云计算导论第七章课件

云计算导论主讲老师：云计算导论主讲老师：1云计算安全第七章云计算安全第七章2云计算安全

传统数据中心与低成本、高性能的云数据中心相比毫无优势，这使得越来越多想要节省成本的企业陆续开启了“上云”的步伐。

本章将介绍云计算安全的相关概念，包括云计算安全事故、概念、顶级威胁、云计算安全管理、云安全标准及相关法律法规等。此外，还将介绍国内两家知名的SECaaS提供商。本章导读云计算安全传统数据中心与低成本、高性能的云数据3云计算安全学习目标了解云计算安全的概念和12大顶级威胁。熟悉云计算安全责任模型。掌握云计算安全管理的一般流程。了解云计算基础设施安全和虚拟化安全的管理方法。熟悉安全即服务的相关概念。了解云计算安全相关标准及法律法规。云计算安全学习目标了解云计算安全的概念和12大顶级威胁。熟悉4云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例——典型的SECaaS提供商云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例5云计算安全概述2009年，Gartner公司对云计算的普及情况进行了一次调查，调查结果显示，尽管云数据中心可为企业提供性能更强、稳定性更好、成本更低的IT资源，但超70%企业的首席技术官（chieftechnologyofficer，CTO）表示，若无法完全保证云端数据的安全性和隐私性，就不会考虑使用云计算。显而易见，云计算的安全性已成为了企业选择云计算服务的关键因素，究其原因，还要归咎于近年来发生的一系列云计算安全事故带来的恶劣影响。7.1云计算安全概述云计算安全概述2009年，Gartner公司对6云计算安全概述云计算安全事故Amazon云数据中心大面积宕机2009年2月24日2013年6月5日斯诺登与“棱镜门”GoogleGmail的全球性故障2009年3月17日MicrosoftAzure停止运行2011年4月21日凌晨云计算安全概述云计算安全事故Amazon云数据中心大面积宕机7云计算安全概述7.1.2什么是云计算安全

云计算安全（cloudcomputingsecurity）是由计算机安全、网络安全及更广泛的信息安全所演化出的概念，有时也简称云安全（cloudsecurity）。与云计算类似，云计算安全是一个比较宽泛的概念，并没有标准的定义，下面从云服务提供商和用户的角度分别进行阐释。云计算安全概述7.1.2什么是云计算安全云计8云计算安全概述7.1.2什么是云计算安全

云安全有时也用于指代基于云的安全软件或安全服务，如360安全卫士提供的基于360云查杀引擎的木马查杀服务在云计算领域中，这些安全服务是一种云计算服务模型，可称其为安全云，它与云计算安全应为包含关系，是不能画等号的。云计算安全概述7.1.2什么是云计算安全云安全有时也9云计算安全概述7.1.3云计算安全的顶级威胁2018年1月，CSA发布了《云计算的顶级威胁+产业深度剖析》市场调查及案例分析报告,该报告全面深刻地解析了云计算安全领域的12大顶级威胁，以帮助企业更深刻地理解当前的云安全问题，并采用策略进行应对，作出有价值的决策。云计算安全概述7.1.3云计算安全的顶级威胁10云计算安全概述7.1.3云计算安全的顶级威胁1数据泄露2身份认证、凭证和密钥管理缺陷3不安全的接口和API4系统漏洞5账户劫持6恶意内部人士云计算安全概述7.1.3云计算安全的顶级威胁1数据泄露2身11云计算安全概述7.1.3云计算安全的顶级威胁7高级持续威胁8数据丢失9尽职调查不足10滥用和恶意使用云服务11拒绝服务攻击12共享技术漏洞云计算安全概述7.1.3云计算安全的顶级威胁7高级持续威胁12云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例——典型的SECaaS提供商云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例13云计算安全管理7.2云计算安全管理

云计算平台是一个复杂的系统，对云服务提供商而言，云计算平台的安全管理是一项必须重视的工作。云计算安全管理7.2云计算安全管理云计算14云计算安全管理7.2.1云计算安全责任模型Gartner提出了一种云计算安全责任模型，该模型根据云服务的3种模式将云平台的所有资源分为了基础设施、虚拟化、主机、中间件、应用和数据，并对不同云服务模式下云服务提供商和用户所承担的安全责任进行了划分。云计算安全管理7.2.1云计算安全责任模型G15云计算安全管理7.2.1云计算安全责任模型AWS的责任共担模式云计算安全管理7.2.1云计算安全责任模型AWS的责任共担16云计算安全管理云计算安全管理流程模型云计算安全管理云计算安全管理流程模型17云计算安全管理7.2.3云计算基础设施安全从物理角度

