云计算安全需求分析与安全保护工程
1、云计算安全概念与威胁分析
云计算基本概念:通过虚拟化及网络通信技术,提供一种按需服务,弹性化的IT资源池服务平台;
云计算的主要特征:
- IT资源以服务的形式提供:IT资源以一种服务产品的形式提供,满足用户按需使用、计量付费的要求。包括Iaas、Paas、Saas和STaas等;
- 多租户共享IT资源:指所提供的信息服务支持多个组织或个人按需租赁;
- IT资源按需定制与按用付费:根据自身实际的资源 需求向云计算服务商按需定制或单独购买,实现即付即用和按需定制;
- IT资源可伸缩性部署:四种部署模式:私有云、社区云、公有云和混合云;
云计算安全威胁如下:
- 云端安全威胁:云终端是用户使用云计算服务的终端设备,云终端的安全性直接影响云服务的安全体验;
- 云“管”安全威胁:网络是云计算平台连接云用户的管道,在网络通信过程中,网络可能面临的安全威胁有网络监听、网络数据泄露、中间人攻击、拒绝服务等;
- 云计算平台安全威胁:主要威胁有:云计算平台物理安全威胁、云计算平台服务安全威胁、云平台资源滥用安全威胁、云计算平台运维及内部安全威胁、数据残留、过度依赖、利用共享技术漏洞进行的攻击、滥用云服务、云服务中断、利用不安全接口的攻击、数据丢失、篡改或泄露;
云计算安全要求:新增的安全需求主要是多租户安全隔离、虚拟资源安全、云服务安全合规、数据可信托管、安全运维及业务连续性保障、隐秘保护等。安全运维要求更高;
2、云计算服务安全需求
云计算平台的技术安全需求:
- 云端安全需求分析:云端的安全目标是确保云用户能够获取可信云服务。云端的安全需求主要涉及:云用户的身份标识和鉴别、云用户资源访问控制、云用户数据安全存储以及云端设备及服务软件安全;
- 网络安全通信安全需求分析:确保云用户及时访问云服务以及网上数据及信息的安全性;实现网络安全通信的技术包括:身份认证、密钥分配、数据加密、信道加密、防火墙、VPN、抗拒绝服务等;
- 云计算平台安全需求分析:确保云服务的安全可信性和业务连续性;云计算平台的安全需求主要有:物理环境安全、主机服务器安全、操作系统、数据库安全、应用及数据安全、云操作系统安全、虚拟机安全、多租户安全隔离;
云计算个人数据安全隐私保护要求:
- 数据采集;
- 数据传输;
- 数据存储;
- 数据使用;
- 数据维护;
- 数据安全事件处置;
3、云计算安全保护机制与技术方案
云计算安全等级保护框架:首先保证云计算基础设施位于中国境内,并从技术、管理两方面给出具体规定。围绕“一中心,三重防护”的原则。
- 一个中心:安全管理中心;
- 三重防护:安全计算环境、安全区域边界和安全通信网络;
云计算安全防护:
云计算网络安全机制:
- 身份鉴别认证机制:用户名/口令认证、强制密码策略、多因子认证、Kerberos;
- 数据完整性机制:要求云服务商提供高安全保障。数字签名是保护云计算数据完整性的重要措施;
- 访问控制机制;
- 入侵防范机制;
- 安全审计机制;
- 云操作系统安全增强机制;
常见的云计算安全运维的安全措施:
- 云计算安全风险评估机制;
- 云计算内部安全防护机制;
- 云计算网络安全监测机制;
- 云计算应急响应机制;
- 云计算容灾备份机制:“两地三中心”:两地是指同城、异地;三中心是指生产中心、同城容灾中心、异地容灾中心;
4、云计算安全综合应用案例分析
腾迅云安全:
1、网络安全:
- DDoS防护;
- 云防火墙:基于公有云环境的SaaS化防火墙;
- 网络入侵防护系统:通过旁路部署方式,无变更无侵入地对网络4层会话进行实时阻断;
- 腾讯云样本智能分析平台;
2、终端安全:
- 主机安全;
- 腾讯云反病毒引擎;
- 腾讯终端安全管理系统;
- 腾讯云零信任无边界访问控制系统;
- 移动终端安全管理系统;
3、应用安全:
- 腾讯云Wen应用防火墙;
- 腾讯应用级智能网关;
- 漏洞扫描服务;
- 移动应用安全;
- 手游安全;
4、业务安全:
- 天御借贷反欺诈;
- 保险反欺诈;
- 登录保护服务;
- 腾讯云验证码;
- 腾讯云活动防刷;
- 注册保护服务;
- 营销风控服务;
- 文本内容安全服务;
- 营销号码安全;
- 业务风险情报;
5、数据安全:
- 腾讯云堡垒机;
- 腾讯云数据安全审计;
- 数据安全治理中心;
- 敏感数据处理;
- 云加密机;
6、安全管理:
- 安全运营中心;
- 安全运营中心(私有云);
- 密钥管理系统;
- 凭据管理系统;
7、安全服务:
- 专家服务;
- 公共互联网威胁量化评估;
- 网络资产风险监测系统;
8、身份认证