1、云計算應用及安全,chenjing_,云計算應用及安全專題講座,目錄,云計算應用及安全專題講座,引言,那些年，我們討論過的云計算,云計算應用及安全專題講座,引言,云正在改變我們的生活,云計算應用及安全專題講座,壹 。概 念,云計算應用及安全專題講座,一、概念,云計算的345 虛擬化的四大廠商,云計算應用及安全專題講座,1.1-云計算的345,3,5,4,3種交付模式,SaaS (Software-as-a- Service)軟件即服務 PaaS (Platform-as-a- Service)平臺即服務 IaaS (Infrastructure as a Service) 基礎設施即服務,美國

2、國家標準技術研究院（NIST,4種部署模式,公共云：即面向廣泛客戶群的互聯網接入服務； 私有云：針對單個機構進行配置； 社區云：針對供應鏈這類有限數量的，彼此相關的組織設計； 混合云：以上三種配置模式的任意組合,5個基本特征,按需自助式服務 寬帶接入 虛擬化的資源池 快速彈性架構 可測量的服務,云計算應用及安全專題講座,1.1-云計算的345,從傳統IT建設到云計算服務,SaaS：可以理解成通過網頁提供的服務，類似ERP、郵箱。 PaaS：可以理解為一個安裝好操作系統、數據庫、Web服務器軟件的平臺，服務商提供接口，使用者只需要直接安裝應用程序。 IaaS： 可以理解為一臺托管在運營商的服務器

3、，服務器的CPU、內存、磁盤、帶寬、IP都可以自行選擇增減,云計算應用及安全專題講座,1.2虛擬化平臺的四大廠商,宿主架構和裸金屬架構 宿主架構：主架構通常用于個人PC上的虛擬化，如WindowsVirtual PC，VMware Workstation，VirtualBox 裸金屬架構:當成主流和成熟的有VMWARE ESX、微軟Hyper-V、開源的XEN和KVM,云計算應用及安全專題講座,1.2虛擬化平臺的四大廠商,ESX是VMware的企業級虛擬化產品，2001年開始發布ESX 1.0，到2011廣月發布ESX 4.1,Hyper-V是微軟新一代的服務器虛擬化技術，首個版本于2008年

4、7月發布，目前最新版本是2011年4月發布R2 SP1版， Hyper-V有兩種發布版本：一是獨立版，如Hyper-V Server 2008，以命令行界面實現操作控制，是一個免費的版本；二是內嵌版，如Windows Server 2008，Hyper-V作為一個可選開啟的角色,XEN最初是劍橋大學Xensource的一個開源研究項目，2003年9月發布了首個版本XEN 1.0，2007年Xensource被Citrix公司收購，開源XEN轉由繼續推進，該組織成員包括個人和公司(如Citrix、Oracle等)。目前該組織在2011年3月發布了最新版本XEN 4.1,KV

5、M的全稱是Kernel-based Virtual Machine，字面意思是基于內核虛擬機。其最初是由Qumranet公司開發的一個開源項目，2007年1月首次被整合到Linux 2.6.20核心中；2008年，Qumranet被RedHat所收購，但KVM本身仍是一個開源項目，由RedHat、IBM等廠商支持。KVM作為Linux內核中的一個模塊，與Linux內核一起發布，至2011年1月的最新版本是kvm-kmod 2.6.37,云計算應用及安全專題講座,貳 。現狀,云計算應用及安全專題講座,二、現狀,整體發展情況 國內外政策 國內外現狀 標準與組織,云計算應用及安全專題講座,2.1整體

6、發展情況1,云計算應用及安全專題講座,準備階段（20072010）：主要是技術儲備和概念推廣階段，解決方案和商業模式尚在嘗試中。用戶對云計算認知度仍然較低，成功案例較少。初期以政府公共云建設為主,起飛階段（20102015）：產業高速發展，生態環境建設和商業模式構建成為這一時期的關鍵詞，進入云計算產業的“黃金機遇期”。此時期，成功案例逐漸豐富，用戶了解和認可程度不斷提高。越來越多的廠商開始介入，出現大量的應用解決方案，用戶主動考慮將自身業務融入云。公有云、私有云、混合云建設齊頭并進,成熟階段（2015）：云計算產業鏈、行業生態環境基本穩定；各廠商解決方案更加成熟穩定，提供豐富的XaaS產品。用

7、戶云計算應用取得良好的績效，并成為IT系統不可或缺的組成部分，云計算成為一項基礎設施,2.1整體發展情況2,云計算應用及安全專題講座,2.2 國內外政策1,云計算應用及安全專題講座,三、立足國情，努力實現重點領域快速健康發展（二）新一代信息技術產業。加快建設寬帶、泛在、融合、安全的信息網絡基礎設施，推動新一代移動通信、下一代互聯網核心設備和智能終端的研發及產業化，加快推進三網融合，促進物聯網、云計算的研發和示范應用。著力發展集成電路、新型顯示、高端軟件、高端服務器等核心基礎產業。提升軟件服務、網絡增值服務等信息服務能力，加快重要基礎設施智能化改造。大力發展數字虛擬等技術，促進文化創意產業發展,