对云计算基础设施的安全管理包括选择地理位置、物理访问控制、防盗窃和破坏、防雷击、防火、防水、防潮、防静电、防地震、温湿度控制、电力供应、电磁防护等措施，以避免由于不可抗力或人为因素造成的业务中断、数据损失。从网络角度

对云计算基础设施的安全管理主要包括网络边界防护和保障网络通信安全。云计算安全管理7.2.3云计算基础设施安全从物理角度18云计算安全管理云计算虚拟化安全

虚拟化平台安全是指对外的API必须在租户间实现虚拟机或容器的隔离，保障虚拟化平台中资源的逻辑独立性和数据的机密性。

网络虚拟化安全主要是指虚拟机间及虚拟机与外部网络之间通信的安全性。一．虚拟化平台安全二．网络虚拟化安全云计算安全管理云计算虚拟化安全虚拟化平台安全是19云计算安全管理云计算虚拟化安全

存储虚拟化是云平台为用户提供按需取用的存储资源的基础，它将大量物理存储设备虚拟化为一个逻辑存储资源池，用户在使用基于存储虚拟化的云服务时，只访问逻辑存储三．存储虚拟化安全01数据隔离。02访问控制。03数据可靠性。04保护剩余信息。云计算安全管理云计算虚拟化安全存储虚拟化是云平20云计算安全管理7.2.5安全即服务

基于云的安全服务称为安全即服务（securityasaservice，SECaaS），SECaaS可能是云服务提供商所提供的某云服务，但更多情况下，SECaaS提供商为独立的第三方机构，他们既可以为各种云服务部署模式下的企业云提供安全服务，也可以为传统的本地企业网提供安全服务。云计算安全管理7.2.5安全即服务基于云的安21云计算安全管理7.2.5安全即服务Strengths优势成本低、弹性灵活、冗余性、高可用性等云服务的优势可实时更新最新的病毒库和防范方法，从而为用户提供有效的安全保障庞大的攻防网络，有效防范网络攻击Weaknesses劣势

无法对SECaaS的具体行为进行监管，且双方一旦发生责任纠纷，用户往往处于不利地位，若用户的隐私数据遭到泄露，则后果不堪设想。云计算安全管理7.2.5安全即服务Strengths优势成22云计算安全管理7.2.5安全即服务判断某安全服务是否为SECaaS云服务应满足两项标准：一是SECaaS必须是基于云提供的安全产品或服务。二是SECaaS必须满足云计算的5个基本特征，即用户按需自助获取服务、广泛的网络访问、资源虚拟化、快速弹性的资源分配和可度量的资源使用情况。云计算安全管理7.2.5安全即服务判断某安全服务是否为SE23云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例——典型的SECaaS提供商云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例247.3.1云计算安全国际标准及法律法规云计算安全相关标准及法律法规ISO/IECJTC1/SC27标准文档01020304NIST网络安全框架CSA《云计算关键领域安全指南》欧盟《通用数据保护条例》7.3.1云计算安全国际标准及法律法规云计算安全相关标准257.3.1云计算安全国际标准及法律法规云计算安全相关标准及法律法规05美国《国防部云计算安全要求指南》（1）第2级。此级别的信息包括公开发布的信息和不受控的非涉密信息。（2）第4级。此级别的信息包括受控非涉密信息，如隐私信息。（3）第5级。此级别的信息包括除第4级外其他高度敏感但非涉密信息，

以及非涉密的国家安全系统信息。（4）第6级。此级别的信息包括秘密级和机密级信息。7.3.1云计算安全国际标准及法律法规云计算安全相关标准267.3.2云计算安全国内标准及法律法规云计算安全相关标准及法律法规01全国信息安全标准化技术委员会发布的国家标准机构设置7.3.2云计算安全国内标准及法律法规云计算安全相关标准277.3.2云计算安全国内标准及法律法规云计算安全相关标准及法律法规02《中华人民共和国网络安全法》

《中华人民共和国网络安全法》是我国第一部网络安全的专门性综合立法，是为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展而制定的法律。7.3.2云计算安全国内标准及法律法规云计算安全相关标准28云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例——典型的SECaaS提供商云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例297.4.1亚信安全实例——典型的SECaaS提供商

