云计算安全解决专项方案Word文件下载.docx
《云计算安全解决专项方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《云计算安全解决专项方案Word文件下载.docx(6页珍藏版)》请在冰豆网上搜索。
高可扩展性。
“云”规模能够动态伸缩,满足应用和用户规模增加需要。
廉价。
因为“云”特殊容错方法能够采取极其廉价节点来组成云,所以用户能够充足享受“云”低成本优势。
现在各家所提云安全处理方案,大全部依据自己企业对云平台安全了解,结合本企业专长,专注于某首先安全。
然而,对于用户来说云平台是一个整体,急需一套针对云平台整体保护技术方案。
针对云平台信息安全整体保护技术研究是大势所趋,整体保护技术体系建立,必将使云计算得以愈加健康、有序发展。
2.云计算安全体系架构
云计算平台和传统计算平台最大区分在于计算环境,云平台计算环境是经过网络把多个成本相对较低计算实体整合而形成一个含有强大计算能力系统,这么一个系统势必比传统意义上计算环境要愈加复杂。
对云平台计算环境保护也是云平台下信息安全整体保护体系重中之重。
强大、方便云计算服务是经过用户端最终展现给用户,在云计算环境完成了用户所要求工作或服务后,这些工作、服务结果应经过一个安全路径传输并最终展现在用户端上。
云计算环境下通信网络就是确保云计算环境到用户端、云计算环境之间进行信息传输和实施安全策略部件。
区域边界是云计算环境和云通信网络实现边界连接和实施安全策略相关部件。
真正云计算环境应是可控,在这一可控云区域和其外部不可控区域之间,应遵照一套规则来确保只有经过认证用户才能管理和使用云,从而确保云计算环境区域安全。
云计算环境内部各个部件正常运转、数据在云内安全传输、云计算环境和云区域边界上安全机制实施,全部需要进行统一安全管理。
操作、使用云服务,也应遵守一定管理规章制度。
云计算环境下安全管理就是一套对云计算环境内部和云边界安全机制实施统一管理,并控制操作、使用云计算服务行为手段。
3.云计算面临安全隐患
3.1云平台安全隐患
(1)应用配置不妥。
当你在云基础架构中运行应用和开发平台时,应用在默认配置下安全运行概率机会基础为零。
所以,你最需要做事就是改变应用默认安装配置。
要熟悉一下应用安全配置步骤,也就是说假如要使用它们,就要知道怎样确保其安全,因为它们占据了PaaS云架构中全部应用80%之多。
(2)平台构建漏洞,可用性、完整性差。
任何平台全部存在漏洞风险,有些平台极端环境下可用性、完成性工作能力不够,比如在大量网络连接下,web服务器承受能力等。
在对外提供API平台应用中,编程环境漏洞、堆栈溢出漏洞、高权限非法获取漏洞全部会存在。
(3)SSL协议及布署缺点。
对PaaS用户而言,第三个需要考虑威胁是SSL攻击。
SSL是大多数云安全应用基础。
现在,众多黑客小区全部在研究SSL,SSL在很快未来或许会成为一个关键病毒传输媒介。
所以,用户必需明白目前形势,并采取可能措施来缓解SSL攻击,这么做只是为了确保应用不会被暴露在默认攻击之下。
(4)云数据中非安全访问许可。
对于PaaS用户而言,第四个需要考虑威胁是需要处理对云计算中数据非安全访问问题。
尽管说这似乎是一个特定环境下问题,但我经过测试发觉,很多应用实际上存在严重信息漏洞,数据基础访问许可往往设置不妥。
从安全角度讲,这意味着系统需要同意访问权限太多。
3.2应用服务层安全隐患
(1)数据安全。
SaaS提供是一个数据托管服务,成千上万企业将自己信息托管于SaaS服务商。
在信息输过程中极易丢失或被非法入侵主机黑客篡改、窃取,为病毒所破坏或因为程序而不小心被其它使用者看到。
(2)垃圾邮件和病毒。
