第10章 云安全机制

10.1 加密

• 加密机制可以对抗流量窃听、恶意媒介、授权不足和信任边界重叠

10.1.1 对称加密

• 加密与解密时用同一个密钥，这两个过程都是授权的各方用共享的密钥执行的。对称加密不具备不可否认性，当有多方使用同一个密钥时，无法判断是哪一方执行的加密和解密。

10.1.2 非对称加密

• 使用两个不同的密钥，称为公钥和私钥。私钥为所有者私钥，公钥共享。私钥加密只能通过对应的公钥解密，因此私钥加密提供了真实性、不可否认性和完整性保护。公钥加密只能用对应的私钥进行解密，因此提供了保密性保护，但不提供完整性和真实性的保护。
• Web数据传输的加密机制通过HTTPS实现。HTTPS是用SSL/TLS作为HTTP底层加密协议。TLS（传输层安全）是SSL（安全套接字层）的后继。TLS用非对称加密的方法交换密钥，密钥交换完毕后切换到对称加密。

10.2 哈希

• 一种单向、不可逆的数据保护机制。这种机制常见于密码的存储
• 利用哈希可以用来获得消息摘要。消息摘要添加到消息后面，用于验证消息是否发生篡改。
• 哈希可以用于保护存储数据、减轻恶意媒介和授权不足带来的云威胁。

10.3 数字签名

• 一种通过身份验证和不可否认性来提供数据真实性和完整性的手段。发送消息时，附加一个数字签名，如果消息被篡改，数字签名就会变得非法。
• 数字签名可以通过非对称加密（用私钥加密）和哈希实现。用私钥对消息摘要进行加密，附加到消息摘要后面。接受者收到后对消息进行哈希得到一个消息摘要，用公钥对加密后的消息摘要进行解密，如果一致则保证了消息的完整性。

10.4 公钥基础设施

• 管理非对称密钥颁发的常用方法是基于公钥基础设施（PKI）机制的，它是由一个协议、数据格式、规则和实施组成的系统。这个系统用来把公钥与对应私钥所有者对应起来（公钥身份识别）。
• PKI依赖于使用数字证书。数字证书是带数字签名的数据结构，它与公钥一起来验证证书所有者身份以及相关信息，例如有效期。数字证书通常由第三方证书颁发机构（CA）数字签发的。

10.5 身份与访问管理

• 身份与访问管理（IAM）包括控制和追踪用户身份以及IT资源、环境、系统访问特权的必要组件和策略。
  IAM机制由四个主要部分组成：
• 认证：如用户名和密码的组合，还支持数字签名、数字证书、生物特征识别硬件、把用户账号和注册IP或MAC地址进行绑定等
• 授权：授权组件定义正确的访问控制粒度，监管身份、访问控制权力和IT资源可用性之间的关系。
• 用户管理：负责创建新的用户身份和访问组，重设密码、定义密码策略和管理特权。
• 证书管理：建立对已定义的用户账号的身份和访问控制的规则。
  +10.6 单一登陆
• 单一登陆时为了解决跨越多个云服务为云服务用户传播认证和授权，特别是在需要大量的云服务或IT资源时的困难。
• 单一登陆（SSO）机制使得一个云服务用户能够被一个安全代理认证。这个安全代理建立起一个安全上下文，当云用户访问其他云服务或IT资源时，这个上下文被持久化。否则，云用户需要在后续的每个请求中认证自己
• 这个机制不直接抵抗任何云威胁，主要增强基于云的环境的访问并管理分布式IT资源。

10.7 基于云的安全组

10.8 强化的虚拟服务器映像

• 强化是将不必要的软件从系统中剥离出来，避免了潜在的漏洞。例如关闭不必要的端口，不使用的服务、内部根账户和宾客访问。
• 强化的服务器映像能够帮助对抗拒绝服务‘授权不足和信任边界重叠等威胁。