安全挑戰
1�����、云計算平臺的濫用����、惡用�����、拒絕服務攻擊
一是針對云計算服務的拒絕服務攻擊�����,會導致整個平臺的不可用�����;二是利用云計算的強大服務能力����,對其他系統發起的攻擊將是致命的�。
2�、惡意的內部員工
對于云計算服務�����,有權限����、有能力接觸并處理用戶數據的人員范圍進一步擴大�����,這種訪問范圍的擴大�����,增加了惡意的內部員工濫用數據和服務���、甚至實施犯罪的可能性��。
3�、共享技術產生的問題
資源的虛擬池化和共享是云計算的根本����,但是�����,這種共享并不是沒有代價的����,最為典型的代價就是安全上的不足�。事實上����,針對虛擬層hypervisor 的安全研究已經被廣為重視�����,從2007 年開始����,主流的虛擬層hypervisor 軟件常有漏洞被報告�����。
4�、數據泄漏
數據泄漏是云計算�、尤其是公共“云”最為廣泛的擔憂之一��。很多威脅場景都可能會導致云中數據的丟失和泄漏���,如:密鑰的丟失會導致事實上的數據毀壞�。
5�、不安全的接口和API
云計算服務商需要提供大量的網絡接口和API來整合上下游�����,發展業務伙伴���,甚至直接提供業務�。但是���,從業界的安全實踐來看�����,開發過程的安全測試��、運行過程中的滲透測試等���,不管從測試工具還是測試方法等�����,針對網絡接口和API 都還不夠成熟��,這些通常工作于后臺相對安全環境的功能被開放出來后�,帶來了額外的安全入侵入口��。
6�、賬號和服務劫持
在云環境中����,如果攻擊者能夠獲得你的賬號信息�,他們可以竊聽你的活動和交易��,操縱處理你的數據����、返回假冒你的信息�����、將你的客戶導向到假冒的站點����,并且被“劫持”的服務和賬號可能會被利用來發起新的攻擊����,并利用你的網絡“信譽”或“信用”�。
方案概述
綠盟科技結合多年的安全研究能力和安全項目實踐����,參考云安全聯盟(CSA)的觀點���,提出了云計算平臺安全技術體系框架��,如下圖所示���。
在云環境的全面安全防護和保障中�����,采用傳統安全保障技術手段和云計算安全保障技術手段結合的方法�。
1���、傳統防護手段的應用
在不同物理實體之間(服務器與服務器����、數據中心和數據中心)應采用傳統的技術手段進行防護����。
如:
Dos/DDos攻擊 :結合NSFOCUS 抗拒絕服務系統實施防御
主動Web攻擊 :結合NSFOCUS Web應用防火墻實施防御
2����、云平臺虛擬化安全防護措施
遠程安全評估系統和安全配置核查系統通過鏡像口接入云平臺核心交換機��,各類運維操作通過直接連入核心交換機的堡壘機進行控制�,并對運維全過程進行審計�����。
3��、云平臺門戶服務安全實時監測
綠盟網站安全監測服務(NSFOCUS WebSafe Service)����,可以對高校數據中心私有云門戶網站提供持續的遠程監測��,為客戶網站提供安全檢查���、安全事件監測�、實時響應和安全趨勢分析服務��。
客戶價值
針對高校數據中心私有云安全需求����,綠盟科技充分利用現有國內和國際安全標準���,利用公司在信息安全領域的成熟經驗�����,提供高校數據中心私有云安全技術體系框架���,考慮云平臺傳統物理實體以及云平臺虛擬化環境的安全需求��,設計傳統安全防護手段���、云平臺虛擬化防護措施結合云平臺門戶服務安全實時監測����,從而達到各類安全產品�、安全管理�����、整體安全策略的統一��,提供一個有針對性的云平臺安全解決方案�����。
