日韩av丝袜制服在线观看|久久人妻人人澡人人爽人人精品|蜜臀av一区二区三区蜜乳|丰满少妇人妻久久久久久动漫|亚洲精品区免费观看av

云計(jì)算系統(tǒng)的安全防護(hù)技術(shù)體系

2018-11-14 16:34:39分類:技術(shù)專題6596

隨著云計(jì)算應(yīng)用越來越廣泛,政務(wù)、通信、金融、電子商務(wù)等越來越多的領(lǐng)域開始使用云計(jì)算,云計(jì)算服務(wù)正穩(wěn)步成為IT基礎(chǔ)服務(wù)和信息技術(shù)關(guān)鍵基礎(chǔ)設(shè)施。云計(jì)算從2008年至今,經(jīng)歷了技術(shù)儲(chǔ)備期、服務(wù)發(fā)展期,基于其獨(dú)特的優(yōu)勢,例如減少開銷和能耗、提高業(yè)務(wù)的靈活性、按需服務(wù)、提升業(yè)務(wù)系統(tǒng)可用性和高可擴(kuò)展性等,可為用戶提供更加便捷且成本低廉的服務(wù),云計(jì)算服務(wù)正向模式成熟期邁進(jìn),期望實(shí)現(xiàn)方便、快捷、按需獲取服務(wù)的遠(yuǎn)景目標(biāo)。

然而,在云計(jì)算發(fā)展過程中安全可信問題成為阻礙其發(fā)展的首要因素。尤其云計(jì)算服務(wù)具有按需自助服務(wù)、資源池化、泛在接入、快速彈性伸縮、服務(wù)可計(jì)算等五大特征,并且具有公有云、社區(qū)云、混合云和私有云等四種部署模式,IaaS、PaaS和SaaS三種主流的服務(wù)模式,云計(jì)算服務(wù)提供者和云服務(wù)客戶兩大責(zé)任主體,因此,如何確定安全責(zé)任,如何定級(jí)、如何監(jiān)管、如何進(jìn)行安全防護(hù)技術(shù)體系設(shè)計(jì)都具有前所未有的難度。
 

云計(jì)算系統(tǒng)
 

此次修訂對(duì)云計(jì)算平臺(tái)、系統(tǒng)的擴(kuò)展設(shè)計(jì)要求進(jìn)行了規(guī)范,針對(duì)不同安全等級(jí)的云計(jì)算平臺(tái)或采用云計(jì)算技術(shù)的信息系統(tǒng)明確安全設(shè)計(jì)目標(biāo)、確定安全設(shè)計(jì)策略,并提出包括第一級(jí)至第四級(jí)云計(jì)算平臺(tái)系統(tǒng)安全保護(hù)環(huán)境的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面的設(shè)計(jì)技術(shù)要求。適用于指導(dǎo)網(wǎng)絡(luò)安全等級(jí)保護(hù)云計(jì)算平臺(tái)系統(tǒng)安全技術(shù)方案設(shè)計(jì)和實(shí)施,也可以作為網(wǎng)絡(luò)安全職能部門對(duì)云計(jì)算平臺(tái)系統(tǒng)進(jìn)行監(jiān)督、檢查和指導(dǎo)的依據(jù)。

云計(jì)算確定定級(jí)對(duì)象

1、云計(jì)算功能框架

云計(jì)算功能架構(gòu)分為五個(gè)邏輯層,資源層、云服務(wù)層、云訪問層、云用戶層和云管理層。

云用戶層:云用戶指訪問云計(jì)算平臺(tái)的各類用戶,包括云服務(wù)提供者和云服務(wù)使用者。用戶層主要是指云服務(wù)與租戶或云用戶的交互界面,例如云服務(wù)使用者對(duì)云資源的管理、對(duì)云服務(wù)的監(jiān)控,云服務(wù)使用者向云服務(wù)提供者追加或減少云資源的訂購等。