病毒、蠕虫邮件在网络中传输大量占用用户网络带宽资源,企业中被感染局域网用户机器被植入木马程序,可能造成敏感、机密信息数据泄露(如关键文件、账号密码等)。
(3)软件漏洞,版权问题。
(4)操作系统和IE浏览器安全漏洞。
因为现在操作系统、lE浏览器漏洞较多,轻易被病毒、木马程序等破坏。
而也就是因为这么用户口令丢失事情时有发生,从而使得安全性得不到保障。
(5)人员管理和制度管理缺点。
服务商内部人员诚信、职业道德可能造成安全危险,另外,安全法律制度不健全,保密规范和条款缺失,也是一个急需处理问题。
(6)缺乏第三方监督认证机制。
3.3基础设施层安全隐患
(1)首先用户数据在云中会存在泄露危险。
当用户迁移到云时候,对于用户和她们数据来说,有两大改变。
其一,相对于用户地理位置来说,数据会被远程存放;
其二,数据通常是从单租户环境迁移到多租户环境,这就是数据泄露问题发生源头。
数据泄露只不过是一个用户到另一个用户数据迁移,实际上在云中每个用户全部应该只能访问她们自己数据,而不能访问其它用户数据。
(2)计算服务性能不可靠。
关键包含硬件和软件问题。
硬件问题包含服务器、存放、网络问题,硬件不兼容、不稳定和不易维护性,这全部有可能造成计算性能不可靠;
软件关键指统一布署和硬件之上虚拟化软件可靠性能,包含兼容性、稳定性、可维护性等。
(3)远程管理认证危险。
IaaS资源在远端,所以你需要一些远程管理机制,这就存在认证上危险,比如账户盗用,冒用,丢失等。
(4)虚拟化技术所带来风险。
因为IaaS基于虚拟化技术搭建,虚拟化技术所带来风险便不可避免,包含堆栈溢出、权限管理、虚拟化管理程序软件会成为被攻击目标等等。
(5)用户本身焦虑。
包含我数据放在哪里,怎样确保我数据安全性等。
(6)服务中止。
包含数据中心宕机,停止对外服务,和灾难、电力供给等毁灭性破坏。
这类破坏大部分为不可抗拒性破坏,因为IaaS从层面上来说,更靠近底层硬件设施,所以对硬件设施这些问题,应该给更多关注。
这类事件一旦发生,便会造成数据中心毁灭性破坏。
4.云计算安全处理方案
4.1确保云平台安全
(1)严格参考手册进行配置。
严格根据应用程序供给商提供安全手册进行配置,尤其是在Windows环境下,你需要含有确保IIS、MicrosoftSQL和.NET安全能力。
不要留有默认密码或不安全Guest账户。
(2)确保补丁能够立即得到更新。
需要依靠应用供给商来提供正确应用配置或配置补丁具体步骤。
这里最关键问题是要立即,必需要确保自己有一个变更管理项目,来确保SSL补丁和变更程序能够快速发挥作用。
(3)重新设计安全应用。
要处理这一问题,需要从两方面来考虑。
首先需要对你应用进行重新设计,把安全工作做得更细一点,来确保使用应用全部用户全部能被证实是真实可靠。
其次,经过这么做,你能够应用合适数据和应用许可制度,来确保全部访问控制决议全部是基于用户授权来制订。
4.2确保应用服务层安全
(1)建立可信安全平台。
结合防火墙、入侵检测、病毒防治、权限控制和安全邮件技术,确保网络传输时系统应用和数据存放、传输安全性。
(2)数据存放和备份。
这里数据存放和备份针对运行数据,要达成安全性和实时性相结合。
在SaaS环境下,为各个步骤做冗余设计,确保任何一个硬件或软件单点故障全部不会影响整个SaaS运行。
(3)选择可靠操作系统,定时升级软件补丁,并关注版权信息。
选择稳定主流操作系统,定时更新操作系统和软件补丁,定时扫描漏洞。
有条件用户能够选择安全教授对系统做评定,并选择定制网络设备或硬件设施。
(4)对服务器跟用户端安全全部要重视。
对于用户端,最好采取经过SSL服务器端认证HTTPS协议,确保全部传输数据全部是加密过,以确保数据传输安全。
同时对于身份认证,能够考虑给USBKey方法,唯一识别用户身份。
