0%

第23章 云计算安全需求分析与安全保护工程

云计算安全概念与威胁分析

云计算基本概念

云计算的主要特征:

  1. IT资源以服务的形式提供

    常见的服务:基础设施即服务IaaS、平台即服务PaaS、软件即服务SaaS、数据即服务DaaS、存储即服务STaaS

  2. 多租户共享IT资源

  3. IT资源按需定制与按用付费

  4. IT资源可伸缩性部署

云计算四种部署模式:私有云、社区云、公有云和混合云

云计算安全分析

  1. 云端安全威胁:指使用云计算服务的终端设备

  2. 云“管”安全威胁:指连接用户端和与云计算平台的网络

  3. 云计算平台安全威胁

    主要网络安全威胁:

    • 云计算平台物理安全威胁
    • 云计算平台服务安全威胁
    • 云平台资源滥用安全威胁
    • 云计算平台运维及内部安全威胁
    • 数据残留
    • 过度依赖
    • 利用共享技术漏洞进行的攻击
    • 滥用云服务
    • 云服务中断
    • 利用不安全接口的攻击
    • 数据丢失、篡改或泄漏

云计算安全要求

云计算服务安全需求

云计算技术安全需求

  1. 云端安全需求分析:涉及云用户的身份标识和鉴别、资源访问控制、数据安全存储、云端设备及服务软件安全
  2. 网络安全通信安全需求分析:技术包括身份认证、密钥分配、数据加密、信道加密、防火墙、VPN、抗拒绝服务
  3. 云计算平台安全需求分析:安全需求有物理环境安全、主机服务器安全、操作系统、数据库安全、应用及数据安全、云操作系统安全、虚拟机安全和多租户安全隔离

云计算安全合规需求

  1. 云计算安全国际管理标准规范
  2. 云计算安全国内管理标准规范
    • 《关于加强党政部门云计算服务网络安全管理的意见》
    • 《云计算服务安全评估方法》
    • 《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)
    • 《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)
    • 《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》(GA/T 1390.2-2017)
    • 其他

云计算隐私保护需求

个人数据安全隐私保护要求:

  1. 数据采集:明确信息采集范围和用途,告知用户相关风险
  2. 数据传输:加密
  3. 数据存储:加密、认证、访问控制、备份
  4. 数据使用:安全控制策略规则
  5. 数据维护:数据安全生命周期管理流程
  6. 数据安全事件处置

云计算安全保护与技术方案

云计算安全等级保护框架

云计算安全防护

常见安全机制:

  1. 身份鉴别认证机制
  2. 数据完整性机制
  3. 访问控制机制
  4. 入侵防范机制
  5. 安全审计机制
  6. 云操作系统安全增强机制

云计算安全管理

云计算安全运维

安全措施:

  1. 云计算安全风险评估机制
  2. 云计算内部安全防护机制:身份认证、安全操作审计、远程安全登录
  3. 云计算网络安全监测机制
  4. 云计算应急响应机制
  5. 云计算容灾备份机制

云计算安全综合应用案例分析

阿里云安全、腾讯云安全、华为云安全、微软Azure云安全、云计算隐私保护详见P514-P524

-------本文结束  感谢您的阅读-------