240 likes | 322 Views
雲 端運 算 的安全 注意事項 Cloud Computing Security Considerations.
E N D
雲端運算的安全注意事項Cloud Computing Security Considerations This paper appears in:Signal Processing, Communications and Computing (ICSPCC), 2011 IEEE International Conference onDate of Conference: 14-16 Sept. 2011Author(s):Alok Tripathi. Abhinav Mishra.IT Div., Gorakhpur Centre, Gorakhpur, India Product Type: Conference Publications 演說者: 浦仲緯
目錄 • Abstract(摘要) • Introduction(序論) • Related Work(相關工作) • Security Threats Present In The Cloud And Their Mitigation(雲端運算目前的安全威脅及如何減輕) • Secure Cloud Architecture(雲安全架構) • Conclusion(結論)
摘要 • 雲端運算不是一個新的技術,而是一種提供計算資源的新方式。 • 它是一種基於網路的服務交付模式,提供基於網路的服務,計算和存儲用戶的所有市場,包括金融醫療保健和政府。 • 這種新的經濟模式計算已經找到了一席之地,並吸引了龐大的全球投資。
雲安全已經成為雲供應商之間的一個關鍵的差異化和競爭優勢。雲安全已經成為雲供應商之間的一個關鍵的差異化和競爭優勢。 • 本文討論了在雲端運算框架的工作中出現的安全問題。它側重於使用雲服務技術所產生的安全問題,還提供了一個安全的觀點有關於雲端運算架構環境中的主要安全問題概述。 • Keywords- Cloud Computing,Security,Internet based Services,Secure Cloud Architecture
序論 • 雲端運算在網路上提供業務或客戶的IT服務應用平台是一個靈活、具成本效益和可靠的計算服務。 • 新的雲端運算概念提供了資源配置的動態可擴展性作為一種在網路上的服務,因此實現了很多的經濟效益。 • 雲端運算可以讓用戶避免前期硬體和軟體的投資過於龐大,藉由與他人合作,並充分利用雲服務供應商所提供的成熟服務。
雲端運算引起了嚴重的話題,特別是關於安全水平這一個塊。雲端運算引起了嚴重的話題,特別是關於安全水平這一個塊。 1.雲安全是幾乎完全一樣的內部安全。採用了時下的安全工具,保護內部網路的雲,也可以用來保護雲中的數據。2.為保持經濟上具有競爭力,這些安全技術應被移動到雲中。3.如果選擇優質的雲服務供應商,雲中的安全性比起當前大多數情況下將會一樣好或更好。
相關工作 • 參考了十筆文獻。 • 討論雲的安全威脅及如何減輕。 • 提出一個安全的雲架構。 • 實施後評估各種不同的安全技術。
雲端運算目前的安全威脅及如何減輕 • A. VM-Level attacks (VM-級攻擊) • B. Abuse and Nefarious use of cloud computing(雲端運算的濫用和惡意使用) • C. Lock-IN(鎖定) • D. Insecure Interfaces and APIs(不安全的介面和API)
E. Data loss or leakage(數據遺失或洩漏) • F. Account or service Hijacking(帳戶或服務被劫持) • G. Management Interface Compromise(管理界面妥協) • H. Malicious Insiders(惡意的內部人員)
A. VM-Level attacks (VM-級攻擊) • 為了建置雲,會使用像是VMware、Virtual PC等虛擬機管理程序。而這種威脅的產生是因為開發人員在這些虛擬機管理程序coding時忽略了一些事,導致這些虛擬機管理程序中出現漏洞。 • 透過IDS、IPS監控,實施防火牆,都可以減輕因VM級的漏洞所造成的威脅。
B. Abuse and Nefarious use of cloud computing(雲端運算的濫用和惡意使用) • 這種威脅的產生是由於在目前雲端運算環境中,登入系統相對較弱。 • 實施更嚴格的註冊和驗證過程。 • 詳細檢查用戶的網路流量。 • 監控網域的公共黑名單。
