等保云计算安全

---

云计算简介

云需要一组资源（例如处理器和内存），并将它们放到一个大的池中（在这种情况下使用虚拟化）；消费者从池中获得需要的东西（例如8个CPU和16GB内存）；云将这些资源分配给客户端，然后由客户端连接到网络并在网络上使用这些资源。

NIST对云计算定义
云计算是一种模式，是一种无处不在的，便捷的，按需的，基于网络访问的，共享使用的，可配置的计算资源（例如网络、服务器、存储、应用和服务）。可以通过最少的管理工作或与服务提供商的互动快速制备并发布。

五个基本特征

1. 按需自助

   • 自主性强：用户可以根据自己的需要，无需或很少需要云服务提供商的人工干预，即可自助获取和管理云端资源。
   • 即时获取：用户可以实时地获得所需的资源，并立刻开始使用，无需等待，提升了效率。

2. 无所不在的网络访问

   • 接入便捷：用户可以通过多种设备如电脑、手机等，在不同的网络环境下接入云服务。
   • 位置无关：用户可以在全球任何地点访问云资源，不受地理位置限制。

3. 资源池化

   • 高效利用：将多个用户的资源需求合并到一个资源池中，实现资源的最大化利用和共享。
   • 抽象化管理：用户无需了解资源的具体位置和配置，云服务提供商通过平台统一管理。

4. 快速弹性

   • 动态扩展：用户可以根据实际需求灵活地增加或减少资源，以应对业务量的变化。
   • 成本效益：避免了长期闲置资源的浪费，用户可以根据使用量进行付费，优化成本结构。

5. 可度量的服务

   • 监控透明：用户能够实时监控资源使用情况，及时了解消费量和成本。
   • 持续优化：云服务提供商可以基于用户使用数据持续优化服务，提升服务质量。

三种服务模式

1. 软件即服务（SaaS）

   • 基本概念：
     SaaS是通过互联网提供应用程序的一种服务模式，用户可以直接通过浏览器使用这些应用程序。

   • 用户群体：
     SaaS的主要用户是一般消费者和企业，特别是那些希望通过现收现付模式使用软件的用户。

   • 核心优势：
     SaaS的核心优势在于其便捷性和可访问性，用户无需安装和运维软件，可以随时随地通过网络访问应用程序。

   • 运用场景：
     常见的SaaS应用包括电子邮件服务、客户关系管理系统（CRM）、办公自动化软件等，用户只需订阅服务即可立即开始使用。

2. 平台即服务（PaaS）

   • 基本概念：
     PaaS为开发者提供了一个平台，该平台通常包括操作系统、编程语言执行环境、数据库和Web服务器等。

   • 用户群体：
     PaaS的主要用户是软件开发者，他们可以利用这些预先配置好的环境来开发、测试和部署应用程序。

   • 核心优势：
     PaaS的核心优势在于其可以加速应用程序的开发和部署，因为开发者无需管理底层的硬件和软件基础设施。

   • 运用场景：
     例如，企业可以使用PaaS快速开发和部署新的Web服务或移动应用，从而缩短产品上市的时间。

3. 基础设施即服务（IaaS）

   • 基本概念：
     IaaS提供了虚拟化的硬件资源，例如虚拟机、存储、网络等，用户可以在这些虚拟资源上部署和运行任意操作系统及应用程序。

   • 用户群体：
     IaaS的主要用户是系统管理员，他们可以通过这种方式管理企业的IT基础设施，而无需实际购买和维护物理硬件。

   • 核心优势：
     IaaS的核心优势是其弹性和可扩展性，用户可以根据实际需要动态调整资源，从而优化成本效益。

   • 运用场景：
     例如，企业可以在IaaS平台上迅速搭建一个虚拟的数据中心，用以支撑临时的大数据处理任务或短期的项目需求。

四个部署模式

1. 私有云（Private Cloud）

   • 举例说明：假设一家大型企业需要处理大量的敏感数据并且要求高安全性，该企业可能会选择建立一个私有云。这个私有云仅限制在企业内部网络中访问，由企业的IT部门或委托第三方进行管理。这种模式下的云基础设施可以位于企业自己的数据中心，也可以由外部服务提供商提供专用资源。例如，金融机构常使用私有云存储客户信息和执行交易操作，以保证数据安全和遵守相关法规。

