模块2：云计算基础设施安全

模块2：云计算基础设施安全第一页，共56页。学习目标云计算基础设施的组件不同部署模型的安全情况基于虚拟基础设施工作的安全优点和缺点如何保护云管理平面的安全不同服务模型的安全基本知识2第二页，共56页。云基础设施安全3第三页，共56页。保护底层基础设施4第四页，共56页。举例：IaaS如何工作5VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor计算池

管理协调存储池管理协调计算控制器存储/容量控制器管理网络(使用API库)外部世界第五页，共56页。公共云vs.私有云6VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor计算池管理协调存储池管理协调外部世界在公共云中，你只能控制你购买的部分，附加很少的管理能力管理网络(使用API库)计算控制器存储/容量控制器第六页，共56页。基础设施组件8ImageService镜像服务IdentityService身份服务第七页，共56页。基础设施组件案例9ImageServiceIdentityServiceAllofthesecorecomponentsneedtobesecurelyconfigured,patched,hardened,andmaintained.所有核心组件都需要进行安全配置、更新补丁、加固和维护第八页，共56页。保护云基础设施10第九页，共56页。加固主机和服务加固主机

所有云仍运行在硬件之上，因此关于数据中心安全的所有知识还都适用，服务器和服务需要进行适时的更新，建设时需要有冗余的措施，以使得更新数据库或消息服务器时不需要停止云的运行加固和隔离主机上的服务云运行在一组服务上并将这些服务整合在一起，每个服务都跟其它服务器一样需要被保护。如果攻击者入侵了云中的任何一个组件，它们就可能控制你的整个云系统，因此应关掉不使用的任何功能。

有些云服务总想以不必要的较高的权限来运行（比如使用一个数据库root帐号）你需要尽量让每个服务以尽可能低的权限来运行。11第十页，共56页。关于物理安全云中心的选址：避开地震带，洪水易侵蚀的地区，考虑当地的犯罪率、政治稳定情况、供电等。边界安全的4D手段：阻止deter、检测detect、延缓delay、否决deny机房的基础设施建设：防火、防水、防盗措施在选择云服务前，用户需要与服务提供商充分的沟通，了解其在物理安全方面的保障能力，以及改进的能力，从而判定是否满足自身的风险偏好。关于灾备与恢复计划：定义恢复点和恢复时间目标，选择运服务时需要考虑云中心的位置、风险程度，以及恢复要素的记录是否与目标一致云备份和灾难恢复服务的目标是：降低云服务提供商为客户付出的基础设施、应用和总体业务过程的成本11第十一页，共56页。虚拟机管理程序安全12第十二页，共56页。IaaS网络13第十三页，共56页。架构安全考虑14第十四页，共56页。保护架构15使用信任/可用区进行隔离以满足安全和合规要求普通区安全区VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor网络池A网络池C网络池B存储池A存储池C第十五页，共56页。ManagementPlaneSecurity

管理平面安全16第十六页，共56页。管理平台关键功能虚机迁移虚机供应启动/停机配置资源池计算存储网络（VLAN）安全考虑鉴权访问控制日志/监控管理平面是私有云的关键点，需要进行精细的保护17第十七页，共56页。信任状管理ResourcestohelpShlomoSwidler-MitchGarnaat-18第十八页，共56页。云管理中的IAM（身份和访问管理）基于角色的访问控制不同提供商/平台管控粒度不同不同产品线管控粒度不同寻找集成外部SSO或者目录服务的能力调研第三方工具19第十九页，共56页。虚拟主机和网络的安全20第二十页，共56页。HostSecurity

