云安全的意义
Upcoming SlideShare
Loading in...5
×
 

云安全的意义

on

  • 317 views

 

Statistics

Views

Total Views
317
Views on SlideShare
317
Embed Views
0

Actions

Likes
0
Downloads
3
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

云安全的意义 云安全的意义 Presentation Transcript

  • 云安全的意义毛文波道里云公司www.daolicloud.comDaoli Company All Rights Reserved ©2011-2012Patent protected technology
  • 内容提要 数据为王时代的信息安全 谁的数据,谁的IT,谁的安全? 云安全与云计算商业模式的关系 云时代中国后发优势在信息安全上的体现与机会 技术介绍:一个装有防水墙的可信云安全操作系统 总结Daoli Company All Rights Reserved ©2011-2012Patent protected technology
  • 什么叫做“数据为王”2011年5月有人在Facebook上做过一个调查:丢失以下物件之中的哪一件最令人烦恼,给出理由: 钱包 钥匙 手机超过50%的回答:手机“我的手机里有银行号码,银行也认识我的手机号,我可以打电话指令银行立刻关掉信用卡”“可以打电话借钱、搭车”,…有43%的选择:钱包“我已经把手机的通信录都做了备份”(谢天谢地,原来数据没丢)少于6%:钥匙,大多为车钥匙“车钥匙上的数码锁太贵了,换个新的要花250美元”(还是心疼数字)Daoli Company All Rights Reserved ©2011-2012Patent protected technology View slide
  • 当IT变为服务时云计算时代的IT用户只关心能获得什么类型的服务(仅与他们所从事的业务有关)。在服务质量上用户关心的是:使用是否方便,服务是否稳定、可靠,数据是否安全,价格是否合理。即:IT用户只关心这些可以用服务水平协议(SLA)来约定的东西至于服务提供商使用了精致到多少纳米的CPU、多少吨位级的高端存储设备、什么品牌的操作系统、 多么昂贵的数据库、什么版本的软件、怎么杀毒的、甚至是如何保护信息安全的,等等,这些都是IT作为财产时的产品质量问题,IT用户既然不再购买IT产品,自然就已经不再关心这些名堂了IT拼产品质量做法的市场的成长性正在被IT拼服务质量做法的情形超越拼产品的收入多为一次性的,拼服务的收入是可循环的Daoli Company All Rights Reserved ©2011-2012Patent protected technology View slide
  • 当IT变成服务时的信息安全产品质量要讲诚信,服务质量就更要讲诚信云计算时代的信息安全是服务质量问题,是诚信问题IT拼产品时代:用户采购好产品,安全过硬的好产品就好比装了把好锁,可以防外贼IT拼服务时代:用户将数据放到服务提供商的数据中心,安全过硬的服务要防服务提供方在数据中心里的家贼在通常情况下诚信的建立靠长期提供优质服务;云计算的快速发展不能用久经考验的方式建立诚信有技术手段可以证明诚信:在技术介绍部分将介绍“可信计算”技术,就是让服务提供方提高服务诚信度的有效技术手段Daoli Company All Rights Reserved ©2011-2012Patent protected technology
  • 讨论:谁的数据,谁的IT,谁的安全?如今的“云”有多种多样,以下是我们常听到的例子: 政务云 健康云 语音云 云杀毒 云输入法 物流云 智慧云 电商云 旅游云 视频云 云游戏 …… 金融云 私有云 ……Daoli Company All Rights Reserved ©2011-2012Patent protected technology
  • 讨论:谁的数据,谁的IT,谁的安全?如今的“云”有多种多样,以下是我们常听到的例子: 政务云 健康云 语音云 云杀毒 云输入法 物流云 智慧云 电商云 旅游云 视频云 云游戏 …… 金融云 私有云 ……Daoli Company All Rights Reserved ©2011-2012Patent protected technology此类事物大多为信息服务和网上智能服务,更准确应该叫做Web2.0,不能认为是“IT作为服务”,因为相关的数据不属于用户,而属于服务提供方(别以为你发的“围脖”就是你的数据)此类东西与服务二字毫无关系,说是数据中心整合不冤枉人的
