1、 模块2:云计算基础设施安全1 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.学习目标 云计算基础设施的组件 不同部署模型的安全情况 基于虚拟基础设施工作的安全优点和缺点 如何保护云管理平面的安全 不同服务模型的安全基本知识2 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.云基础设施安全3 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.保护
2、底层基础设施4 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.举例:IaaS如何工作5VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor计算池 管理协调存储池管理协调计算控制器存储/容量控制器管理网络(使用API库) 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.公共云 vs.私有云6VMVMHypervisorVMVMHypervisorVMVMHypervis
3、orVMVMHypervisor计算池管理协调存储池管理协调在公共云中,你只能控制你购买的部分,附加很少的管理能力管理网络(使用API库)计算控制器存储/容量控制器 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.基础设施组件8Image Service镜像服务Identity Service身份服务 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.基础设施组件案例9Image ServiceIdentity ServiceAl
4、l of these core components need to be securely configured, patched, hardened, and maintained.所有核心组件都需要进行安全配置、更新补丁、加固和维护 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.保护云基础设施10 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.加固主机和服务 加固主机 所有云仍运行在硬件之上,因此关于数据中心安全的所有
5、知识还都适用,服务器和服务需要进行适时的更新,建设时需要有冗余的措施,以使得更新数据库或消息服务器时不需要停止云的运行 加固和隔离主机上的服务 云运行在一组服务上并将这些服务整合在一起,每个服务都跟其它服务器一样需要被保护。如果攻击者入侵了云中的任何一个组件,它们就可能控制你的整个云系统,因此应关掉不使用的任何功能。 有些云服务总想以不必要的较高的权限来运行(比如使用一个数据库root帐号)你需要尽量让每个服务以尽可能低的权限来运行。11 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.关于物理安全 云中心的选
6、址:避开地震带,洪水易侵蚀的地区,考虑当地的犯罪率、政治稳定情况、供电等。 边界安全的4D手段:阻止deter、检测detect、延缓delay、否决deny 机房的基础设施建设:防火、防水、防盗措施 在选择云服务前,用户需要与服务提供商充分的沟通,了解其在物理安全方面的保障能力,以及改进的能力,从而判定是否满足自身的风险偏好。 关于灾备与恢复计划:定义恢复点和恢复时间目标,选择运服务时需要考虑云中心的位置、风险程度,以及恢复要素的记录是否与目标一致 云备份和灾难恢复服务的目标是:降低云服务提供商为客户付出的基础设施、应用和总体业务过程的成本11 2012 Securosis LLC and
7、Cloud Security AllianceAll Rights Reserved.虚拟机管理程序安全12 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.IaaS网络13 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.架构安全考虑14 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.保护架构15使用信任/可用区进行隔离以满足安全和合规要求普
8、通区安全区VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor网络池A网络池C网络池B存储池A存储池C 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.Management Plane Security管理平面安全16 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.管理平台 关键功能虚机迁移虚机供应启动/停机配置资源池 计算 存储 网络(V
9、LAN)安全考虑鉴权访问控制日志/监控 管理平面是私有云的关键点,需要进行精细的保护17 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.信任状管理 Resources to help Shlomo Swidler - Mitch Garnaat - 18 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.云管理中的IAM(身份和访问管理) 基于角色的访问控制 不同提供商/平台管控粒度不同 不同产品线管控粒度不同 寻找集成外部SS
10、O或者目录服务的能力 调研第三方工具19 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.虚拟主机和网络的安全20 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.Host Security主机安全21 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.虚拟化考虑 不同的hypervisor/虚拟化技术以及云平台的组合包含了不同安全特征和选项集合。
