云计算应用及安全专题讲座课件

1、云计算应用及安全,chenjing_,云计算应用及安全专题讲座,目录,云计算应用及安全专题讲座,引言,那些年，我们讨论过的云计算,云计算应用及安全专题讲座,引言,云正在改变我们的生活,云计算应用及安全专题讲座,壹 。概 念,云计算应用及安全专题讲座,一、概念,云计算的345 虚拟化的四大厂商,云计算应用及安全专题讲座,1.1-云计算的345,3,5,4,3种交付模式,SaaS (Software-as-a- Service)软件即服务 PaaS (Platform-as-a- Service)平台即服务 IaaS (Infrastructure as a Service) 基础设施即服务,美国

2、国家标准技术研究院（NIST,4种部署模式,公共云：即面向广泛客户群的互联网接入服务； 私有云：针对单个机构进行配置； 社区云：针对供应链这类有限数量的，彼此相关的组织设计； 混合云：以上三种配置模式的任意组合,5个基本特征,按需自助式服务 宽带接入 虚拟化的资源池 快速弹性架构 可测量的服务,云计算应用及安全专题讲座,1.1-云计算的345,从传统IT建设到云计算服务,SaaS：可以理解成通过网页提供的服务，类似ERP、邮箱。 PaaS：可以理解为一个安装好操作系统、数据库、Web服务器软件的平台，服务商提供接口，使用者只需要直接安装应用程序。 IaaS： 可以理解为一台托管在运营商的服务器

3、，服务器的CPU、内存、磁盘、带宽、IP都可以自行选择增减,云计算应用及安全专题讲座,1.2虚拟化平台的四大厂商,宿主架构和裸金属架构 宿主架构：主架构通常用于个人PC上的虚拟化，如WindowsVirtual PC，VMware Workstation，VirtualBox 裸金属架构:当成主流和成熟的有VMWARE ESX、微软Hyper-V、开源的XEN和KVM,云计算应用及安全专题讲座,1.2虚拟化平台的四大厂商,ESX是VMware的企业级虚拟化产品，2001年开始发布ESX 1.0，到2011广月发布ESX 4.1,Hyper-V是微软新一代的服务器虚拟化技术，首个版本于2008年

4、7月发布，目前最新版本是2011年4月发布R2 SP1版， Hyper-V有两种发布版本：一是独立版，如Hyper-V Server 2008，以命令行界面实现操作控制，是一个免费的版本；二是内嵌版，如Windows Server 2008，Hyper-V作为一个可选开启的角色,XEN最初是剑桥大学Xensource的一个开源研究项目，2003年9月发布了首个版本XEN 1.0，2007年Xensource被Citrix公司收购，开源XEN转由继续推进，该组织成员包括个人和公司(如Citrix、Oracle等)。目前该组织在2011年3月发布了最新版本XEN 4.1,KV

5、M的全称是Kernel-based Virtual Machine，字面意思是基于内核虚拟机。其最初是由Qumranet公司开发的一个开源项目，2007年1月首次被整合到Linux 2.6.20核心中；2008年，Qumranet被RedHat所收购，但KVM本身仍是一个开源项目，由RedHat、IBM等厂商支持。KVM作为Linux内核中的一个模块，与Linux内核一起发布，至2011年1月的最新版本是kvm-kmod 2.6.37,云计算应用及安全专题讲座,贰 。现状,云计算应用及安全专题讲座,二、现状,整体发展情况 国内外政策 国内外现状 标准与组织,云计算应用及安全专题讲座,2.1整体

6、发展情况1,云计算应用及安全专题讲座,准备阶段（20072010）：主要是技术储备和概念推广阶段，解决方案和商业模式尚在尝试中。用户对云计算认知度仍然较低，成功案例较少。初期以政府公共云建设为主,起飞阶段（20102015）：产业高速发展，生态环境建设和商业模式构建成为这一时期的关键词，进入云计算产业的“黄金机遇期”。此时期，成功案例逐渐丰富，用户了解和认可程度不断提高。越来越多的厂商开始介入，出现大量的应用解决方案，用户主动考虑将自身业务融入云。公有云、私有云、混合云建设齐头并进,成熟阶段（2015）：云计算产业链、行业生态环境基本稳定；各厂商解决方案更加成熟稳定，提供丰富的XaaS产品。用