云訪問層:訪問層主要面向云服務(wù)提供者、云服務(wù)使用者提供訪問和管理,包括網(wǎng)絡(luò)通信訪問、面向云服務(wù)提供者和使用者的服務(wù)訪問以及面向最終用戶的應(yīng)用訪問等,各層之間的粗實(shí)線表示訪問的接口?;谠L問層,云服務(wù)使用者可以實(shí)現(xiàn)對(duì)云服務(wù)的自動(dòng)或手動(dòng)訪問。訪問層訪問云服務(wù)的方式是多樣的,可以基于瀏覽器的方式,也可以基于遠(yuǎn)程通信的方式(例如WebService)。實(shí)現(xiàn)安全控制是訪問層的重要功能,主要包括授權(quán)、訪問特定服務(wù)的請(qǐng)求安全加固和完整性校驗(yàn)、通信協(xié)議管控等。

云服務(wù)層:云服務(wù)層主要是面向用戶提供虛擬機(jī)等基礎(chǔ)服務(wù)、平臺(tái)服務(wù)和應(yīng)用服務(wù),也可以分為網(wǎng)絡(luò)服務(wù)、彈性計(jì)算服務(wù)、云存儲(chǔ)服務(wù)以及面向用戶的應(yīng)用服務(wù),主要的服務(wù)包括但不局限于負(fù)載均衡、虛擬主機(jī)、對(duì)象存儲(chǔ)服務(wù)、分布式數(shù)據(jù)庫與大數(shù)據(jù)計(jì)算服務(wù)等。

資源層:資源層包括云資源層和硬件設(shè)施層。云資源層包括網(wǎng)絡(luò)資源、計(jì)算資源和存儲(chǔ)資源等的資源池,并實(shí)現(xiàn)資源管理、任務(wù)調(diào)度和服務(wù)管理等方面功能。硬件設(shè)施層主要包括計(jì)算存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等硬件設(shè)備及硬件設(shè)備的運(yùn)行環(huán)境等。

云管理層(跨層功能):云管理層主要是跨層訪問功能的集合,包括對(duì)云服務(wù)的業(yè)務(wù)管理、云平臺(tái)及云服務(wù)的運(yùn)維運(yùn)營管理、以及對(duì)云平臺(tái)系統(tǒng)和服務(wù)的安全管理。業(yè)務(wù)管理主要包括產(chǎn)品目錄、賬戶管理、計(jì)費(fèi)等;運(yùn)維管理主要包括服務(wù)策略管理、服務(wù)水平協(xié)議等;安全管理主要包括認(rèn)證管理、授權(quán)管理、審計(jì)管理等。

2、定級(jí)對(duì)象確定及管理職責(zé)劃分

云計(jì)算保護(hù)環(huán)境是云服務(wù)商的云計(jì)算平臺(tái),及云服務(wù)客戶在云計(jì)算平臺(tái)之上部署的軟件及相關(guān)組件的集合。其中,云計(jì)算平臺(tái)的等級(jí)保護(hù)定級(jí)和按照等級(jí)的保護(hù)工作由云服務(wù)商負(fù)責(zé),對(duì)于大型云計(jì)算平臺(tái)可以將云計(jì)算基礎(chǔ)設(shè)施平臺(tái)及輔助支撐系統(tǒng)劃分為不同的等級(jí)對(duì)象,各自獨(dú)立定級(jí)。如果云服務(wù)客戶在云計(jì)算平臺(tái)上部署的軟件及相關(guān)組件可以構(gòu)成等級(jí)保護(hù)定級(jí)對(duì)象,則一般稱為云服務(wù)客戶信息系統(tǒng),針對(duì)其的具體定級(jí)和按等級(jí)開展的保護(hù)工作由云服務(wù)客戶負(fù)責(zé)。
 

云計(jì)算系統(tǒng)
 

云服務(wù)商的云計(jì)算平臺(tái)可以承載多個(gè)不同等級(jí)的云服務(wù)客戶信息系統(tǒng),云計(jì)算平臺(tái)的安全保護(hù)等級(jí)應(yīng)不低于其承載云服務(wù)客戶信息系統(tǒng)的最高安全保護(hù)等級(jí)。對(duì)于提供公共服務(wù)的云計(jì)算平臺(tái)安全保護(hù)等級(jí)應(yīng)不低于第二級(jí)。

定級(jí)的重點(diǎn)在于定級(jí)對(duì)象管理職責(zé)的劃分,根據(jù)不同云服務(wù)模式職責(zé)劃分邊界有所不同,具體如下:

1. 對(duì)于IaaS基礎(chǔ)設(shè)施服務(wù)模式,云服務(wù)商的職責(zé)范圍包括虛擬機(jī)監(jiān)視器和硬件,云租戶的職責(zé)范圍包括操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用;

2. 對(duì)于PaaS平臺(tái)即服務(wù)模式,云服務(wù)商的職責(zé)范圍包括虛擬機(jī)監(jiān)視器、硬件,操作系統(tǒng)、數(shù)據(jù)庫、中間件,云租戶的職責(zé)范圍主要為應(yīng)用;

3. 對(duì)于SaaS軟件即服務(wù)模式,云服務(wù)商的職責(zé)范圍包括虛擬機(jī)監(jiān)視器、硬件,操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用。云租戶的職責(zé)范圍主要有用戶訪問和用戶賬號(hào)安全。

根據(jù)數(shù)據(jù)安全管理職責(zé)不變的原則,業(yè)務(wù)數(shù)據(jù)永遠(yuǎn)由云租戶負(fù)責(zé),但是對(duì)于數(shù)據(jù)的傳輸、存儲(chǔ)等完整性和保密性措施是否能夠?qū)崿F(xiàn)則取決于云計(jì)算平臺(tái)提供的安全功能或服務(wù)。

3、確定安全保護(hù)對(duì)象

相對(duì)傳統(tǒng)信息系統(tǒng),云計(jì)算平臺(tái)或系統(tǒng)的安全保護(hù)對(duì)象所有增加。

云計(jì)算安全防護(hù)體系框架建立

云安全防護(hù)技術(shù)體系是云計(jì)算平臺(tái)或系統(tǒng)安全建設(shè)的重要指導(dǎo)和依據(jù),我們將等級(jí)保護(hù)思想融入到云安全防護(hù)體系的構(gòu)建,清晰描述了云安全防護(hù)體系建立的原則及方法,提出了基于等級(jí)保護(hù)的云安全防護(hù)技術(shù)體系框架。

云安全防護(hù)技術(shù)體系的設(shè)計(jì)方法

首先,明確保護(hù)對(duì)象;

其次,采用蛛網(wǎng)圖法分析保護(hù)對(duì)象所面臨的安全威脅及自身所存在的安全漏洞;

最后,結(jié)合威脅分析和系統(tǒng)的脆弱性提出安全防護(hù)措施。

利用蛛網(wǎng)圖法提出了針對(duì)保護(hù)對(duì)象的安全威脅、脆弱性及安全保護(hù)措施分析方法:

1. 威脅及漏洞分析:可針對(duì)云計(jì)算信息系統(tǒng)的保護(hù)對(duì)象從威脅場景、威脅來源和威脅對(duì)象三個(gè)方面來分析云計(jì)算信息系統(tǒng)所面臨的安全威脅、自身的弱點(diǎn)以及潛在影響和發(fā)生的可能性等因素,進(jìn)而分析并確定具體的安全防護(hù)需求。利用此分析方法,識(shí)別出近百種安全威脅場景,包括虛擬機(jī)逃逸、虛擬機(jī)間相關(guān)攻擊、惡意虛擬機(jī)進(jìn)行網(wǎng)絡(luò)攻擊、API持續(xù)攻擊等。并且根據(jù)不同等級(jí)信息系統(tǒng)應(yīng)該實(shí)現(xiàn)的安全防護(hù)能力,明確不同等級(jí)云計(jì)算系統(tǒng)應(yīng)對(duì)抗的安全威脅[2]。

2. 確定保護(hù)對(duì)象,詳見第二章第三節(jié)。

3. 防護(hù)措施:對(duì)于云計(jì)算安全防護(hù)措施的選定,可采用德爾菲法來進(jìn)行,廣泛邀請(qǐng)?jiān)朴?jì)算安全領(lǐng)域“政、產(chǎn)、學(xué)、研”的專家參與,充分利用專家的經(jīng)驗(yàn)和學(xué)識(shí),確保建立的安全防護(hù)措施能夠?qū)瓜鄳?yīng)等級(jí)云計(jì)算系統(tǒng)面臨的安全威脅。