11、在一个私有云(不论是位于内部还是外部)部署中处理虚拟化技术时通常需要考虑的一些问题: 你或你的提供商采用的是什么类型的虚拟化? 在提供层次化的安全保护中使用了何种第三方的安全技术? 虚拟机中采用了什么安全控制?采用了何种日志审计手段?服务合同中是否限定了服务商应提供一定级别的安全? 虚拟机中的安全机制是否被用来提供底层平台的监控?22 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.虚拟网络23 虚拟网络与安全 虚拟网络与物理网络面临的安全问题是类似的. 虚拟网络总是运行在物理网络之上. 虚拟网络提供了一种更简
12、单的层次栈以构建私有云 更多的控制是通过VLAN提供的. 虚拟网络对网络安全监测和控制带来了显著的变化 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.虚拟网络24服务器1服务器2物理网络VMVMVMVMVMVM虚拟网络虚拟网卡!物理网卡 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.失去网络可视性25服务器1服务器2物理网络VMVMVMVMVMVM虚拟网络虚拟化后物理网络服务器1服务器2虚拟化前 2012 Securosis
13、 LLC and Cloud Security AllianceAll Rights Reserved.虚拟防火墙26 虚拟防火墙是作为网络服务或者设备运行的防火墙的一个虚拟化实例 虚拟防火墙可以以桥模式或者hypervisor模式运行 可以作为一个设备部署,也可以安装到一个虚拟机上 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.物理网络Server 2虚拟防火墙27Server 1VMVMVMVMVMVM桥接虚拟防火墙FW物理网络Server 2Server 1VMVMVMVMVMVMFWFWHypervi
14、sor虚拟防火墙 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.软件定义网络(SDN)提供了一个分离的控制平面,使得安全保护更加容易OpenFlow是SDN的一个例子 管理员可实现远程访问控制管理典型情况下采用基于角色的访问控制进行访问管理28 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.网络安全建议 评估你的hypervisor及云平台的监控和强制选项 识别存在的差距 利用云平台特定的改进措施或主机保护措施进行弥补 通常
15、来讲,主要需要依靠主机IPS/IDS/防火墙 需要在虚拟网络层进行监控,而不仅监控物理网络上 注意虚拟设备可能存在的性能问题29 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.IAAS安全30 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.IaaS安全:期望什么?31 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.IaaS 安全 IaaS与
16、运行自己的基础设施有何相同之处? 又有何不同之处? 通常你从提供商处获得什么? 从提供商处又获得不了什么? 在上述限制下构建你的安全 合规? 身份管理 自动化 处理云中加密的信任状32 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.IaaS有何相同之处?33 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.IaaS有何不同?34 2012 Securosis LLC and Cloud Security AllianceAll
17、 Rights Reserved.服务提供商提供了什么35 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.IaaS 安全:从哪里开始36 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.总结IaaS IaaS与现有的基础设施拥有更多的相同点(与不同点相比) 最重要的问题是弄清你将会获得什么(在获得它们之前) 这将告诉你为了提供合理的安全和保护你需要做什么 由于服务在迅速的变得成熟,将来会变得更好37 2012 Securosi
18、s LLC and Cloud Security AllianceAll Rights Reserved.Paas 安全38 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.PaaS如何工作(这只是其中之一)3939VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor计算池Management and Orchestration存储池Management and Orchestration计算控制器存储控制器管理网络(使用API库)应用平台Applic
19、ationApplicationApplicationApplication 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.PaaS安全40 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.总结PaaS PaaS与现有的基础设施也很相似 PaaS安全取决于良好的应用设计和对云环境的深入理解 需要知道服务商允许你做什么以及不允许做什么 随着接口和产品的成熟,PaaS的安全也会变得更好41 2012 Securosis LLC a