7、户云计算应用取得良好的绩效，并成为IT系统不可或缺的组成部分，云计算成为一项基础设施,2.1整体发展情况2,云计算应用及安全专题讲座,2.2 国内外政策1,云计算应用及安全专题讲座,三、立足国情，努力实现重点领域快速健康发展（二）新一代信息技术产业。加快建设宽带、泛在、融合、安全的信息网络基础设施，推动新一代移动通信、下一代互联网核心设备和智能终端的研发及产业化，加快推进三网融合，促进物联网、云计算的研发和示范应用。着力发展集成电路、新型显示、高端软件、高端服务器等核心基础产业。提升软件服务、网络增值服务等信息服务能力，加快重要基础设施智能化改造。大力发展数字虚拟等技术，促进文化创意产业发展,

8、国务院发布关于加快培育和发展战略性新兴产 业的决定（国发201032号文件,2.2 国内外政策2,云计算应用及安全专题讲座,工业和信息化部和国家发展改革委于2010年10月18日联合印发关于做好云计算服务创新发展试点示范工作的通知，确定在北京、上海、深圳、杭州、无锡等五个城市先行开展云计算服务创新发展试点示范工作。试点示范工作主要包括四个方面的重点内容： 一是推动国内信息服务骨干企业针对政府、大中小企业和个人等不同用户需求，积极探索SaaS(软件即服务)等各类云计算服务模式； 二是以企业为主体，产学研用联合，加强海量数据管理技术等云计算核心技术研发和产业化； 三是组建全国性云计算产业联盟； 四

9、是加强云计算技术标准、服务标准和有关安全管理规范的研究制定，着力促进相关产业发展,工业和信息化部和国家发展改革委,2.2 国内外政策3,云计算应用及安全专题讲座,到2015年，成都云计算产业将建成云服务、基础软硬件设备生产和云终端产品制造三大产业集群，产业规模达到3000亿元 成都将成为全球最大的云服务和终端产品制造基地。基础软硬件设备产业达到500亿元，云终端产业规模达到2200亿元，云服务规模占全国市场的比重超过10%，移动智能终端产品制造占全球市场比重超过20%， 2015年成都半数以上规模企业率先“云计算” 5年内，成都市民将全面享受个性化的云服务,2.2 国内外政策4,云计算应用及安

10、全专题讲座,2.3 国内外现状1,云计算应用及安全专题讲座,2.3 国内外现状2,云计算应用及安全专题讲座,2.3 国内外现状3,田溯宁,张明正,杨志远,云计算应用及安全专题讲座,1）美国国家标准与技术研究院NIST(National Institute of Standards and Technology)。 2）结构化信息标准推进组织OASIS(Organization for the Advancement of Structure Information Standards) 3）分布式管理任务组DMTF(Distributed Management Task Force) 4）存储

11、工业协会SNIA(Storage Network Industry Association) 5）开放网格论坛OGF(Open Grid Forum) 6）云安全联盟CSA(Cloud Security Alliance) 7）The Open Group是厂家中立、技术中立的联合会。 8）云计算互操作论坛CCIF(Cloud Computing Interoperability Forum) 9）开放云联合会OCC(Open Cloud Consortium) 10）此外还有TM Forum，，非盈利组织,推动云计算标准的10个国际组织,2.4 标准

12、与组织1,云计算应用及安全专题讲座,CSA云安全联盟,2009年4月成立，目标是推广云安全最佳实践和云安全培训，编写了针对云计算消费者和服务提供商的15个战略领域的关键问题和建议，，到2010年8月底，组织成员有DMTF、OGF、ISACA等十四家组织，Dell、HP、Microsoft、Intel、Cisco、Google、Novell、CA、Oracle、Symantec、RSA、McAfee、Trend Micro、VMware等五十五家公司，成员众多而且都是著名的大公司，所以在云计算安全最佳实践方面比较有影响力,中国