亚信安全隶属于亚信科技有限公司，是中国网络安全行业中较成熟的解决方案提供商，其解决方案涵盖了政务、电信运营商、金融、医疗、教育、能源、制造业和交通等各行业，并在云安全、身份安全、端点安全、安全管理、高级威胁治理、威胁情报6大核心技术领域拥有国际领先技术。7.4.1亚信安全实例——典型的SECaaS提供商307.4.2360企业安全实例——典型的SECaaS提供商360企业安全就是360针对企业网络安全推出的SECaaS平台。得益于360在网络安全领域深耕多年的技术沉淀，360企业安全的解决方案技术完善，种类齐全，自成体系，产品包括终端安全、移动安全、服务器安全、空间测绘与资产管理、云安全、工业互联网安全、DNS安全、靶场安全、全流量威胁分析、代码安全、安全众包平台和网络空间安全教育云平台，涵盖了当代信息安全的方方面面。7.4.2360企业安全实例——典型的SECaaS提供商317.4.2360企业安全实例——典型的SECaaS提供商360云甲虚拟化防护系统360云阵云安全管理平台360云探安全监测系统360磐云安全防护系统7.4.2360企业安全实例——典型的SECaaS提供商32本章小结cloudcomputing2、云计算安全是一个较为宽泛的概念，对于

云服务提供商而言，云计算安全是指一套

由广泛的法律法规、硬件技术、软件平台、

国际标准、实施方法等共同组成的综合性

策略，用于保护其云计算系统（主要指公

有云平台）中的基础设施、IP网络、应用

程序、用户数据等资产；对于用户而言，

云计算安全意味着其所使用云服务环境的

稳定性和私密性，以及其存储在云中的数

据的完整性和隐私性。云计算安全1、云数据中心的安全性远高于传统的数据中

心，但由于其规模庞大，因此一旦产生问

题（如服务中断、黑客攻击、数据中心大

规模宕机等），则其造成的影响将比传统

数据中心大得多。本章小结cloudcomputing2、云计算安全是一个较33本章小结cloudcomputing4、云计算的12大顶级威胁包括数据泄露，身份

认证、凭证和密钥管理缺陷，不安全的接口

和API，系统漏洞，账户劫持，恶意内部人士，

高级持续威胁，数据丢失，尽职调查不足，

滥用和恶意使用云服务，拒绝服务攻击，共

享技术漏洞。5、云服务提供商和用户对资源的控制范围不同，

控制范围决定了安全责任的边界，云计算环

境的安全责任并不应由云服务提供商全权承

担，而应由用户和云服务提供商共同承担。云计算安全3、基于云的安全软件或安全服务与云计算安全

是不能画等号的。本章小结cloudcomputing4、云计算的12大顶级34本章小结cloudcomputing6、云计算安全管理流程共7步，分别是需求分析，

选择云服务提供商、云服务模型及部署模式，

定义企业的云架构，评估安全控制，确定控

制差距，设计和实施控制以弥补差距，持续

管理变更。7、判断某项安全服务是否为一项SECaaS云服务

应满足两项标准，一是SECaaS必须是基于云

提供的安全产品或服务，二是SECaaS必须满

足云计算的5个基本特征。云计算安全本章小结cloudcomputing6、云计算安全管理流程35感谢观看THANKS感谢观看THANKS36云计算导论主讲老师：云计算导论主讲老师：37云计算安全第七章云计算安全第七章38云计算安全