   • 优点：提供了高度的隐私和安全，因为数据和应用都限定在组织内部。还提供了定制化服务，可以根据组织需求灵活配置资源。

   • 缺点：相对于其他云模式，建立和维护私有云的成本较高，也需要较为专业的技术团队来管理和维护。

2. 社区云（Community Cloud）

   • 举例说明：一个由多个有共同需求的中小企业组成的协会，他们可能会共同投资建设一个社区云。这个共享的云基础设施托管在外部服务提供商那里，或者由社区成员共同管理。各企业在这个平台上共享资源，如共用的CRM系统或订单处理系统，从而降低成本并提高协同效率。

   • 优点：通过合作分担基础设施成本，获得比单个企业独立运营更为经济高效的服务。

   • 缺点：由于是多方共享，可能需要协调一致的运维策略，且安全性可能因为多方介入而变得复杂。

3. 公共云（Public Cloud）

   • 举例说明：一个初创公司需要建立网站和后台系统，但缺乏建立和维护IT基础设施的资金。该公司可以使用公共云服务，如Amazon Web Services (AWS)或Google Cloud Platform (GCP)，按需购买计算资源、存储和带宽。这种方式下，初创公司只需支付实际消耗的资源，无需担心硬件维护和升级问题。

   • 优点：提供了极高的灵活性和可扩展性，以及“按需付费”的支付模式，降低了初始运营成本。

   • 缺点：对于非常敏感的数据或应用，可能存在一定的安全风险，因为数据中心和基础设施是由第三方控制的。

4. 混合云（Hybrid Cloud）

   • 举例说明：一家大型多媒体公司可能同时使用公共云和私有云。他们可能将面向公众的服务如流媒体服务放在公共云上以应对高访问量，同时将版权保护严格的内容生产和内部运营管理系统置于私有云上确保安全。这两个云环境通过技术手段实现数据和应用的互联互通。

   • 优点：结合了公共云的可扩展性和私有云的安全性，提供了灵活的数据管理策略。

   • 缺点：管理相对复杂，需要兼顾两种环境的技术兼容性和数据传输安全性。

测评对象选择

测评对象

• SaaS：设施，硬件，资源抽象控制层，虚拟化计算资源，软件平台，应用平台

• PaaS：设施，硬件，资源抽象控制层，虚拟化计算资源，软件平台

• IaaS： 设施，硬件，资源抽象控制层

安全责任

• SaaS：
  云服务商：基础架构层硬件，虚拟化，云服务层，虚拟机，数据库，中间件，业务应用
  云租户：数据

• PaaS：
  云服务商：基础架构层硬件，虚拟化，云服务层，虚拟机，数据库
  云租户：中间件，业务应用，数据

• IaaS：
  云服务商：基础架构层硬件，虚拟化，云服务层
  云租户：虚拟机，数据库，中间件，业务应用，数据

详细表格：云计算测评对象选择+指标选择

云计算流量模式

• 东西向流量
  指不同服务器之间的流量或数据中心与不同数据中心直接的流量。

• 南北向流量
  指客户端与服务器端的流量。

云计算环境

云计算环境有无边界、分布式的特性，但是每个云数据中心服务器仍然是局部规模化集中部署的。通过对每个云数据中心进行安全防护，可以实现云基础设施边界安全。

云隔离技术

• VPC虚拟网络隔离技术
  在公共云环境中构建逻辑隔离的网络区域，实现不同云服务客户的网络资源隔离，以保障用户资源的安全性和私密性的技术。

• VXLAN虚拟扩展局域网
  一种网络协议，属于网络虚拟化技术，它将二层的以太网帧封装到UDP报文中，在三层网络中传输，从而解决了传统VLAN技术无法满足大二层网络需求的问题。

  VPC与VXLAN区别：
  简单来说，VPC更多地关注于提供云环境中的网络隔离和自定义，而VXLAN则是一种技术，用于在物理网络之上构建大规模的虚拟网络，以支持更广泛的网络虚拟化需求。