8、國務院發布關于加快培育和發展戰略性新興產 業的決定（國發201032號文件,2.2 國內外政策2,云計算應用及安全專題講座,工業和信息化部和國家發展改革委于2010年10月18日聯合印發關于做好云計算服務創新發展試點示范工作的通知，確定在北京、上海、深圳、杭州、無錫等五個城市先行開展云計算服務創新發展試點示范工作。試點示范工作主要包括四個方面的重點內容： 一是推動國內信息服務骨干企業針對政府、大中小企業和個人等不同用戶需求，積極探索SaaS(軟件即服務)等各類云計算服務模式； 二是以企業為主體，產學研用聯合，加強海量數據管理技術等云計算核心技術研發和產業化； 三是組建全國性云計算產業聯盟； 四

9、是加強云計算技術標準、服務標準和有關安全管理規范的研究制定，著力促進相關產業發展,工業和信息化部和國家發展改革委,2.2 國內外政策3,云計算應用及安全專題講座,到2015年，成都云計算產業將建成云服務、基礎軟硬件設備生產和云終端產品制造三大產業集群，產業規模達到3000億元 成都將成為全球最大的云服務和終端產品制造基地。基礎軟硬件設備產業達到500億元，云終端產業規模達到2200億元，云服務規模占全國市場的比重超過10%，移動智能終端產品制造占全球市場比重超過20%， 2015年成都半數以上規模企業率先“云計算” 5年內，成都市民將全面享受個性化的云服務,2.2 國內外政策4,云計算應用及安

10、全專題講座,2.3 國內外現狀1,云計算應用及安全專題講座,2.3 國內外現狀2,云計算應用及安全專題講座,2.3 國內外現狀3,田溯寧,張明正,楊志遠,云計算應用及安全專題講座,1）美國國家標準與技術研究院NIST(National Institute of Standards and Technology)。 2）結構化信息標準推進組織OASIS(Organization for the Advancement of Structure Information Standards) 3）分布式管理任務組DMTF(Distributed Management Task Force) 4）存儲

11、工業協會SNIA(Storage Network Industry Association) 5）開放網格論壇OGF(Open Grid Forum) 6）云安全聯盟CSA(Cloud Security Alliance) 7）The Open Group是廠家中立、技術中立的聯合會。 8）云計算互操作論壇CCIF(Cloud Computing Interoperability Forum) 9）開放云聯合會OCC(Open Cloud Consortium) 10）此外還有TM Forum，，非盈利組織,推動云計算標準的10個國際組織,2.4 標準

12、與組織1,云計算應用及安全專題講座,CSA云安全聯盟,2009年4月成立，目標是推廣云安全最佳實踐和云安全培訓，編寫了針對云計算消費者和服務提供商的15個戰略領域的關鍵問題和建議，，到2010年8月底，組織成員有DMTF、OGF、ISACA等十四家組織，Dell、HP、Microsoft、Intel、Cisco、Google、Novell、CA、Oracle、Symantec、RSA、McAfee、Trend Micro、VMware等五十五家公司，成員眾多而且都是著名的大公司，所以在云計算安全最佳實踐方面比較有影響力,中國

13、加入CSA云安全聯盟的公司,綠盟科技 2009年12月成為CSA在亞太地區的第一個企業成員。 聯想網御 2010年加入 瑞星公司 2010年加入 啟明星辰 2011年加入 2011年11月1日，由國際云安全聯盟中國分會主辦，綠盟科技和啟明星辰共同承辦的第二屆云安全聯盟（CSA）高峰論壇在北京隆重召開,2.4 標準與組織2,云計算應用及安全專題講座,工信部正制定云計算標準。 2011年6月2日至3日 全國信息技術標準化技術委員會SOA標準工作組牽頭舉辦的云計算標準討論會，擬于2012年正式推出。 研究范圍：云計算基礎類標準、PaaS平臺規范、云數據存儲和管理系列標準、彈性云計算服務接口標準 20

14、11年8月 上海率先發布云計算企業認定標準,2.4 標準與組織3,云計算應用及安全專題講座,叁 。實例,云計算應用及安全專題講座,三、云計算應用實例,3.1 SaaS應用實例 3.2 PaaS應用實例 3.3 IaaS應用實例,云計算應用及安全專題講座,云計算應用及安全專題講座,云計算應用及安全專題講座,亞馬遜amazon 微軟 Microsoft 谷歌Google 紅帽 Red Hat 思杰Citrix 威睿VMWare Salesforce Rackspace,你必須知道的國外廠商,你必須知道的國內廠商,三、云計算應用實例,云計算應用及安全專題講座,SaaS是最常見的，也是最先出現的云計算