传统数据中心与低成本、高性能的云数据中心相比毫无优势，这使得越来越多想要节省成本的企业陆续开启了“上云”的步伐。

本章将介绍云计算安全的相关概念，包括云计算安全事故、概念、顶级威胁、云计算安全管理、云安全标准及相关法律法规等。此外，还将介绍国内两家知名的SECaaS提供商。本章导读云计算安全传统数据中心与低成本、高性能的云数据39云计算安全学习目标了解云计算安全的概念和12大顶级威胁。熟悉云计算安全责任模型。掌握云计算安全管理的一般流程。了解云计算基础设施安全和虚拟化安全的管理方法。熟悉安全即服务的相关概念。了解云计算安全相关标准及法律法规。云计算安全学习目标了解云计算安全的概念和12大顶级威胁。熟悉40云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例——典型的SECaaS提供商云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例41云计算安全概述2009年，Gartner公司对云计算的普及情况进行了一次调查，调查结果显示，尽管云数据中心可为企业提供性能更强、稳定性更好、成本更低的IT资源，但超70%企业的首席技术官（chieftechnologyofficer，CTO）表示，若无法完全保证云端数据的安全性和隐私性，就不会考虑使用云计算。显而易见，云计算的安全性已成为了企业选择云计算服务的关键因素，究其原因，还要归咎于近年来发生的一系列云计算安全事故带来的恶劣影响。7.1云计算安全概述云计算安全概述2009年，Gartner公司对42云计算安全概述云计算安全事故Amazon云数据中心大面积宕机2009年2月24日2013年6月5日斯诺登与“棱镜门”GoogleGmail的全球性故障2009年3月17日MicrosoftAzure停止运行2011年4月21日凌晨云计算安全概述云计算安全事故Amazon云数据中心大面积宕机43云计算安全概述7.1.2什么是云计算安全

云计算安全（cloudcomputingsecurity）是由计算机安全、网络安全及更广泛的信息安全所演化出的概念，有时也简称云安全（cloudsecurity）。与云计算类似，云计算安全是一个比较宽泛的概念，并没有标准的定义，下面从云服务提供商和用户的角度分别进行阐释。云计算安全概述7.1.2什么是云计算安全云计44云计算安全概述7.1.2什么是云计算安全

云安全有时也用于指代基于云的安全软件或安全服务，如360安全卫士提供的基于360云查杀引擎的木马查杀服务在云计算领域中，这些安全服务是一种云计算服务模型，可称其为安全云，它与云计算安全应为包含关系，是不能画等号的。云计算安全概述7.1.2什么是云计算安全云安全有时也45云计算安全概述7.1.3云计算安全的顶级威胁2018年1月，CSA发布了《云计算的顶级威胁+产业深度剖析》市场调查及案例分析报告,该报告全面深刻地解析了云计算安全领域的12大顶级威胁，以帮助企业更深刻地理解当前的云安全问题，并采用策略进行应对，作出有价值的决策。云计算安全概述7.1.3云计算安全的顶级威胁46云计算安全概述7.1.3云计算安全的顶级威胁1数据泄露2身份认证、凭证和密钥管理缺陷3不安全的接口和API4系统漏洞5账户劫持6恶意内部人士云计算安全概述7.1.3云计算安全的顶级威胁1数据泄露2身47云计算安全概述7.1.3云计算安全的顶级威胁7高级持续威胁8数据丢失9尽职调查不足10滥用和恶意使用云服务11拒绝服务攻击12共享技术漏洞云计算安全概述7.1.3云计算安全的顶级威胁7高级持续威胁48云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例——典型的SECaaS提供商云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例49云计算安全管理7.2云计算安全管理

云计算平台是一个复杂的系统，对云服务提供商而言，云计算平台的安全管理是一项必须重视的工作。云计算安全管理7.2云计算安全管理云计算50云计算安全管理7.2.1云计算安全责任模型Gartner提出了一种云计算安全责任模型，该模型根据云服务的3种模式将云平台的所有资源分为了基础设施、虚拟化、主机、中间件、应用和数据，并对不同云服务模式下云服务提供商和用户所承担的安全责任进行了划分。云计算安全管理7.2.1云计算安全责任模型G51云计算安全管理7.2.1云计算安全责任模型AWS的责任共担模式云计算安全管理7.2.1云计算安全责任模型AWS的责任共担52云计算安全管理云计算安全管理流程模型云计算安全管理云计算安全管理流程模型53云计算安全管理7.2.3云计算基础设施安全从物理角度

对云计算基础设施的安全管理包括选择地理位置、物理访问控制、防盗窃和破坏、防雷击、防火、防水、防潮、防静电、防地震、温湿度控制、电力供应、电磁防护等措施，以避免由于不可抗力或人为因素造成的业务中断、数据损失。从网络角度

对云计算基础设施的安全管理主要包括网络边界防护和保障网络通信安全。云计算安全管理7.2.3云计算基础设施安全从物理角度54云计算安全管理云计算虚拟化安全

虚拟化平台安全是指对外的API必须在租户间实现虚拟机或容器的隔离，保障虚拟化平台中资源的逻辑独立性和数据的机密性。

网络虚拟化安全主要是指虚拟机间及虚拟机与外部网络之间通信的安全性。一．虚拟化平台安全二．网络虚拟化安全云计算安全管理云计算虚拟化安全虚拟化平台安全是55云计算安全管理云计算虚拟化安全

