云计算及云安全复习材料

云计算概述

云计算的出现和发展

NIST（美国国家标准与技术研究院）对云计算的定义：云计算是一种模型，可以实现随时随地、便捷地、按需地从可配置计算资源共享池中获取所需的资源（例如网络、服务器、存储、应用程序及服务），资源可以快速供给和释放，使管理的工作量和服务提供者的介入降低至最少。云计算并不是一项全新的技术，它是并行计算、网格计算、效用计算等技术的发展，他利用虚拟化、分布式计算等技术将IT基础设施资源集中起来，构建先进的数据中心，再根据用户的需求对资源进行动态分配，从而实现对资源的整合和高效利用。

基于部署方式的云计算分类

1. 公有云
2. 私有云
3. 混合云

云计算的交付模型

1. IaaS（基础设施即服务）
2. PaaS（平台即服务）
3. SaaS（软件即服务）
   

云计算关键技术

1. 虚拟化技术
2. 多租户技术
3. 并行计算技术
4. 分布式存储技术
5. 软件定义网络技术

云计算的特点

1. 按需自助
2. 泛在接入
3. 多租户
4. 快速弹性收缩
5. 服务可测量
6. 资源池化

云计算安全问题与安全体系

基本的云计算安全威胁

1. 基础设施层面的安全威胁
2. 数据层面的安全威胁
3. 应用层面的安全威胁
4. 管理层面的安全威胁

云安全联盟定义的安全威胁

1. 数据泄露
2. 凭据或身份验证遭到攻击或破坏
3. 接口和API被黑客攻击
4. 系统漏洞被利用
5. 账户被劫持
6. 恶意内部员工
7. 高级持续威胁
8. 数据丢失
9. 缺乏尽职调查
10. 云服务恶意使用
11. 分布式拒绝服务攻击
12. 共享科技带来的风险

国内外云安全体系架构

1. IBM
2. VMware
3. Amazon
4. 思科

云安全服务体系

云计算安全支撑体系

1. 密码基础设施
2. 认证基础设施
3. 授权基础设施
4. 监控基础设施
5. 基础安全设备

云计算数据中心安全部署

1. 环境安全部署
2. 角色管控部署
3. 安全防护部署
4. 安全监控和管理部署

云计算安全管理方法及相关模型

安全评估方法从四个方面进行

1. 资产识别
2. 威胁识别
3. 脆弱性识别和赋值
4. 风险评估和分析

相关模型

1. SSE-CMM

• 安全工程实施的标准度量标准（工程过程、风险过程、保证过程）

2. C-STAR

• 评价云安全管理能力成熟度（中立性评估模式）

基础设施安全

基础设施物理安全

1. 自然因素（物理、技术）
2. 运行威胁（能源、设备）
3. 人为因素（误操、恶意）

网络虚拟化技术

1. N:1虚拟化横向堆叠技术
2. N:1虚拟化纵向堆叠技术
3. 1:N虚拟化

Hypervisor安全

Hypervisor

1. 定义
   又称虚拟机监视器，是虚拟化的重要组成部分。是运行在基础物理服务器和操作系统之间的中间软件层，支持多个操作系统和应用共享一套基础物理硬件。
2. 类别
   裸机型、主机托关型

Hypervisor安全性

1. 建立轻量级Hypervisor
2. 保护Hypervisor的完整性（完整性度量、完整性验证）

Hypervisor防御方法

1. 合理分配主机资源
2. 扩大Hypervisor安全范围至远程控制台
3. 安装虚拟防火墙
4. 限制用户特权

安全策略

1. 虚拟机安全监控机制

• 虚拟机自省监控框架
• 基于虚拟化的安全主动监控框架（内部监控、外部监控）

2. 虚拟机间流量安全防护

• 纵向流量的安全防护
• 横向流量的安全防护

虚拟化安全

虚拟化架构组成

主机、虚拟化层软件、虚拟机

常见虚拟化架构

裸机虚拟化架构、主机虚拟化架构、操作系统虚拟化架构。

虚拟化种类

服务器虚拟化、存储虚拟化、桌面虚拟化、网络虚拟化、应用虚拟化

服务器虚拟化优势

1. 加速应用部署
2. 提高服务可用性
3. 提高应用兼容性
4. 提升资源利用率
5. 提高灵活适应力
6. 降低运营成本
7. 降低能源消耗

虚拟化给云计算环境带来的安全挑战

1. 虚拟机之间无法隔离
2. 虚拟机之间通信流量不可视
3. 网络边界动态变化
4. 虚拟化平台自身的安全
5. 资源恶意竞争
6. 虚拟机安全管理复杂
7. 过去基于主机的安全技术手段不再适用
8. 管理员权限过度集中

虚拟化安全威胁

1. 虚拟机蔓延

• 幽灵虚拟机
• 僵尸虚拟机
• 虚胖虚拟机

2. 虚拟机逃逸
3. 虚拟机跳跃
4. 拒绝服务攻击
5. 虚拟机移植攻击
6. VMBR攻击

虚拟化安全解决策略

1. 宿主机安全机制
2. 虚拟机隔离机制

• 安全内存管理
• 安全I/O管理

3. 无代理和轻代理机制