  • 云安全与云计算商业模式的关系(一)既然云是IT作为服务,不难区别“云”、“信息服务”,“IT作为财产拥有”:1)数据属于IT用户,且数据中心向IT用户提供付费服务的:真正的云2)数据属于数据中心,且数据中心向IT用户提供免费服务的:信息服务潜在云3)数据属于数据中心,且数据中心不向IT用户提供服务的:IT作为财产拥有的老黄历分析(1):由于用户数据的私有性(用户的起码安全需求),用户数据对于服务提供方不具有除收取服务费用以外的商用价值,用户只得自己付费购买服务分析(2):数据中心为提供服务所投入的资产、运维开销可以通过与非IT用户安排商机的方式来解决。什么商机?用户使用数据后会留下大量有商业价值的情报(3):IT作为财产拥有,虽然许多大公司都称之为“私有云”,其实只是数据中心整合而已,根本就不是IT服务,所以与云风马牛不相及,打上云的标签纯属商业需求为什么(2)还算与云有点“潜在”关系呢? 真正成功的云最有可能从(2)中发展壮大而成:先从信息服务主营收入来维持对云服务的投入,逐渐孵化形成可自我维持、良性发展的云服务商业模式 建造、运维数据中心所需的投入太大,云商业模式的形成周期太长,如果没有一个云之外的主营收入对云的初始与成长做持续投入,不容易成功Daoli Company All Rights Reserved ©2011-2012Patent protected technology
  • 云安全与云计算商业模式的关系(二)“信息服务潜在云”其实只是IT的很小一部分,与之相关的商机多为广告、餐饮、旅游、网络游戏、电商、……为什么“信息服务潜在云”只是IT的很小一部分,但通常我们使用的网络公司却往往都是巨大的?很可能因为大多数人记不住7个以上的网址,品牌名称(之所以使用IT,还不是因为我们的脑子太可怜嘛)IT全方位渗透我们的生活、工业、政府、教育、医疗、……..,IT产业远比那些能够养活网络公司的局部产业要大,那些能够养活网络公司的局部产业不可能养活IT产业、更不可能靠它们维持IT产业的健康发展就像IT作为财产拥有的历史一样,IT作为服务这个新兴产业也只能由IT用户付费使用(购买)服务的方式来养活并维持发展壮大IT用户为什么付费?为了良好的服务体验,稳定可靠,数据安全有保障结论:没有云安全(同样重要:没有良好的使用体验,稳定可靠的服务),用户就不会付费使用云,云计算就发展不起来Daoli Company All Rights Reserved ©2011-2012Patent protected technology
  • 云时代的中国后发优势在信息安全上的体现与机会云计算对咱们中国是个好消息:大家可以在同一个新起点上拼服务发达国家的先发优势成劣势:IT拼产品质量时代的高端技术与产品到了云时代反而成了那些高端厂商的包袱,拖了它们的后腿。怎么办呢,那家公司愿意抛弃当前的市场和现有的客户呢?中国的后发优势:既然我们本来在IT产品质量上领先的东西就几乎不存在,不在乎砸烂坛坛罐罐,从一个高起点开始:拼服务质量!这种后发优势现象早已经反映在网络和移动技术上了:中国自有自建的网络服务,电子商务,移动技术等等方面,其市场成熟度与国际市场成熟度的差距远比传统IT技术的情况要小云计算可以算是第一个中国人赶上了的产业革命,不单纯是看客,第一次能在其中发挥点作用了IT作为服务时,用户信息安全对于中国的格外机会:与发达国家先发优势相比,中国当今社会尚普遍缺乏诚信基础乃是不争之事实;于是物以希为贵:在中国做好云安全,提供诚信服务可以大有作为Daoli Company All Rights Reserved ©2011-2012Patent protected technology
  • 安全作为服务(Security-aaS):• 防用户数据违规泄漏SaaS相关安全技术:• 软件自身的保护• 用户数据的安全保护安全需求:以政府监管职能、政策法规为方法,确保网络服务商提供信息的真实性、中立性与开放性云安全挑战:• 用户数据保护难度加大• 须防范数据中心内部人员发起的攻击机会:• 可做增值服务• 安全作为服务云计算的安全问题:解决技术、方案及有效部署位置Web 2.0,Intelligence-aaSSaaSPaaSIaaS前端(客户端、终端用户)IaaS相关安全技术:• 基础设施的安全技术• 资源虚拟化安全技术• 网络管理技术• 云存储的基本安全技术• 云后端的系统升级和补丁技术• 防止提供商攻击的安全技术• 可信的虚拟化技术• 可信的数据保护• 可信的云计算架构PaaS相关安全技术:• 后端隔离技术• 数据安全• 防水墙云安全操作系统客户端相关安全技术:• 由后端集中控制的安全配置管理• 浏览器砂箱• 安全信道技术• 用户身份证明因特网终端用户所见价值后端(服务端、数据中心)Daoli Company All Rights Reserved ©2011-2012Patent protected technology