对于服务器方面,能够使用虚拟化高可用技术,以确保任意一台服务器出现故障,不会影响系统整体可用性。
(5)选择可靠SaaS提供商。
首先,可靠SaaS提供商应该含有业界领先成熟安全技术,比如对于SaaS邮件提供商,成熟反病毒、反垃圾邮件技术必不可少。
其次,知识产权也比较关键,SaaS提供商拥相关键知识产权,能够确保以后服务延续性和可靠性。
最终,SaaS提供商最好要有业界良好信誉和安全资质,能够确保服务运行可靠性和可信度,并能够提供连续技术支持。
(6)安全管理。
首先,最好建立第三方监理制度,应用第三方监理确保科学化、公平化、专业化,才能使SaaS更合理、有效运行下去。
其次,安全制度也很关键,要建立服务商和用户之间诚信体系,社会方面也需要提供外部法律支持,使泄露用户商机行为能够收到惩处。
良好信用体系是SaaS安全发展一个必需条件。
再次,需要加强对人员技术知识和应急安全事件处理能力培训,增强安全管理意识,并遵守安全管理规范。
4.3确保基础设施层安全
(1)数据可控和数据隔离。
对于数据泄漏风险而言,处理这类风险关键经过数据隔离。
能够经过三类路径来实现数据隔离:
其一,让用户控制她们需要使用网络策略和安全。
其二,从存放方面来说,用户数据应该存放在虚拟设备中,因为实际上虚拟存放器在更大存放阵列上,所以采取了虚拟存放,便能够在底层进行数据隔离,确保每个用户只能看到自己对应数据。
其三,在虚拟化技术实现中,能够考虑大规模布署虚拟机以实现愈加好隔离,和使用虚拟存放文件系统,比如VMwareVMFS文件系统。
(2)综合考虑数据中心软硬件布署。
在软硬件选择中,考虑品牌厂商,硬件选择要综合考虑质量、品牌、易用性、价格、高可维护性等一系列原因,并选择性价比高厂商产品。
(3)建立安全远程管理机制。
依据定义,IaaS资源在远端,所以你需要一些远程管理机制,最常见远程管理机制包含:
VPN:
提供一个到IaaS资源安全连接。
远程桌面、远程Shell:
最常见处理方案是SSH。
Web控制台UI:
提供一个自定义远程管理界面,通常它是由云服务提供商开发自定义界面。
对应安全策略以下:
A.缓解认证威胁最好措施是使用双因子认证,或使用动态共享密钥,或缩短共享密钥共享期。
B.不要依靠于可反复使用用户名和密码。
C.确保安全补丁立即打上。
D.对于下面这些程序:
SSH:
使用RSA密钥进行认证;
微软远程桌面:
使用强加密,并要求服务器认证;
VNC:
在SSH或SSL/TLS隧道上运行它;
Telnet:
不要使用它,假如你必需使用它,最好经过VPN使用。
E.对于本身无法保护传输数据安全程序,应该使用VPN或安全隧道(SSL/TLS或SSH),推荐首先使用IPSEC,然后是SSLv3或TLSv1。
(4)选择安全虚拟化厂商和成熟技术。
最好选择要能有连续支持和对安全长久关注厂商。
定时更新虚拟化安全补丁,并关注虚拟化安全。
成熟虚拟化技术不仅能够预防风险,在很大情况下还能增强系统安全性,比如VMware对有问题虚拟机隔离,DRS系统动态调度等。
(5)建立健全IT行业法规。
在云计算环境下,用户不知道自己数据放在哪儿,所以会有一定焦虑,比如我数据在哪儿,安全吗?
等等疑问。
在IaaS环境下,因为虚拟机含有漂移特征,用户很大程度上不知道数据到底存放在那个服务器、存放之上。
另外因为数据独有特点,一旦为她人所知,价值便会急剧降低。
这需要从法律、技术两个角度来规范,首先建立健全法律,对数据泄漏、IT从业人员不道德行为进行严格约束,从人为角度预防出现数据泄漏等不安全现象。
其次,开发虚拟机漂移追踪技术、IaaS下数据独特加密技术,让用户能够追踪自己数据,感知到数据存放安全。
(6)针对忽然服务中止等不可抗拒新原因,采取异地容灾策略。
服务中止等
升级会员 