外提供服务,需要考虑满足相关法律法规要求。对于云服务提供商而言,在当前云计算服务还处在演进阶段,实现全面的安全功能和技术要求并非一蹴而就的,需要结合具体的业务应用发展,循序渐进地开展安全部署和管理工作。其主要安全部署策略可包括如下内容。 (1)基础安全防护:建立公共基础设施云的安全体系,保障云计算平台的基础安全,主要包括构建涵盖云计算平台基础网络、主机、管理终端等基础设施资源的安全防护体系,建设云平台自身的用户管理、身份鉴别和安全审计系统等。针对一些关键应用系统或VIP客户,
可考虑建设容灾系统,进一步提升其应对突发安全事件的能力。(2)数据监管风险规避:目前国际社会对日趋全球化的云计算服务中的跨境数据存储、流动和交付的监管政策尚未达成一致,在发生安全事件后如何对造成的损失进行评估及赔偿可能存在较多争议,因此,云服务提供商需要在商业合同中的司法管辖权和SLA条款中进行合理设定,并对运营管理制度、业务提供的合规性进行合理规范,以规避不必要的经营风险。 (3)安全增值服务提供:在构建基础设施层面的安全防护体系的基础上,为进一步提高用户的黏性,为用户提供可选的应用、数据及安全增值服务,提高安全服务的商业价值。同时为提高用户对安全性的感知度,可通过安全报表、安全外设等方式实现安全的显性化。
云安全问题
浅析“云安全”技术 1、引言 随着信息技术发展,近几年各种类型的云计算和云服务平台越来越多地出现在人们的视野中,比如邮件、搜索、地图、在线交易、社交网站等等。由于它们本身所具备的便利性、可扩充性、节约等各种优点,这些云计算和云服务正在越来越广泛地被人们所采用。但与此同时,这些“云”也开始成为黑客或各种恶意组织和个人为某种利益而攻击的目标。比如利用大规模僵尸网络进行的拒绝服务攻击(DDoS)、利用操作系统或者应用服务协议漏洞进行的漏洞攻击,或者针对存放在“云”中的用户隐私信息的恶意攻击、窃取、非法利用等等,手段繁多。除此以外,组成“云”的各种系统和应用依然要面对在传统的单机或者内网环境中所面临的各种病毒、木马和其他恶意软件的威胁。正是为了有效地保护构成云的各种应用、平台和环境以及用户存放于云端的各种敏感和隐私数据不受感染、攻击、窃取和非法利用等各种威胁的侵害,趋势科技推出了基于趋势科技云安全技术核心的全新的云安全解决方案。 2、云系统面临的安全问题 云系统面临的安全问题主要表现在以下四个方面: 第一,虚拟化技术为云计算平台提供资源灵活配置的同时,也为云计算提出了新的安全挑战,需要解决用户应用在基于虚拟机架构的云平台上的安全部署问题。 第二,面临更多的安全攻击威胁:由于云系统中存放着海量的
重要用户数据,对攻击者来说具有更大的诱惑力。如果攻击者通过某种方式成功攻击云系统,将会给云提供商和用户带来毁灭性的灾难;另一方面,为了保证云服务的灵活性和通用性,云系统为用户提供开放的访问接口,但同时也带来了更大的安全威胁。 第三,需要保证用户数据的高可用性以及云平台服务和用户业务的连续性:云计算环境需要为用户数据提供容错备份手段,另外,软件本身可能存在的漏洞以及大量的恶意攻击,大大增加了服务中断的可能性。如何保障服务软件以及用户应用软件的高可用性已成为云安全的挑战之一。 第四,需要更好保证用户数据安全及隐私性:大量的用户数据存放在云系统中,针对云系统恶意攻击的主要目的是挖掘存储在云系统中的用户隐私数据,从而获得经济利益。 当前与云计算相关的安全技术,包括两个方面: 一是云计算基础设施的安全。当前云计算平台的安全保障主要采用的还是传统的安全技术,涵盖系统安全、网络安全、应用安全、数据安全、应急响应等领域; 二是基于云计算平台的强大处理能力及其商业模式提供信息安全服务。只有自身基础设施的足够安全,能够让用户信任其提供服务的能力,云计算服务提供商才能提供相应的信息安全服务 3 、“云安全”的核心技术 从目前的安全厂商对于病毒、木马等安全风险的监测和查杀方式来看,“云安全”的总体思路与传统的安全逻辑的差别并不大,但
2020年云安全行业分析报告
2020年云安全行业分 析报告 2020年2月
目录 一、云计算发展加快,云安全需求提升 (4) 1、企业信息、业务上云趋势化,云计算市场空间大 (4) (1)中国企业上云步骤加快,但与发达国家差距明显 (4) (2)与全球相比,中国的云计算市场成长空间大 (5) 2、云计算应用范围广,政商数据安全需求高 (6) 3、云攻击形态多样化,云安全需求提升 (8) (1)在云成为趋势的情况下,攻击形态更加严峻 (8) (2)云生态环境下的攻击路径增加,云资源作为攻击源的比例高 (9) 二、多因素驱动,云安全前景广阔 (10) 1、多重政策利好,云安全迎来发展良机 (10) (1)随着互联网的广泛应用和信息技术的日益更新,随之而来的网络安全问题也日益严重 (10) (2)等保2.0加入云计算安全扩展要求,云计算安全规划化和标准化 (11) (3)云计算平台风险评估加快,云安全问题越来越受关注 (12) (4)行业标准确立,云安全迎来发展良机 (13) 2、公有云安全集中度持续提升 (13) 3、私有云安全,发展前景广阔 (15) 三、行业重点公司 (16) 1、启明星辰:网络安全龙头,云安全战略起航, (16) 2、绿盟科技:私有云安全持续发力,研发优势延续 (19) 3、安恒信息:云安全后起之秀 (20)
云计算发展加快,云安全需求提升。随着企业上云步骤加快、云计算产业的逐渐成熟、云计算应用领域的不断扩大和网络攻击形态的不断演变,我国政商对于云安全的需求将逐年上升。目前,云计算主要覆盖政务、金融、交通、电信等影响范围广、数据保密性要求高的行业,这些行业的数据具有私密性和广泛性的特点,一旦泄露,将会对国家经济金融安全和民生安全造成巨大的影响。据中商产业研究院的数据显示,2018年中国云安全市场规模达37.76亿元,增长45%。随着信息安全越来越受到重视,云安全市场将进一步扩大。预计2019年,中国云安全市场规模将达56.1亿元,增长近五成。到2021年,预计我国云安全市场规模将超100亿元。 政策利好加行业标准确立,云安全前景看好。随着互联网的广泛应用和信息技术的日益更新,随之而来的网络安全问题也日益严重。在一系列网络安全事件之后,我国对网络安全的重视迅速提升,相应的,政府出台多项政策鼓励云安全的发展。等保2.0的出台和云计算服务安全评估办法的颁布将为云安全的发展提供政策支持,将网络安全上升到国家安全的战略高度,使网络安全成为国家安全观的重要组成部分。这意味着企业需要在此基础之上更好地进行网络安全合规建设,网络安全行业需求将在未来迎来爆发。同时,国内外行业标准的确立将给云安全领域和行业的规范发展提供可行的办法。 公有云安全集中度提升,私有云安全大有可为。随着阿里云、腾讯云、中国电信等云服务商占据头部市场并不断扩大份额,我国公有云市场的头部效应将会更加显著,进而更加激发众多大型公司都在努