cloud CSA security alliancesm C-CCSK&云计算安全知识介绍 深圳云塔信息技术有限公司&信息安全管理先锋论坛 cloud CSA security Copyright2013CloudSecurityAlliance www.cloudsecurityalliance.org alliancesm 云计算体系架构 Broad On-Demand Rapid Elasticity MeasuredService NetworkAccess Self-Service 关键特性 Resource Pooling Softwareasa Platformasa Infrastructure asa 服务模式 Service(Saas) Service(Paas) Service (laas) Hybrid 部署模式 Public Private Community NIST云计算参考架构 cloud security Copyright@2013Cloud Security Alliance www.cloudsecurityalliance.org alliancesm 云计算体系架构 Responsibility On-Prem laas Paas Saas Dataclassification 云计算安全责任共担模型 &accountability Client&end-point laaS云服务商承担安全责任： protection 基础设施物理安全 主机架构安全 Identity&access management 云平台网络安全 Application levelcontrols laaS租户承担安全责任： 虚拟主机安全 Networkcontrols 租户内部网络安全 虚拟机应用安全 身份认证与访问控制安全 Hostinfrastructure 租户人员与终端安全 虚拟机内数据的安全 Physicalsecurity CloudCustomer CloudProvider cloud SH security Copyright2013Cloud Security Alliance www.cloudsecurityalliance.org alliancesm 云计算体系架构 CSA九大安全威肋 威胁类型 具体描述 数据泄漏 攻击者对数据的恶意获取 数据丢失 攻击者恶意删除、CSP过失、重大灾难，以及法律对数据丢失的处罚 账户劫持 恶意攻击者对账户或服务流量的劫持 不安全的接口和API 云平台通过大量API提供服务，安全性差的API会成为攻击的入口 拒绝服务 来自外部或内部的DDOS攻击 恶意的内部人员 内部人员的恶意/非法行为带来的威肋 云服务的滥用 租户恶意/非法使用虚拟机 贸然行事 企业对使用云服务风险认知不够或技术能力不足 共享技术漏洞 共享资源面临的威胁，某一组件/服务/用户受到攻击影响整体云服务 cloud CSA security Copyright2013Cloud SecurityAlliance www.cloudsecurityalliance.org alliancesm 云基础设施安全 Infrastructure Components 基础设施组件 Cloud Management infrastructure Hypervisors Plane 虚拟机管理程 Security 管理平面 序 云基础设施安全 Network 网络 cloud security Copyright@2013Cloud Security Alliance www.cloudsecurityalliance.org alliancesM 云基础设施安全 虚拟机 基础设 管理 管理程 网络 施组件 平面 序 公有云基础设施组件（样例） Network Compute Storage Controller控制 器 计算 网络 存储 APIServer Volume 物理机 VLAN管理 API服务器 Management 卷管理 Message Queue Root Os DHCP 消息队列 RawStorage Database VM 原始存储 SecurityGroups 数据库 虚拟机 cloud CSA security Copyright @2013Cloud Security Alliance www.cloudsecurityalliance.org alliancesm 基础设 虚拟机管理程序安全 虚拟机 管理 管理程 网络 施组件 平面 序 Include in Prepare to patch Know attack surface vulnerability assessment 准备打补丁 了解攻击面 开展漏洞评估 Be aware of side Disablepromiscuous networking channelattacks 警惕边信道攻击 避免混合网络连接 cloud CSA security Copyright@2013Cloud Security Alliance www.cloudsecurityalliance.org alliancesm