13、加入CSA云安全联盟的公司,绿盟科技 2009年12月成为CSA在亚太地区的第一个企业成员。 联想网御 2010年加入 瑞星公司 2010年加入 启明星辰 2011年加入 2011年11月1日，由国际云安全联盟中国分会主办，绿盟科技和启明星辰共同承办的第二届云安全联盟（CSA）高峰论坛在北京隆重召开,2.4 标准与组织2,云计算应用及安全专题讲座,工信部正制定云计算标准。 2011年6月2日至3日 全国信息技术标准化技术委员会SOA标准工作组牵头举办的云计算标准讨论会，拟于2012年正式推出。 研究范围：云计算基础类标准、PaaS平台规范、云数据存储和管理系列标准、弹性云计算服务接口标准 20

14、11年8月 上海率先发布云计算企业认定标准,2.4 标准与组织3,云计算应用及安全专题讲座,叁 。实例,云计算应用及安全专题讲座,三、云计算应用实例,3.1 SaaS应用实例 3.2 PaaS应用实例 3.3 IaaS应用实例,云计算应用及安全专题讲座,云计算应用及安全专题讲座,云计算应用及安全专题讲座,亚马逊amazon 微软 Microsoft 谷歌Google 红帽 Red Hat 思杰Citrix 威睿VMWare Salesforce Rackspace,你必须知道的国外厂商,你必须知道的国内厂商,三、云计算应用实例,云计算应用及安全专题讲座,SaaS是最常见的，也是最先出现的云计算

15、服务。通过SaaS这种模式，用户只要接上网络，通过浏览器就能直接使用在云上运行的应用。SaaS云供应商负责维护和管理云中的软硬件设施，同时以免费或者按需使用的方式向用户收费。 国外代表厂商：Salesforce、WebEx、Google、Microsoft 国内代表厂商：用友、金算盘、金碟、阿里巴巴和八百客等,国外典型应用： 1）Google Apps。中文名为“Google 企业应用套件”，它提供企业版Gmail、Google 日历、Google 文档和Google 协作平台等多个在线办公工具,2）Salesforce CRM。它是一款在线客户管理工具，并在销售、市场营销、服务和合作伙伴这4

16、个商业领域上提供完善的IT支持，还提供强大的定制和扩展机制。这款产品常被业界视为SaaS产品的“开山之作,3.1 SaaS应用实例1,云计算应用及安全专题讲座,3.1 SaaS应用实例2,个人应用实例Microsoft Word Web App,云计算应用及安全专题讲座,八百客 800APP支持CRM（客户关系管理）、OA（协同办公）、HR（人力资源管理）、进销存产品的应用研发，支持产业链伙伴的二次开发、行业插件管理，以及第三方软硬件产品的广泛集成,决策背景小米手机预订人数超过30万，需要一套配套的CRM系统协助呼叫中心服务客户。客户飞速增长，几十万的客户信息，无法系统化管理。 解决方案建立联

17、系人、联系记录、工单记录等模块，将客户信息全部汇总到800APP-CRM系统中。 实施效果部署800APP系统无需购买软硬件设备，快速实施上线，节省成本，节约时间,企业应用实例八百客,典型案例小米手机,3.1 SaaS应用实例3,云计算应用及安全专题讲座,PaaS主要面对的用户是开发人员。PaaS能给客户带来更高性能、更个性化的服务。 2007年业界第一个PaaS平台诞生在，是Salesforce的F。Salesforce提供的完善的开发工具和框架来轻松地开发应用，而且能把应用直接部署到Salesforce的基础设施上. 2008年4月，Google推出了Google App Engine，从

18、而将PaaS所支持的范围从在线商业应用扩展到普通的Web应用，也使得越来越多的人开始熟悉和使用功能强大的PaaS服务,1）Google App Engine。Google App Engine提供Google的基础设施来让大家部署应用，还提供一整套开发工具和SDK来加速应用的开发，并提供大量免费额度来节省用户的开支。 2）Windows Azure Platform。它是微软推出的PaaS产品，运行在微软数据中心的服务器和网络基础设施上。它由具有高扩展性的云操作系统、数据存储网络和相关服务组成。附带的Windows Azure SDK（软件开发包）提供了一整套开发、部署和管理工具和API。 3