主机安全21第二十一页，共56页。虚拟化考虑不同的hypervisor/虚拟化技术以及云平台的组合包含了不同安全特征和选项集合。在一个私有云（不论是位于内部还是外部）部署中处理虚拟化技术时通常需要考虑的一些问题:你或你的提供商采用的是什么类型的虚拟化？在提供层次化的安全保护中使用了何种第三方的安全技术？虚拟机中采用了什么安全控制？采用了何种日志审计手段？服务合同中是否限定了服务商应提供一定级别的安全？虚拟机中的安全机制是否被用来提供底层平台的监控？22第二十二页，共56页。虚拟网络23虚拟网络与安全虚拟网络与物理网络面临的安全问题是类似的.虚拟网络总是运行在物理网络之上.虚拟网络提供了一种更简单的层次栈以构建私有云更多的控制是通过VLAN提供的.虚拟网络对网络安全监测和控制带来了显著的变化第二十三页，共56页。虚拟网络24服务器1服务器2物理网络VMVMVMVMVMVM虚拟网络虚拟网卡！＝物理网卡第二十四页，共56页。失去网络可视性25服务器1服务器2物理网络VMVMVMVMVMVM虚拟网络虚拟化后物理网络服务器1服务器2虚拟化前第二十五页，共56页。虚拟防火墙26虚拟防火墙是作为网络服务或者设备运行的防火墙的一个虚拟化实例虚拟防火墙可以以桥模式或者hypervisor模式运行可以作为一个设备部署，也可以安装到一个虚拟机上第二十六页，共56页。物理网络Server2虚拟防火墙27Server1VMVMVMVMVMVM桥接虚拟防火墙FW物理网络Server2Server1VMVMVMVMVMVMFWFWHypervisor虚拟防火墙第二十七页，共56页。软件定义网络（SDN）提供了一个分离的控制平面，使得安全保护更加容易OpenFlow是SDN的一个例子管理员可实现远程访问控制管理典型情况下采用基于角色的访问控制进行访问管理28第二十八页，共56页。网络安全建议评估你的hypervisor及云平台的监控和强制选项识别存在的差距利用云平台特定的改进措施或主机保护措施进行弥补通常来讲，主要需要依靠主机IPS/IDS/防火墙需要在虚拟网络层进行监控，而不仅监控物理网络上注意虚拟设备可能存在的性能问题29第二十九页，共56页。IAAS安全

30第三十页，共56页。IaaS安全：期望什么？31第三十一页，共56页。IaaS安全IaaS与运行自己的基础设施有何相同之处？又有何不同之处？通常你从提供商处获得什么？从提供商处又获得不了什么？在上述限制下构建你的安全合规？身份管理自动化处理云中加密的信任状32第三十二页，共56页。IaaS有何相同之处？33第三十三页，共56页。IaaS有何不同？34第三十四页，共56页。服务提供商提供了什么35第三十五页，共56页。IaaS安全：从哪里开始36第三十六页，共56页。总结－IaaSIaaS与现有的基础设施拥有更多的相同点（与不同点相比）最重要的问题是弄清你将会获得什么（在获得它们之前）这将告诉你为了提供合理的安全和保护你需要做什么由于服务在迅速的变得成熟，将来会变得更好37第三十七页，共56页。Paas安全38第三十八页，共56页。PaaS如何工作（这只是其中之一）3939VMVMHypervisorVMVMHypervisorVMVMHypervisorVMVMHypervisor计算池ManagementandOrchestration存储池ManagementandOrchestration计算控制器存储控制器管理网络（使用API库）外部世界应用平台ApplicationApplicationApplicationApplication第三十九页，共56页。PaaS安全40第四十页，共56页。总结－PaaSPaaS与现有的基础设施也很相似PaaS安全取决于良好的应用设计和对云环境的深入理解需要知道服务商允许你做什么以及不允许做什么随着接口和产品的成熟，PaaS的安全也会变得更好41第四十一页，共56页。Saas安全42第四十二页，共56页。ExamplesofSaaS

