安全挑战
1、云计算平台的滥用、恶用、拒绝服务攻击
一是针对云计算服务的拒绝服务攻击,会导致整个平台的不可用;二是利用云计算的强大服务能力,对其他系统发起的攻击将是致命的。
2、恶意的内部员工
对于云计算服务,有权限、有能力接触并处理用户数据的人员范围进一步扩大,这种访问范围的扩大,增加了恶意的内部员工滥用数据和服务、甚至实施的可能性。
3、共享技术产生的问题
资源的虚拟池化和共享是云计算的根本,但是,这种共享并不是没有代价的,典型的代价就是安全上的不足。事实上,针对虚拟层hypervisor 的安全研究已经被广为重视,从2007 年开始,主流的虚拟层hypervisor 软件常有漏洞被报告。
4、数据泄漏
数据泄漏是云计算、尤其是公共“云”广泛的担忧之一。很多威胁场景都可能会导致云中数据的丢失和泄漏,如:密钥的丢失会导致事实上的数据毁坏。
5、不安全的接口和API
云计算服务商需要提供大量的网络接口和API来整合上下游,发展业务伙伴,甚至直接提供业务。但是,从业界的安全实践来看,开发过程的安全测试、运行过程中的渗透测试等,不管从测试工具还是测试方法等,针对网络接口和API 都还不够成熟,这些通常工作于后台相对安全环境的功能被开放出来后,带来了额外的安全入侵入口。
6、账号和服务劫持
在云环境中,如果攻击者能够获得你的账号信息,他们可以你的活动和交易,操纵处理你的数据、返回你的信息、将你的客户导向到的站点,并且被“劫持”的服务和账号可能会被利用来发起新的攻击,并利用你的网络“信誉”或“信用”。
方案概述
绿盟科技结合多年的安全研究能力和安全项目实践,参考云安全联盟(CSA)的观点,提出了云计算平台安全技术体系框架,如下图所示。
在云环境的全面安全防护和保障中,采用传统安全保障技术手段和云计算安全保障技术手段结合的方法。
1、传统防护手段的应用
在不同物理实体之间(服务器与服务器、数据中心和数据中心)应采用传统的技术手段进行防护。
如:
Dos/DDos攻击 :结合NSFOCUS 抗拒绝服务系统实施防御
主动Web攻击 :结合NSFOCUS Web应用防火墙实施防御
2、云平台虚拟化安全防护措施
远程安全评估系统和安全配置核查系统通过镜像口接入云平台核心交换机,各类运维操作通过直接连入核心交换机的堡垒机进行控制,并对运维全过程进行审计。
3、云平台门户服务安全实时监测
绿盟网站安全监测服务(NSFOCUS WebSafe Service),可以对高校数据中心私有云门户网站提供持续的远程监测,为客户网站提供安全检查、安全事件监测、实时响应和安全趋势分析服务。
特点优势
客户价值
针对高校数据中心私有云安全需求,绿盟科技充分利用现有国内和国际安全标准,利用公司在信息安全领域的成熟经验,提供高校数据中心私有云安全技术体系框架,考虑云平台传统物理实体以及云平台虚拟化环境的安全需求,设计传统安全防护手段、云平台虚拟化防护措施结合云平台门户服务安全实时监测,从而达到各类安全产品、安全管理、整体安全策略的统一,提供一个有针对性的云平台安方案。
