云计算安全方案.pptx

WEB应用安全和数据库安全的领航者！杭州安恒信息技术有限公司 目录目录什么是云计算什么是云计算安全云计算安全专题探讨虚拟机安全Hadoop安全NoSQL数据库安全云安全标准杂项探讨云计算安全中的应用安全提问提问什么是云计算？NIST的云定义的云定义目录目录什么是云计算什么是云计算安全云计算安全专题探讨虚拟机安全Hadoop安全NoSQL数据库安全云安全标准杂项探讨云计算安全中的应用安全安全是云计算中的主要问题安全是云计算中的主要问题提问提问云安全云计算安全云安全云安全瑞星全功能安全软件2011依托亚洲最大的云安全数据中心、世界级反病毒虚拟机和专业虚拟化引擎这三大技术根基，全面提升运作效能，有效解决黑客攻击、木马病毒、钓鱼网站等安全问题。360金山趋势安全的目标安全的目标机密性完整性可用性可控性不可抵赖性信息安全模型信息安全模型PD2R模型：保护（Protection）、检测（Detection）、反应（Reaction）、恢复（Restore）一个安全的信息系统不仅仅要考虑环境安全和技术安全，还要考虑管理安全；不仅仅能够提供静态的保护能力，包括防止和降低故障、损害，还需要具备主动防御的能力，能够及时发现攻击，并能够从破坏中恢复云计算安全的主要问题云计算安全的主要问题关键议题trust信任multi-tenancy多租户encryption加密compliance合规性云计算安全的优势云计算安全的优势优势将公共数据放到外部云减少内部敏感数据的泄露云同构使得安全审计和测试更为简单支持自动化安全管理冗余/灾难恢复云计算安全云计算安全的的挑战挑战挑战信任供应商的安全模型客户不能对审计调查结果进行反应调查的支持间接的管理职能专有的实现不能被检查缺少实体控制云计算的安全控制模型云计算的安全控制模型云计算安全的云计算安全的13个关键域个关键域云架构D1 云计算架构框架云的治理D2 治理与企业风险管理D3 法律与电子证据发现D4 合规与审计合规与审计D5 信息生命周期管理信息生命周期管理D6 可移植性和互操作性云计算安全的云计算安全的13个关键域个关键域云的运行D7 传统安全、业务连续性和灾难恢复D8 数据中心运行D9 应急响应、通告和补救应急响应、通告和补救D10 应用安全应用安全D11 加密和密钥管理D12 身份和访问管理身份和访问管理D13 虚拟化云计算安全的顶级威胁云计算安全的顶级威胁云计算的滥用和不法使用不安全的接口和API恶意的内部人员共享技术问题数据丢失或泄漏账户或服务劫持未知风险预测云计算迁移云计算迁移在云部署过程中识别资产：数据；应用/功能/过程评估资产将资产映射到可能的云部署模型评估可能的云服务模式和提供商：关注点是每个SPI层次上你能拥有的控制等级，以实现不同的风险管理要求。画出潜在的数据流：找出风险暴露点结论目录目录什么是云计算什么是云计算安全云计算安全专题探讨虚拟机安全Hadoop安全NoSQL数据库安全云安全标准杂项探讨云计算安全中的应用安全Vmware vShield SolutionsVMware vSphere+vCenterDMZDMZPCI compliantPCI compliantHIPAA HIPAA compliantcompliant Securing the Private Cloud End to End:from the Edge to the EndpointSecuring the Private Cloud End to End:from the Edge to the EndpointEdgeEdge vShield Edge 1.0vShield Edge 1.0 Secure the edge of Secure the edge of the virtual datacenterthe virtual datacenterSecurity ZoneSecurity Zone vShield App 1.0 and vShield App 1.0 and ZonesZones Application protection from Application protection from network based threatsnetwork based threatsEndpoint =VM Endpoint =VM vShield Endpoint 1.0vShield Endpoint 1.0 Enables offloaded anti-virusEnables offloaded anti-virus Virtual