  • 强制服务诚信的技术:可信计算Trusted Computing Group (TCG) 技术:可信计算集团工业标准Trusted Platform Module (TPM):可信平台模块,迄今已超过5亿平台装有TPM启动时,TPM“度量”软件环境,运行(服务)时,TPM“报告”软件环境 攻击者无法变更平台上运行的软件环境 对防范由数据中心内部人员发起的攻击格外有效,因而可以证明服务的诚信Daoli Company All Rights Reserved ©2011-2012Patent protected technologyTP ModulehardwareBIOSbootblockBIOSOSloaderOS Application networkNew OScomponentmemoryOptionROMsmeasuringreportingstoring valuesstoring methodsRoot of trust inintegritymeasurementRoot of trust inintegrity reportingBIOSMeasuresROMsMeasuresMeasuresMeasuresSendsValue SendsValueSendsValueTrusted Platform ComponentsOS LoaderOSOther SoftwareComponentsOther SoftwareComponentsOS ComponentsOther SoftwareComponentsComponentsOS ComponentsExecution OrderBuilding Chain of Trust
  • 云安全的一项特殊需求:防水墙数据中心须防止用户数据违规向外泄漏Daoli Company All Rights Reserved ©2011-2012Patent protected technology
  • • 内、外OS都可以是虚拟桌面 (VDI) 瘦客户端,显示在同一屏幕上,也可以都跑在一台笔记本电脑上• 内、外OS可以是任意操作系统:Windows,Linux,MacOS• 在一个虚拟架构上可以跑多对内、外OS• 防水墙云安全操作系统可以跑在云数据中心里,数据中心内部人员无法获得用户数据,也无法向外泄漏用户数据硬件信任根:度量、报告MLE软件环境,管理MLE中的密钥Hardware Root of Trust (HRoT):Measures & reports MLE software environmentManages crypto keys for MLE道里云可信虚拟化架构被硬件信任根度量的启动环境HRoT Measured Launch Environment, MLE• 应用基于硬件的可信计算技术 TXT / TPM / TCM• 应用 Intel VT-x,VT-d,SR-IOV 等先进虚拟化技术• 应用 Intel AES-NI 技术实现高速存储与通信加密HRoT-MLE 功能:• 在外OS与内OS之间设置二极管单向防火墙• 对内OS存储设备自动加密• 为内OS配置基于白名单的通信伙伴“内OS”虚拟机被HRoT-MLE密封、隔离• 整个虚拟磁盘在系统安装时就被MLE完全密封• 软件、数据在运行处理时始终处于加密状态• 干扰MLE将造成无法对内OS做解封操作,从而导致内OS无法运行• 用户或服务提供方无法违规将数据从内OS取出“外OS”开放、通信不受限的各种平台截获通信实施防漏处理截获输入/输出实施密码学处理二极管单向防火墙可信云计算的一个落地应用:装有防水墙的云安全操作系统Daoli Company All Rights Reserved ©2011-2012Patent protected technology
  • 同一屏幕上显示两个远程虚拟桌面,一外一内,外OS通信不受限制数据可以无阻挡从外OS流入内OS,但流出时受到安全策略控制Daoli Company All Rights Reserved ©2011-2012Patent protected technology内OS虚拟机被整机加密:OS,用户文件,临时文件,甚至回收桶中数据,都被实时加密,不仅避免了用户管理密钥,管理文件加解密,等十分复杂,容易出错的操作,还大为简化了用户数据异地灾备时的数据安全保护流程内OS外OS
  • 总结 云安全是服务诚信 云计算是拼服务质量,云安全注重的是服务的诚信度 云计算必须依靠IT用户付费维持并发展,云安全问题不解决,用户就不会付费使用,云计算也就无法发展壮大 可信计算是一种强制云服务商提供诚信服务的有效技术 IT作为财产拥有时,用防火墙阻挡企图入侵的外贼是好方法;而当IT变为服务时,还要使用防水墙防止用户数据从数据中心向外泄漏,尤其要防范可能由家贼造成的泄漏 技术介绍:一个装有防水墙的可信云安全操作系统Daoli Company All Rights Reserved ©2011-2012Patent protected technology
  • 谢谢 Thank You