19、)新浪 Sina App Engine（以下简称SAE）是新浪研发中心于2009年8月开始内部开发， SAE作为国内的公有云计算，从开发伊始借鉴吸纳Google、Amazon等国外公司的公有云计算的成功技术经验，推出不同于他们的具有自身特色的云计算平台,3.2 PaaS应用实例1,云计算应用及安全专题讲座,传统方法建立个人博客步骤： 第一步，申请域名及空间 1，申请购买域名 2，寻找适合的空间，购买 第二步，环境的配置 1，Apache 的安装 2，MySql的安装 3，Php的安装 第三步，安装wordPress程序,应用实例新浪Sina App Engine,3.2 PaaS应用实例2,云

20、计算应用及安全专题讲座,3.2 PaaS应用实例3,应用实例新浪Sina App Engine,在新浪Sina App Engine上建立个人博客,云计算应用及安全专题讲座,3.2 PaaS应用实例4,典型案例乌云平台,云计算应用及安全专题讲座,IaaS(Infrastructure as a Service)基础设施即服务 消费者可以通过 Internet 简单的获得的计算机基础设施服务。 2006年年底，Amazon 发布了EC2（Elastic Compute Cloud，弹性计算云）这个IaaS云服务。由于EC2在技术和性能等多方面的优势，这类技术终于被业界广泛认可和接受,1）Amaz

21、on EC2 EC2主要以提供不同规格的计算资源（也就是虚拟机）为主。它基于著名的开源虚拟化技术Xen。 EC2不论在性能上还是在稳定性上都已经满足企业级的需求。而且它还提供完善的API和Web管理界面来方便用户使用。 Amazon S3 全名为亚马逊简易储存服务（Amazon Simple Storage Service），由亚马逊公司，利用他们的亚马逊网络服务系统所提供的网络线上储存服务。经由Web服务界面，包括REST, SOAP, 与BitTorrent，提供用户能够轻易把档案储存到网络服务器上,3.3 IaaS应用实例1,云计算应用及安全专题讲座,3.3 IaaS应用实例2,应用实例

22、Amazon EC2虚拟主机,云计算应用及安全专题讲座,四、云计算的应用5-IaaS应用2,纽约时报:使用成百上千台 Amazon EC2 实例在 36 小时内处理 TB 级的文档数据。如果没有 EC2，处理这些数据将要花费数天或者数月的时间,典型案例纽约时报,DropBox:使用亚马逊的S3存储系统存放文件。 并采用SoftLayer技术来购建后端的基础设施。 Dropbox同步采用SSL传输数据，而存储则通过AES-256进行加密。Dropbox用户数量已经超过5000万,典型案例DropBox,云计算应用及安全专题讲座,肆 。安全,云计算应用及安全专题讲座,云里漏洞知多少 云应用的风险与

23、威胁 云服务厂商安全方案 第三方厂商安全方案 安全厂商何去何从,四、云计算应用安全,云计算应用及安全专题讲座,4.1 云里漏洞知多少1,2011年云计算安全威胁大事记 3月 谷歌 谷歌邮箱爆发大规模的用户数据泄露事件，约15万Gmail用户发现自己的所有邮件和聊天记录被删除，部分用户发现自己的账户被重置。 4月19日 索尼 索尼的PlayStation网络和Qriocity音乐服务网站遭到黑客攻击。服务中断超过一周， PlayStation网络7700万个注册账户持有人的个人信息失窃。 4月22日 亚马逊 亚马逊云位于被弗吉尼亚州的云计算中心宕机，导致回答服务Quora、新闻服务Reddit、