SaaS举例43第四十三页，共56页。SaaS-Whatyoucan(usually)control

SaaS－你（通常）所能控制的44第四十四页，共56页。SaaS45第四十五页，共56页。总结－SaaS安全SaaS==多租户的ASP（应用服务提供商）人们更加熟悉的云服务案例SaaS提供最少的数据控制能力控制（以及数据保护责任）交给服务提供商46第四十六页，共56页。总结理解基础设施（云底层的组件）的结构Hypervisor和虚拟网络对安全控制带来了部分改变，将更多的安全推到主机/虚机实例中管理平面和API库是通向云的钥匙，必须进行高强度的保护。尽可能多的采取隔离措施保护密钥设施组件，保持它们的长期安全47第四十七页，共56页。练习题什么类型的安全是防范试图以物理方式亲自进入计算设施的入侵者或访问者的第一道防线？防火墙网络安全财务安全边界安全社会安全物理安全通常是第一道防线，用于防范授权和授权的对组织物理资产的访问，对记录、商业秘密的窃取，以及工业间谍和欺诈。TRUEFALSE48第四十八页，共56页。练习题什么类型的安全是防范试图以物理方式亲自进入计算设施的入侵者或访问者的第一道防线？防火墙网络安全财务安全边界安全社会安全物理安全通常是第一道防线，用于防范授权和授权的对组织物理资产的访问，对记录、商业秘密的窃取，以及工业间谍和欺诈。TRUEFALSE49第四十九页，共56页。练习题下面哪项最可能在数据中心里被审计？一个在数据中心中运行且包含被监管信息的应用个人信息比如姓名和住址不受监管的信息非属性信息比如性别或种族等，被保存以用于EO报告用户名和密码在哪种环境下不可能允许客户自行开展审计，从而使得数据中心运营商必须为客户提供审计变得非常重要？单租户环境多应用，单租户环境多租户环境分布式计算方案远距离关系50第五十页，共56页。练习题下面哪项最可能在数据中心里被审计？一个在数据中心中运行且包含被监管信息的应用个人信息比如姓名和住址不受监管的信息非属性信息比如性别或种族等，被保存以用于EO报告用户名和密码在哪种环境下不可能允许客户自行开展审计，从而使得数据中心运营商必须为客户提供审计变得非常重要？单租户环境多应用，单租户环境多租户环境分布式计算方案远距离关系51第五十一页，共56页。练习题一个多租户数据中心如何迅速满足大多数客户的审计需求？允许客户自行审计以便满足他们自己的需求指定你的数据中心仅为非监管信息服务，这样审计就不需要了允许任意方不受限制的数据审计，特别是政府的当数据存储在一个第三方数据中心时审计是不需要的针对一项规章和安全标准模板开展审计并向客户公布审计结果使安全审计变得严重复杂化的虚拟机迁移特征是指什么？不同类别的数据在相同物理机器上可能被混合的问题将虚机从一台物理服务器转移到另一台服务器上但不产生告警或可追踪的审计踪迹的能力性能降低虚机客户加固以上都不是52第五十二页，共56页。练习题一个多租户数据中心如何迅速满足大多数客户的审计需求？允许客户自行审计以便满足他们自己的需求指定你的数据中心仅为非监管信息服务，这样审计就不需要了允许任意方不受限制的数据审计，特别是政府的当数据存储在一个第三方数据中心时审计是不需要的针对一项规章和安全标准模板开展审计并向客户公布审计结果使安全审计变得严重复杂化的虚拟机迁移特征是指什么？不同类别的数据在相同物理机器上可能被混合的问题将虚机从一台物理服务器转移到另一台服务器上但不产生告警或可追踪的审计踪迹的能力性能降低虚机客户加固以上都不是53第五十三页，共56页。练习题在多租户云计算环境中，在同一个虚拟环境中的全部租户都将：接受最低的安全公分母。接受最高的安全公分母。接受独立于虚拟化的安全服务。在相同的安全边界中。提供他们自己的安全增强。虚拟机通信如何能够绕过网络安全控制措施？大多网络安全系统无法识别加密的虚机流量虚拟机通信会使用一个硬件背板虚拟机管理程序（hypervisors）依赖多网络接口虚机