存储虚拟化是云平台为用户提供按需取用的存储资源的基础，它将大量物理存储设备虚拟化为一个逻辑存储资源池，用户在使用基于存储虚拟化的云服务时，只访问逻辑存储三．存储虚拟化安全01数据隔离。02访问控制。03数据可靠性。04保护剩余信息。云计算安全管理云计算虚拟化安全存储虚拟化是云平56云计算安全管理7.2.5安全即服务

基于云的安全服务称为安全即服务（securityasaservice，SECaaS），SECaaS可能是云服务提供商所提供的某云服务，但更多情况下，SECaaS提供商为独立的第三方机构，他们既可以为各种云服务部署模式下的企业云提供安全服务，也可以为传统的本地企业网提供安全服务。云计算安全管理7.2.5安全即服务基于云的安57云计算安全管理7.2.5安全即服务Strengths优势成本低、弹性灵活、冗余性、高可用性等云服务的优势可实时更新最新的病毒库和防范方法，从而为用户提供有效的安全保障庞大的攻防网络，有效防范网络攻击Weaknesses劣势

无法对SECaaS的具体行为进行监管，且双方一旦发生责任纠纷，用户往往处于不利地位，若用户的隐私数据遭到泄露，则后果不堪设想。云计算安全管理7.2.5安全即服务Strengths优势成58云计算安全管理7.2.5安全即服务判断某安全服务是否为SECaaS云服务应满足两项标准：一是SECaaS必须是基于云提供的安全产品或服务。二是SECaaS必须满足云计算的5个基本特征，即用户按需自助获取服务、广泛的网络访问、资源虚拟化、快速弹性的资源分配和可度量的资源使用情况。云计算安全管理7.2.5安全即服务判断某安全服务是否为SE59云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例——典型的SECaaS提供商云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例607.3.1云计算安全国际标准及法律法规云计算安全相关标准及法律法规ISO/IECJTC1/SC27标准文档01020304NIST网络安全框架CSA《云计算关键领域安全指南》欧盟《通用数据保护条例》7.3.1云计算安全国际标准及法律法规云计算安全相关标准617.3.1云计算安全国际标准及法律法规云计算安全相关标准及法律法规05美国《国防部云计算安全要求指南》（1）第2级。此级别的信息包括公开发布的信息和不受控的非涉密信息。（2）第4级。此级别的信息包括受控非涉密信息，如隐私信息。（3）第5级。此级别的信息包括除第4级外其他高度敏感但非涉密信息，

以及非涉密的国家安全系统信息。（4）第6级。此级别的信息包括秘密级和机密级信息。7.3.1云计算安全国际标准及法律法规云计算安全相关标准627.3.2云计算安全国内标准及法律法规云计算安全相关标准及法律法规01全国信息安全标准化技术委员会发布的国家标准机构设置7.3.2云计算安全国内标准及法律法规云计算安全相关标准637.3.2云计算安全国内标准及法律法规云计算安全相关标准及法律法规02《中华人民共和国网络安全法》

《中华人民共和国网络安全法》是我国第一部网络安全的专门性综合立法，是为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展而制定的法律。7.3.2云计算安全国内标准及法律法规云计算安全相关标准64云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例——典型的SECaaS提供商云计算安全概述云计算安全管理云计算安全相关标准及法律法规实例657.4.1亚信安全实例——典型的SECaaS提供商

亚信安全隶属于亚信科技有限公司，是中国网络安全行业中较成熟的解决方案提供商，其解决方案涵盖了政务、电信运营商、金融、医疗、教育、能源、制造业和交通等各行业，并在云安全、身份安全、端点安全、安全管理、高级威胁治理、威胁情报6大核心技术领域拥有国际领先技术。7.4.1亚信安全实例——典型的SECaaS提供商667.4.2360企业安全实例——典型的SECaaS提供商360企业安全就是360针对企业网络安全推出的SECaaS平台。得益于360在网络安全领域深耕多年的技术沉淀，360企业安全的解决方案技术完善，种类齐全，自成体系，产品包括终端安全、移动安全、服务器安全、空间测绘与资产管理、云安全、工业互联网安全、DNS安全、靶场安全、全流量威胁分析、代码安全、安全众包平台和网络空间安全教育云平台，涵盖了当代信息安全的方方面面。7.4.2360企业安全实例——典型的SECaaS提供商677.4.2360企业