2云安全防護(hù)技術(shù)體系框架

基于上述方法明確云計(jì)算安全保護(hù)措施是單點(diǎn)的、離散的,無法體現(xiàn)出云計(jì)算平臺(tái)或云計(jì)算信息系統(tǒng)整體防護(hù)、縱深防護(hù)的思想,更重要的是針對(duì)云計(jì)算服務(wù)的兩大責(zé)任主體的責(zé)任邊界需要明確,只有根據(jù)職責(zé)明確一個(gè)組織建設(shè)云計(jì)算平臺(tái)或云計(jì)算信息系統(tǒng)的目標(biāo)、對(duì)象、范圍,才能更好的進(jìn)行安全設(shè)計(jì)、規(guī)劃和建設(shè)實(shí)施。云計(jì)算安全防護(hù)技術(shù)體系框架設(shè)計(jì)方法:

根據(jù)云計(jì)算安全防護(hù)體系框架設(shè)計(jì)方法,我們需要以云計(jì)算平臺(tái)或云計(jì)算信息系統(tǒng)的界定及特征為基礎(chǔ),充分考慮云計(jì)算的功能框架和服務(wù)模式;云計(jì)算功能框架包括用戶層、訪問層、資源層、服務(wù)層和管理層(跨層功能),服務(wù)模式主要包括IaaS 、 PaaS 和SaaS,不同服務(wù)模式云服務(wù)商或云計(jì)算服務(wù)提供者與云租戶或云計(jì)算服務(wù)使用者的責(zé)任邊界不同;

云計(jì)算安全防護(hù)技術(shù)體系框架:

用戶通過安全的通信網(wǎng)絡(luò)以網(wǎng)絡(luò)直接訪問、API接口訪問和Web服務(wù)訪問等方式安全地訪問云服務(wù)商提供的安全計(jì)算環(huán)境,其中用戶終端自身的安全保障不在本部分范疇內(nèi)。

安全計(jì)算環(huán)境包括資源層安全和服務(wù)層安全。

其中,資源層分為物理資源和虛擬資源,需要明確物理資源安全設(shè)計(jì)技術(shù)要求和虛擬資源安全設(shè)計(jì)要求,其中物理與環(huán)境安全不在本部分范疇內(nèi)。

服務(wù)層是對(duì)云服務(wù)商所提供服務(wù)的實(shí)現(xiàn),包含實(shí)現(xiàn)服務(wù)所需的軟件組件,根據(jù)服務(wù)模式不同,云服務(wù)商和云服務(wù)客戶承擔(dān)的安全責(zé)任不同。

服務(wù)層安全設(shè)計(jì)需要明確云服務(wù)商控制的資源范圍內(nèi)的安全設(shè)計(jì)技術(shù)要求,并且云服務(wù)商可以通過提供安全接口和安全服務(wù)為云服務(wù)客戶提供安全技術(shù)和安全防護(hù)能力。

云計(jì)算環(huán)境的系統(tǒng)管理、安全管理和安全審計(jì)由安全管理中心統(tǒng)一管控。結(jié)合本框架對(duì)不同等級(jí)的云計(jì)算環(huán)境進(jìn)行安全技術(shù)設(shè)計(jì),同時(shí)通過服務(wù)層安全支持對(duì)不同等級(jí)云服務(wù)客戶端(業(yè)務(wù)系統(tǒng))的安全設(shè)計(jì)。

分等級(jí)安全設(shè)計(jì)實(shí)現(xiàn)
 

云計(jì)算系統(tǒng)
 

修訂中的云計(jì)算要求的級(jí)差與原標(biāo)準(zhǔn)保持一致。但是考慮到公共云平臺(tái)會(huì)部署多個(gè)租戶、多個(gè)業(yè)務(wù)系統(tǒng),一旦云計(jì)算平臺(tái)發(fā)生安全事件,影響范圍較大。因此,公共云的云計(jì)算平臺(tái)安全保護(hù)等級(jí)最低應(yīng)該為二級(jí)。

結(jié)合云計(jì)算安全防護(hù)技術(shù)體系框架,針對(duì)不同等級(jí)云計(jì)算平臺(tái)或云計(jì)算信息系統(tǒng)的明確具體的安全設(shè)計(jì)目標(biāo)、策略和技術(shù)要求,具體如下:

第1步:基于上述分析和云等保系列標(biāo)準(zhǔn)的強(qiáng)度要求,確定各等級(jí)云計(jì)算平臺(tái)安全設(shè)計(jì)的設(shè)計(jì)目標(biāo)、設(shè)計(jì)策略;

第2步:從安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等維度明確安全技術(shù)要求,明確具體安全機(jī)制;

第3步:結(jié)合云計(jì)算功能框架各個(gè)層次以及具體保護(hù)對(duì)象,針對(duì)各個(gè)功能層次及保護(hù)對(duì)象的安全技術(shù)機(jī)制實(shí)現(xiàn)的要求。

云計(jì)算的總體框架:

在安全計(jì)算環(huán)境方面,主要增加了虛擬化安全、接口安全、鏡像和快照安全等云計(jì)算安全相關(guān)的控制點(diǎn),同時(shí)也將身份鑒別、訪問控制等安全控制措施與云計(jì)算不同層次對(duì)象安全特性相結(jié)合提出相應(yīng)的安全措施,上圖給出了針對(duì)第三級(jí)接口安全、鏡像和快照安全的具體設(shè)計(jì)要求。

區(qū)域邊界設(shè)計(jì)除了互聯(lián)網(wǎng)邊界、第三方邊界、不同物理區(qū)域的邊界安全防護(hù)外,增加了虛擬網(wǎng)絡(luò)區(qū)域邊界、虛擬機(jī)與宿主機(jī)之間的區(qū)域邊界等防護(hù)安全要求。安全通信網(wǎng)絡(luò)在物理通信網(wǎng)絡(luò)基礎(chǔ)上增加了虛擬網(wǎng)絡(luò)通信的安全保護(hù)要求,安全管理中心高等級(jí)增加了對(duì)云計(jì)算安全態(tài)勢的預(yù)測、預(yù)判能力要求以及運(yùn)維地域的限定要求。

隨著云計(jì)算技術(shù)的應(yīng)用和推廣,政務(wù)、金融、通信、公共服務(wù)等越來越多的行業(yè)和領(lǐng)域開始進(jìn)行云計(jì)算平臺(tái)建設(shè),云計(jì)算安全與云計(jì)算平臺(tái)系統(tǒng)建設(shè)同步規(guī)劃、同步設(shè)計(jì)是迫切需要解決的問題,亟需相關(guān)的標(biāo)準(zhǔn)出臺(tái)給予指導(dǎo)。

本文提出云計(jì)算安全防護(hù)體系設(shè)計(jì)的方法論:

首先,研究云計(jì)算平臺(tái)或采用云計(jì)算技術(shù)的信息系統(tǒng)的界定及突出特征,確定定級(jí)對(duì)象及安全保護(hù)對(duì)象;

其次,分析云計(jì)算平臺(tái)或云計(jì)算系統(tǒng)面臨的安全威脅;

第三,按照“一個(gè)中心,三重防護(hù)”的縱深防御思想進(jìn)行云計(jì)算平臺(tái)安全防護(hù)體系設(shè)計(jì);

第四,給出安全體系結(jié)構(gòu)實(shí)現(xiàn)的技術(shù)方法,即安全設(shè)計(jì)要求指標(biāo)體系;

最后,結(jié)合等級(jí)保護(hù)不同等級(jí)的級(jí)差特點(diǎn),明確不同等級(jí)的技術(shù)要求,并給出結(jié)合云計(jì)算功能框架、保護(hù)對(duì)象的安全保護(hù)機(jī)制實(shí)現(xiàn)技術(shù)要求。

修訂工作分別針對(duì)公共云、行業(yè)云和某單位政務(wù)云安全建設(shè)開展了試點(diǎn)驗(yàn)證,在安全解決方案設(shè)計(jì)和安全建設(shè)過程中具有重要的指導(dǎo)作用,大大提升了試點(diǎn)平臺(tái)系統(tǒng)的安全防護(hù)能力。目前,云計(jì)算建設(shè)、應(yīng)用越來越廣泛,大型云計(jì)算平臺(tái)已經(jīng)成為國家關(guān)鍵基礎(chǔ)設(shè)施,保障云計(jì)算的安全成為關(guān)注焦點(diǎn),標(biāo)準(zhǔn)的頒布實(shí)施將成為指導(dǎo)云計(jì)算安全、穩(wěn)定和健康發(fā)展的基石。