24、Hootsuite和位置跟踪服务FourSquare和为网络出版商提供游戏工具的BigDoor瘫痪。故障持续了4天。被认为是亚马逊史上最为严重的云计算安全事件。 5月13日 微软 微软云计算交换在线(Microsoft Exchange Online)服务出现故障，导致用户邮件信息延迟3-9小时发送。2011年6月，在微软发布Office365前一周，微软BPOS云托管套件服务再次中断3小时，微软在北美的用户都受到了影响。 7月15日 谷歌 谷歌应用引擎Java服务出现故障，宕机超过1小时。故障原因基于云计算， 把应用程序转到网络上时出现了问题。 8月9日 亚马逊 亚马逊云服务故障约一小时，使

25、Netflix、Foursquare、维珍美国航空公司 (Virgin America)和其他几家网站均受到影响,云计算应用及安全专题讲座,4.1 云里漏洞知多少2,网盘漏洞,云计算应用及安全专题讲座,Vmware平台漏洞,4.1 云里漏洞知多少3,云计算应用及安全专题讲座,云计算应用主要面临的安全风险,4.2云应用的风险与威胁1,云计算应用及安全专题讲座,成功,4.2云应用的风险与威胁2,Iaas带来的威胁-亚马逊平台,云计算应用及安全专题讲座,如果信用卡被盗用了呢,盗用,申请,创建,快速复制,。 。 。,4.2云应用的风险与威胁2,Iaas带来的威胁-亚马逊平台,云计算应用及安全专题讲座,

26、Sony PSN 事件 攻击者通过注册EC2服务，并以其为跳板对PSN进行攻击，在突破隔离的基础上，充分利用了内部流量不可见的特性进行信息窃取,基于GPU集群和EC2的SHA-1暴力破解 利用GPU的高带宽、并行架构和低能耗结合EC2低价格、可扩展的实例集群进行。应用8个实例进行每秒40万的密码破解仅花费16美元/小时,Amazon云计算平台成为僵尸网络沃土 Amazon EC2被ZEUS僵尸网络工具包利用建立C&C服务器；恶意人员以6美元为代价对EC2发动DDoS，同时SPAM也大量出现,4.2云应用的风险与威胁3,Iaas带来的威胁,云计算应用及安全专题讲座,4.2云应用的风险与威胁3,无

27、视余额(denial of money)攻击,在Google文档发布了25000张极小的图片，然后他邀请人们来对图片进行描述。问题由此产生了，这些极小的图片的链接访问到位于Amazon的S3存储服务，显然，Google的服务器有些疯狂。“Google略带侵略性的从Amazon攫取图片，一次，一次，又一次，,当Google遇到Amazon：完美的云攻击,云计算应用及安全专题讲座,4.2云应用的风险与威胁4,Paas带来的威胁,2.木马网站,1.钓鱼网站,云计算应用及安全专题讲座,亚马逊现有安全方案,2.认证密钥,1.防火墙,4.3云服务厂商安全方案1,云计算应用及安全专题讲座,4.3云服务厂商安

28、全方案2,新浪SAE现有安全方案,云计算应用及安全专题讲座,4.3云服务厂商安全方案3,800app现有安全方案,防火墙,入侵检测,SSL加密,网银级USB硬件密钥登陆,第三方128位加密算法数字证书,云计算应用及安全专题讲座,4.4第三方厂商安全方案1,VMware现有安全方案,1. Vmware vShield,vShield Manager 用于对vShield进行集中管理。 vShield App 是一种内部 vNIC 级防火墙，允许您创建不受网络拓扑限制的访问控制策略。vShield App 监视ESX主机的所有传入和传出流量，包括同一端口组中虚拟机之间的流量。vShield App 支持流量分析和创建基于容器的策略。 vShield Edge 提供网络边缘安全和网关服务，用于隔离端口组。标准服务：防火墙、网络地址转换（NAT）、DHCP。高级服务：VPN、负载平衡。 vShield Data Security 可通过 vShield Data Security 查看存储在组织的虚拟化环境和云环境中的敏感数据。 vShield Endpoint 能够与第三方反病毒工具进行集成，虚拟机的反病毒扫描由与安全相关的虚拟机独自进行,云计算应用及安全专题讲座,4.4第三方厂商安全方案1