C. Lock-IN(鎖定) • 以鎖定客戶的方式使其不能從一個雲服務供應商遷移到另一個。 • 應採用標準化的API,這種標準化要確保雲端運算能完全接受。
D. Insecure Interfaces and APIs(不安全的介面和API) • 客戶一般都使用這些介面進行配置,管理業務流程和監控雲服務,如果弱的介面和API,可能會使組織受到各種安全威脅,如匿名登入時可重複使用ID或密碼。 • 雲服務供應商針對介面的模型進行安全分析。 • 應設置強大的身分驗證和登入控制。 • 對於發送的內容,應清楚理解關係鏈與API的關係。
E. Data loss or leakage(數據遺失或洩漏) • 數據丟失或洩漏對業務有不利影響,其原因可能是不足的認證和授權,使用不一致的加密和軟體密鑰所造成。 • 進行加密和保護數據在傳輸過程中的完整性。 • 密鑰的生成應嚴格執行,儲存和管理。
F. Account or service Hijacking(帳戶或服務被劫持) • 由於網路釣魚,詐騙軟體所產生的漏洞,攻擊者可以竊取憑據,並獲得佈署於關鍵領域的雲端運算服務。 • 共享帳戶憑據和用戶之間的服務不應該被允許。 • 多因素認證技術應該被用來在可能情況下嚴格監控檢測未經授權的行動。
G. Management Interface Compromise(管理界面妥協) • 雲服務供應商的客戶管理介面是通過網路進行瀏覽的,如果Web瀏覽器有安全漏洞,可能會造成嚴重的威脅。 • Web瀏覽器的漏洞,於提供遠端瀏覽之前應完全修補。
H. Malicious Insiders(惡意的內部人員) • 這是眾所皆知的威脅,惡意的內部人員對組織的影響是相當大的。鑒於其級別的登入權限,他們可以滲透組織和資產,以及對品牌的損害,經濟和生產力損失。 • 供應商對人力資源需求應進行全面的評估,提供整體信息安全和管理辦法。
雲安全架構 • A. Single Sign-On(單點登錄) • B. Increase Availability(提高系統的可用性) • C. Defense in Depth Approach(深度防禦的思想) • D. Single Management Console(單一的管理控制台) • E. Virtual Machine Protection(虛擬機保護)
A. Single Sign-On(單點登錄) • 在雲端運算環境中,執行用戶級別強大認證時,員工登入到多個應用程序和服務是非常困難的。 • 簡化安全管理,並在雲中加強身分認證,組織應為雲用戶設置單點登入。 • 使用戶能夠透過單點登入瀏覽多個應用程序和服務。
B. Increase Availability(提高系統的可用性) • 應在所有可用的時間皆可瀏覽雲服務,甚至在維修過程中。 • 使得雲中的關鍵業務數據,用戶始終可用。 • 減少延遲,從而增加企業利潤。 • 透過執行高可用性技術,如主動群集,動態服務器和ISP網路基礎設施來達到負載平衡。
C. Defense in Depth Approach(深度防禦的思想) • 應有一個適當分層防禦的外網以及針對入侵檢測和預防的內網。 • 應部署虛擬防火牆設備,而不單靠第一層的防火牆。 • 網管要檢查各級流量,包括基本的網頁瀏覽器流量,SSL隧道中的對等應用程序流量和網路加密流量。 • 內網應安裝IPS以保護網路免受來自內部的威脅。
D. Single Management Console(單一的管理控制台) • 部署過多的設備管理控制台將會增加人員操作上失誤。 • 應利用單一的管理控制台來管理,監控和配置所有設備。
E. Virtual Machine Protection(虛擬機保護) • 每一個雲設備下都有虛擬機。 • 為了充分保護虛擬機,他們應與其他網段隔離,並深入檢查設備以防止來自內、外部的威脅。 • 非法的內部瀏覽,通過設備應使用安全的遠端登入技術,如IPSec或SSL VPN。 • 入侵防禦系統應受到保護,限制未經授權的外部瀏覽。
結論 • 認識到雲計算所面臨的安全挑戰。 • 為了應用程序和數據的完整性和安全性,防線必須被應用。這道防線,包括防火牆,入侵檢測和預防,完整性監控,日誌檢查和惡意軟件保護。 • 積極主動的企業和服務供應商應該應用這些保護他們的雲基礎架構,實現安全,使他們能夠充分利用雲端運算的商機領先其競爭對手。