上一篇:下一篇:

解讀云計(jì)算的8項(xiàng)核心技術(shù)

虛擬化支撐基礎(chǔ)架構(gòu)層面存儲(chǔ)技術(shù)擺脫硬件設(shè)備限制,擴(kuò)展性更好編程模式保證良好用戶體驗(yàn)處理技術(shù)保證數(shù)據(jù)存儲(chǔ)和訪問資源管理保證系統(tǒng)狀態(tài)穩(wěn)定安全是首要解決問題三種部署模式:公共云、私有云和混合云提高資源利用率并節(jié)省大量能源

2020-05-26

云服務(wù)器專家分析云計(jì)算能給企業(yè)帶來的機(jī)遇

互聯(lián)網(wǎng)的大數(shù)據(jù)已是大勢所趨,對(duì)于企業(yè)來說,隨著業(yè)務(wù)規(guī)模的不斷拓展擴(kuò)充,企業(yè)將面臨數(shù)據(jù)分析處理方面的難題,而云計(jì)算就能很好地應(yīng)對(duì),幫助企業(yè)適應(yīng)大數(shù)據(jù)時(shí)代,實(shí)現(xiàn)更好的發(fā)展?,F(xiàn)在云服務(wù)器專家就為大家分析云計(jì)算能給企業(yè)帶來的機(jī)遇。

2020-05-19

怎樣從物聯(lián)網(wǎng)的角度保護(hù)云計(jì)算呢?

如今,全球各地應(yīng)用的物聯(lián)網(wǎng)設(shè)備已經(jīng)達(dá)到數(shù)十億臺(tái),并且數(shù)量每年都在大量增加。不幸的是,正在開發(fā)和部署的許多物聯(lián)網(wǎng)設(shè)備卻缺乏關(guān)鍵的安全功能,這使得它們很容易成為黑客和僵尸網(wǎng)絡(luò)的目標(biāo)。如果沒有適當(dāng)?shù)陌踩胧?,這些物聯(lián)網(wǎng)設(shè)備可能會(huì)導(dǎo)致災(zāi)難性事件。

2020-03-23

云計(jì)算與物聯(lián)網(wǎng)怎樣協(xié)同工作呢?

云計(jì)算和物聯(lián)網(wǎng)通常結(jié)合在一起,但這兩者究竟是如何相互作用?雖然物聯(lián)網(wǎng)連接可以在沒有云的情況下存在,但可以肯定的是,云計(jì)算使許多物聯(lián)網(wǎng)設(shè)備能夠以更高的功率和效率運(yùn)行。為了充分了解物聯(lián)網(wǎng)中的云計(jì)算,讓我們從云計(jì)算的發(fā)展歷史開始,并探索它如何影響物聯(lián)網(wǎng)部署。

2019-10-21

怎樣應(yīng)用現(xiàn)代云計(jì)算安全的優(yōu)秀實(shí)踐?

如今,很多企業(yè)仍然擔(dān)心云計(jì)算的安全性,因?yàn)樵谶w移業(yè)務(wù)時(shí)可能會(huì)使其數(shù)據(jù)面臨風(fēng)險(xiǎn)。因此需要探索有助于加強(qiáng)云計(jì)算環(huán)境安全的現(xiàn)代方法、技術(shù)、工具。而云計(jì)算對(duì)于組織是否更安全,也存在不一致的觀點(diǎn)。云計(jì)算安全性與傳統(tǒng)內(nèi)部部署數(shù)據(jù)中心的安全性之間的最大區(qū)別在于共享責(zé)任模型。AWS、微軟、谷歌等主要云計(jì)算提供商已經(jīng)投入大量資金來應(yīng)對(duì)新出現(xiàn)的安全威脅。它們還提供廣泛的身份和訪問管理(IAM)基礎(chǔ)設(shè)施,但企業(yè)仍然需要盡其所能保障其安全。

2019-09-04