• 云防火墙

  1. 基于业务可视化的结果进行业务梳理和业务隔离技术，帮助用户实现了云环境中东西向流量的隔离。

  2. 内置威胁入侵防御模块（IPS），支持失陷主机检测，主动外连行为阻断，业务间访问关系可视。

  3. 实现集中管理EIP（弹性公网），支持基于ip地址和端口的访问控制，支持基于域名和应用的访问控制。

云攻击行为检测

1. 流量安全监控设备：对云入口镜像流量包的深度解析实时检测各种攻击和异常流量。

2. 虚拟机层面的防恶意代码软件：进行基线核查，对恶意文件进行扫描，对恶意进程进行查杀，提供入侵检测功能。

3. 主机入侵检测系统：实时检测云环境中的所有物理服务器主机，并能及时发现文件篡改，进程异常，网络连接异常，可以端口监听等情况。

4. 态势感知系统：能从攻击者的角度有效捕捉高级攻击者使用0day漏洞及新型病毒攻击事件，展示正在发生的攻击行为，实现了业务安全的可视化和可感知，解决因网络攻击导致的数据泄露问题，并能通过溯源服务追踪攻击者身份。

名称解释

• ECS：实例
  ECS是一种提供弹性计算能力的服务，允许用户在云上获取虚拟机资源，以便部署和运行应用程序。用户可以根据自身需求选择不同的实例类型和配置，灵活地扩展或缩减资源。ECS免除了用户自建机房和采购硬件的需求，实现了计算资源的即时获取和弹性伸缩。

• VPS：虚拟专用服务器
  是一种基于虚拟化技术的托管解决方案，允许在单个物理服务器上创建多个隔离的虚拟环境。每个VPS可以像独立的服务器一样运行，拥有自己的操作系统、应用程序和资源分配，同时保持与宿主物理服务器上的其他VPS的隔离。

  • ECS和VPS区别

    1. 弹性伸缩
       ECS：可以根据业务需求自动调整计算资源，如CPU、内存等，无需人工干预，响应业务量变化。
       VPS：计算资源通常固定，难以根据业务负载变化进行动态调整。

    2. 性能配置
       ECS：用户可以自由选择操作系统、CPU、内存、存储等配置，满足各种应用需求。
       VPS：通常提供固定的配置选项，用户选择的自由度较低。

    3. 可靠性
       ECS：提供数据冗余、快速故障恢复等高可靠性保障。
       VPS：可靠性取决于宿主机及其配置的备份策略。

    4. 安全性
       ECS：多层次的安全防护措施，包括网络隔离、访问控制、数据加密等。
       VPS：安全性依赖于宿主机及用户自行配置的防护措施。

    5. 管理维护
       ECS：一般提供自动化管理和运维工具，降低管理复杂性。
       VPS：需要用户自行管理和维护，适合有技术背景的用户。

    6. 成本价格
       ECS：通常价格较高，但提供更全面的服务和性能保障。
       VPS：价格相对较低，适合预算有限或计算需求不高的用户。

    7. 应用场景
       ECS：适合需要高度灵活性、可扩展性和高可用性的中大型应用场景。
       VPS：适合小型网站或轻量级应用，预算有限且对性能要求不是特别高的用户。

• RDS：关系型数据库服务
  RDS则提供了一种托管型的数据库服务，它允许用户在云上部署和管理关系型数据库。与传统的ECS部署数据库相比，RDS提供了更多的自动化管理功能，如自动备份、恢复、监控及报警等，极大地简化了数据库运维工作。由于只能通过内网访问，RDS还提供了增强的安全性能。

• OSS：运营支撑系统
  OSS是电信业务开展和运营时所必需的支撑平台。OSS是电信运营商的一体化、信息资源共享的支持系统，它主要由网络管理、系统管理、计费、营业、账务和客户服务等部分组成，系统间通过统一的信息总线有机整合在一起。操作与支持系统包括操作维护中心和网络管理中心。它负责全网的通信质量及运行的检验和管理，记录和收集全网运行中的各种数据的情况。它对全网内各设备之间都有连接线，并对各设备执行监视和控制的职能。

• EIP：弹性公网
  EIP则是云计算中的一种固定公网IP地址服务，可以动态绑定到ECS实例上，使实例能够与Internet通信。EIP非常适合那些需要稳定公网IP以提供服务的应用，例如Web服务器或者FTP服务。

• SLA：服务水平协议
  云服务商和云服务客户签订的服务水平协议。协议内容包含信息安全管理需求，云服务商所提供的云服务的内容及云服务商需要提供的技术指标。