20、nd Cloud Security AllianceAll Rights Reserved.Saas安全42 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.Examples of SaaSSaaS举例43 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.SaaS - What you can (usually) controlSaaS你(通常)所能控制的44 2012 Securosis LLC and Cloud Secur
21、ity AllianceAll Rights Reserved.SaaS45 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.总结SaaS安全 SaaS=多租户的ASP(应用服务提供商) 人们更加熟悉的云服务案例 SaaS提供最少的数据控制能力 控制(以及数据保护责任)交给服务提供商46 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.总结 理解基础设施(云底层的组件)的结构 Hypervisor和虚拟网络对安全控制带来了部分改
22、变,将更多的安全推到主机/虚机实例中 管理平面和API库是通向云的钥匙,必须进行高强度的保护。尽可能多的采取隔离措施 保护密钥设施组件,保持它们的长期安全47 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练习题什么类型的安全是防范试图以物理方式亲自进入计算设施的入侵者或访问者的第一道防线? 防火墙网络安全财务安全边界安全社会安全物理安全通常是第一道防线,用于防范授权和授权的对组织物理资产的访问,对记录、商业秘密的窃取,以及工业间谍和欺诈。TRUEFALSE48 2012 Securosis LLC and
23、Cloud Security AllianceAll Rights Reserved.练习题什么类型的安全是防范试图以物理方式亲自进入计算设施的入侵者或访问者的第一道防线? 防火墙网络安全财务安全边界安全社会安全物理安全通常是第一道防线,用于防范授权和授权的对组织物理资产的访问,对记录、商业秘密的窃取,以及工业间谍和欺诈。TRUEFALSE49 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练习题下面哪项最可能在数据中心里被审计?一个在数据中心中运行且包含被监管信息的应用个人信息比如姓名和住址不受监管的信息非
24、属性信息比如性别或种族等,被保存以用于EO报告用户名和密码在哪种环境下不可能允许客户自行开展审计,从而使得数据中心运营商必须为客户提供审计变得非常重要?单租户环境多应用,单租户环境多租户环境分布式计算方案远距离关系50 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练习题下面哪项最可能在数据中心里被审计?一个在数据中心中运行且包含被监管信息的应用个人信息比如姓名和住址不受监管的信息非属性信息比如性别或种族等,被保存以用于EO报告用户名和密码在哪种环境下不可能允许客户自行开展审计,从而使得数据中心运营商必须为客
25、户提供审计变得非常重要?单租户环境多应用,单租户环境多租户环境分布式计算方案远距离关系51 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练习题一个多租户数据中心如何迅速满足大多数客户的审计需求?允许客户自行审计以便满足他们自己的需求指定你的数据中心仅为非监管信息服务,这样审计就不需要了允许任意方不受限制的数据审计,特别是政府的当数据存储在一个第三方数据中心时审计是不需要的针对一项规章和安全标准模板开展审计并向客户公布审计结果使安全审计变得严重复杂化的虚拟机迁移特征是指什么?不同类别的数据在相同物理机器上可能
26、被混合的问题将虚机从一台物理服务器转移到另一台服务器上但不产生告警或可追踪的审计踪迹的能力性能降低虚机客户加固以上都不是52 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练习题一个多租户数据中心如何迅速满足大多数客户的审计需求?允许客户自行审计以便满足他们自己的需求指定你的数据中心仅为非监管信息服务,这样审计就不需要了允许任意方不受限制的数据审计,特别是政府的当数据存储在一个第三方数据中心时审计是不需要的针对一项规章和安全标准模板开展审计并向客户公布审计结果使安全审计变得严重复杂化的虚拟机迁移特征是指什么?
27、不同类别的数据在相同物理机器上可能被混合的问题将虚机从一台物理服务器转移到另一台服务器上但不产生告警或可追踪的审计踪迹的能力性能降低虚机客户加固以上都不是53 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练习题在多租户云计算环境中,在同一个虚拟环境中的全部租户都将:接受最低的安全公分母。接受最高的安全公分母。 接受独立于虚拟化的安全服务。 在相同的安全边界中。提供他们自己的安全增强。虚拟机通信如何能够绕过网络安全控制措施?大多网络安全系统无法识别加密的虚机流量虚拟机通信会使用一个硬件背板虚拟机管理程序(hy
28、pervisors)依赖多网络接口虚机镜像可能包含绕开防火墙的工具客户操作系统可以激活秘密模式56 2012 Securosis LLC and Cloud Security AllianceAll Rights Reserved.练习题在多租户云计算环境中,在同一个虚拟环境中的全部租户都将:接受最低的安全公分母。接受最高的安全公分母。接受独立于虚拟化的安全服务。在相同的安全边界中。提供他们自己的安全增强。虚拟机通信如何能够绕过网络安全控制措施?大多网络安全系统无法识别加密的虚机流量虚拟机通信会使用一个硬件背板虚拟机管理程序(hypervisors)依赖多网络接口虚机镜像可能包含绕开防火墙的工具客户操作系统可以激活秘密模式57