Datacenter 1Virtual Datacenter 1 Virtual Datacenter 2Virtual Datacenter 2WebWebTest&DevTest&Dev云存储安全云存储安全常见云存储方案Google GFS：一个master和大规模的 chunkServer组成HDFS金海教授：ppStore存储安全传输安全目录目录什么是云计算什么是云计算安全云计算安全专题探讨虚拟机安全Hadoop安全NoSQL数据库安全云安全标准杂项探讨云计算安全中的应用安全HadoopHadoop中的安全中的安全使用Kerberos和SSOMapReduce加入了授权分布缓存更安全：分为共享和私有Hadoop中的安全威胁中的安全威胁用户到服务认证NameNode没有用户认证DataNode没有用户认证0.21中修正JobTracker没有用户认证用户可以修改和终止别人的任务，修改状态服务到服务认证DataNode和TaskTracker之间没有认证用户可以伪装DataNode和TaskTracker、传输和磁盘未加密目录目录什么是云计算什么是云计算安全云计算安全专题探讨虚拟机安全Hadoop安全NoSQL数据库安全云安全标准杂项探讨云计算安全中的应用安全NoSQL数据库一般用在什么地方数据库一般用在什么地方云计算：Saas厂商SNSPortal：混合传统型数据库NoSQL安全威胁（安全威胁（CouchDB）连接污染JSON注入View注入CouchDB使用SpiderMonkey作为脚本引擎，这些脚本叫Views键破解NoSQL,No SQL Injection（MongoDb）MongoDB SQL注入演示数据准备use testdbuser=user:yyq,password:yyqdb.users.insert(user);db.users.insert(user:yyq2,password:yyq2)();MongoDB SQL注入演注入演示示1启动Apachehttp:/localhost:8080/mongodb/login.htmlhttp:/localhost:8080/mongodb/login-check.php?user_name=yyq2&user_pass$ne=1后台变为：username=yyq and user_pass!=1h目录目录什么是云计算什么是云计算安全云计算安全专题探讨虚拟机安全Hadoop安全NoSQL数据库安全云安全标准杂项探讨云计算安全中的应用安全云安全相关标准（云安全相关标准（IaaS）DMTF（分布式管理工作组）OVF(Open Virtualization Format)SNIA（存储网络行业协会）CDMI(Cloud Data Management Interface)OGF（开放网格计算论坛）OCCI(open cloud computing interface)云安全相关标准云安全相关标准身份和访问管理(IAM)IdM federation(SAML,WS-Federation,Liberty ID-FF)Strong authentication standards(HOTP,OCRA,TOTP)Entitlement management(XACML)数据加密(at-rest,in-flight),密钥管理PKI,PKCS,KEYPROV(CT-KIP,DSKPP),EKMI记录和信息管理(ISO 15489)E-discovery(EDRM)目录目录什么是云计算什么是云计算安全云计算安全专题探讨虚拟机安全Hadoop安全NoSQL数据库安全云安全标准杂项探讨云计算安全中的应用安全杂项探讨杂项探讨云计算：是集中还是分散账号安全：OpenID隐私保护：支付宝实名认证和微博授权码短链接带来的安全问题物联网与IPV6目录目录什么是云计算什么是云计算安全云计算安全专题探讨虚拟机安全Hadoop安全NoSQL数据库安全云安全标准杂项探讨云计算安全中的应用安全云计算安全中的应用安全云计算安全中的应用安全云安全云计算安全D4 合规与审合规与审计：数据库审计计：数据库审计D5 信息生命周期管理信息生命周期管理D9 应急响应、通告和补应急响应、通告和补救：救：SOCD10 应用安应用安全：全：WAF、Web扫描器、扫描器、PortalD12 身份和访问管身份和访问管理：堡垒主机理：堡垒主机WEB应用安全和数据库安全的领航者！杭州安恒信息技术有限公司 2022/11/2022/11/1818may you succeed in CUMCM