云计算安全

WEB应用安全和数据库安全的领航者！
杭州安恒信息技术有限公司
www.dbappsecurity.com.cn

目录
• 什么是云计算
• 什么是云计算安全
• 云计算安全专题探讨
–虚拟机安全
–Hadoop安全
–NoSQL数据库安全
–云安全标准
–杂项探讨
• 云计算安全中的应用安全

提问
• 什么是云计算？

安全是云计算中的主要问题

提问
• 云安全
• 云计算安全

云安全
• 瑞星全功能安全软件2011依托亚洲最大的
云安全数据中心、世界级反病毒虚拟机和
专业虚拟化引擎这三大技术根基，全面提
升运作效能，有效解决黑客攻击、木马病
毒、钓鱼网站等安全问题。
• 360
• 金山
• 趋势

安全的目标
• 机密性
• 完整性
• 可用性
• 可控性
• 不可抵赖性

信息安全模型
• PD2R模型：保护（Protection）、检测
（Detection）、反应（Reaction）、恢复
（Restore）
• 一个安全的信息系统不仅仅要考虑环境安
全和技术安全，还要考虑管理安全；不仅
仅能够提供静态的保护能力，包括防止和
降低故障、损害，还需要具备主动防御的
能力，能够及时发现攻击，并能够从破坏
中恢复

云计算安全的主要问题
• 关键议题
• trust信任
• multi-tenancy多租户
• encryption加密
• compliance合规性

云计算安全的优势
• 优势
– 将公共数据放到外部云减少内部敏感数据的泄
露
– 云同构使得安全审计和测试更为简单
– 支持自动化安全管理
– 冗余/灾难恢复

云计算安全的挑战
• 挑战
– 信任供应商的安全模型
– 客户不能对审计调查结果进行反应
– 调查的支持
– 间接的管理职能
– 专有的实现不能被检查
– 缺少实体控制

云计算的安全控制模型

云计算安全的13个关键域
• 云架构
– D1 云计算架构框架
• 云的治理
– D2 治理与企业风险管理
– D3 法律与电子证据发现
– D4 合规与审计
– D5 信息生命周期管理
– D6 可移植性和互操作性

云计算安全的13个关键域
• 云的运行
– D7 传统安全、业务连续性和灾难恢复
– D8 数据中心运行
– D9 应急响应、通告和补救
– D10 应用安全
– D11 加密和密钥管理
– D12 身份和访问管理
– D13 虚拟化

云计算安全的顶级威胁
• 云计算的滥用和不法使用
• 不安全的接口和API
• 恶意的内部人员
• 共享技术问题
• 数据丢失或泄漏
• 账户或服务劫持
• 未知风险预测

云计算迁移
• 在云部署过程中识别资产：数据；应用/功
能/过程
• 评估资产
• 将资产映射到可能的云部署模型
• 评估可能的云服务模式和提供商：关注点
是每个SPI层次上你能拥有的控制等级，以
实现不同的风险管理要求。
• 画出潜在的数据流：找出风险暴露点
• 结论

Vmware vShield Solutions
DMZ PCI
compliant
HIPAA
compliant
•Securing the Private Cloud End to End: from the Edge to the Endpoint
Edge
•vShield Edge 1.0
•Secure the edge of
the virtual datacenter
Security Zone
•vShield App 1.0 and
Zones
•Application protection from
network based threats
Endpoint = VM
•vShield Endpoint 1.0
•Enables offloaded anti-
virus
•Virtual Datacenter 1 •Virtual Datacenter 2
Web Test & Dev

云存储安全
• 常见云存储方案
– Google GFS：一个master和大规模的
chunkServer组成
– HDFS
– 金海教授：ppStore
• 存储安全
• 传输安全

Hadoop中的安全
• 使用Kerberos和SSO
• MapReduce加入了授权
• 分布缓存更安全：分为共享和私有

Hadoop中的安全威胁
• 用户到服务认证
– NameNode没有用户认证
– DataNode没有用户认证－0.21中修正
– JobTracker没有用户认证
• 用户可以修改和终止别人的任务，修改状态
• 服务到服务认证
– DataNode和TaskTracker之间没有认证
• 用户可以伪装DataNode和TaskTracker、
• 传输和磁盘未加密

NoSQL数据库一般用在什么地方
• 云计算：Saas厂商
• SNS
• Portal：混合传统型数据库

NoSQL安全威胁（CouchDB）
• 连接污染
• JSON注入
• View注入
– CouchDB使用SpiderMonkey作为脚本引擎，
这些脚本叫Views
• 键破解

NoSQL,No SQL Injection（MongoDb）
• MongoDB SQL注入演示数据准备
– use testdb
– user={"user":"yyq","password":"yyq"}
– db.users.insert(user);
– db.users.insert({"user":"yyq2","password":"yyq
2"})
– db.users.find();

MongoDB SQL注入演示1
• 启动Apache
• http://localhost:8080/mongodb/login.html
• http://localhost:8080/mongodb/login-
check.php?user_name=yyq2&u
ser_pass[$ne]=1
• 后台变为：username=‘yyq’ and
user_pass != ‘1’h

云安全相关标准（IaaS）
• DMTF（分布式管理工作组）OVF(Open
Virtualization Format)
• SNIA（存储网络行业协会）CDMI(Cloud
Data Management Interface)
• OGF（开放网格计算论坛）OCCI(open
cloud computing interface)

云安全相关标准
• 身份和访问管理(IAM)
– IdM federation (SAML, WS-Federation, Liberty ID-FF)
– Strong authentication standards (HOTP, OCRA,
TOTP)
– Entitlement management (XACML)
• 数据加密(at-rest, in-flight), 密钥管理
– PKI, PKCS, KEYPROV (CT-KIP, DSKPP), EKMI
• 记录和信息管理(ISO 15489)
• E-discovery (EDRM)

杂项探讨
• 云计算：是集中还是分散
• 账号安全：OpenID
• 隐私保护：支付宝实名认证和微博授权码
• 短链接带来的安全问题
• 物联网与IPV6

云计算安全中的应用安全
• 云安全
• 云计算安全
– D4 合规与审计：数据库审计
– D5 信息生命周期管理
– D9 应急响应、通告和补救：SOC
– D10 应用安全：WAF、Web扫描器、Portal
– D12 身份和访问管理：堡垒主机

云计算安全

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (9)

Similar to 云计算安全

Similar to 云计算安全 (20)

云计算安全

Editor's Notes