15、服務。通過SaaS這種模式，用戶只要接上網絡，通過瀏覽器就能直接使用在云上運行的應用。SaaS云供應商負責維護和管理云中的軟硬件設施，同時以免費或者按需使用的方式向用戶收費。 國外代表廠商：Salesforce、WebEx、Google、Microsoft 國內代表廠商：用友、金算盤、金碟、阿里巴巴和八百客等,國外典型應用： 1）Google Apps。中文名為“Google 企業應用套件”，它提供企業版Gmail、Google 日歷、Google 文檔和Google 協作平臺等多個在線辦公工具,2）Salesforce CRM。它是一款在線客戶管理工具，并在銷售、市場營銷、服務和合作伙伴這4

16、個商業領域上提供完善的IT支持，還提供強大的定制和擴展機制。這款產品常被業界視為SaaS產品的“開山之作,3.1 SaaS應用實例1,云計算應用及安全專題講座,3.1 SaaS應用實例2,個人應用實例Microsoft Word Web App,云計算應用及安全專題講座,八百客 800APP支持CRM（客戶關系管理）、OA（協同辦公）、HR（人力資源管理）、進銷存產品的應用研發，支持產業鏈伙伴的二次開發、行業插件管理，以及第三方軟硬件產品的廣泛集成,決策背景小米手機預訂人數超過30萬，需要一套配套的CRM系統協助呼叫中心服務客戶。客戶飛速增長，幾十萬的客戶信息，無法系統化管理。 解決方案建立聯

17、系人、聯系記錄、工單記錄等模塊，將客戶信息全部匯總到800APP-CRM系統中。 實施效果部署800APP系統無需購買軟硬件設備，快速實施上線，節省成本，節約時間,企業應用實例八百客,典型案例小米手機,3.1 SaaS應用實例3,云計算應用及安全專題講座,PaaS主要面對的用戶是開發人員。PaaS能給客戶帶來更高性能、更個性化的服務。 2007年業界第一個PaaS平臺誕生在，是Salesforce的F。Salesforce提供的完善的開發工具和框架來輕松地開發應用，而且能把應用直接部署到Salesforce的基礎設施上. 2008年4月，Google推出了Google App Engine，從

18、而將PaaS所支持的范圍從在線商業應用擴展到普通的Web應用，也使得越來越多的人開始熟悉和使用功能強大的PaaS服務,1）Google App Engine。Google App Engine提供Google的基礎設施來讓大家部署應用，還提供一整套開發工具和SDK來加速應用的開發，并提供大量免費額度來節省用戶的開支。 2）Windows Azure Platform。它是微軟推出的PaaS產品，運行在微軟數據中心的服務器和網絡基礎設施上。它由具有高擴展性的云操作系統、數據存儲網絡和相關服務組成。附帶的Windows Azure SDK（軟件開發包）提供了一整套開發、部署和管理工具和API。 3

19、)新浪 Sina App Engine（以下簡稱SAE）是新浪研發中心于2009年8月開始內部開發， SAE作為國內的公有云計算，從開發伊始借鑒吸納Google、Amazon等國外公司的公有云計算的成功技術經驗，推出不同于他們的具有自身特色的云計算平臺,3.2 PaaS應用實例1,云計算應用及安全專題講座,傳統方法建立個人博客步驟： 第一步，申請域名及空間 1，申請購買域名 2，尋找適合的空間，購買 第二步，環境的配置 1，Apache 的安裝 2，MySql的安裝 3，Php的安裝 第三步，安裝wordPress程序,應用實例新浪Sina App Engine,3.2 PaaS應用實例2,云

20、計算應用及安全專題講座,3.2 PaaS應用實例3,應用實例新浪Sina App Engine,在新浪Sina App Engine上建立個人博客,云計算應用及安全專題講座,3.2 PaaS應用實例4,典型案例烏云平臺,云計算應用及安全專題講座,IaaS(Infrastructure as a Service)基礎設施即服務 消費者可以通過 Internet 簡單的獲得的計算機基礎設施服務。 2006年年底，Amazon 發布了EC2（Elastic Compute Cloud，彈性計算云）這個IaaS云服務。由于EC2在技術和性能等多方面的優勢，這類技術終于被業界廣泛認可和接受,1）Amaz

21、on EC2 EC2主要以提供不同規格的計算資源（也就是虛擬機）為主。它基于著名的開源虛擬化技術Xen。 EC2不論在性能上還是在穩定性上都已經滿足企業級的需求。而且它還提供完善的API和Web管理界面來方便用戶使用。 Amazon S3 全名為亞馬遜簡易儲存服務（Amazon Simple Storage Service），由亞馬遜公司，利用他們的亞馬遜網絡服務系統所提供的網絡線上儲存服務。經由Web服務界面，包括REST, SOAP, 與BitTorrent，提供用戶能夠輕易把檔案儲存到網絡服務器上,3.3 IaaS應用實例1,云計算應用及安全專題講座,3.3 IaaS應用實例2,應用實例

22、Amazon EC2虛擬主機,云計算應用及安全專題講座,四、云計算的應用5-IaaS應用2,紐約時報:使用成百上千臺 Amazon EC2 實例在 36 小時內處理 TB 級的文檔數據。如果沒有 EC2，處理這些數據將要花費數天或者數月的時間,典型案例紐約時報,DropBox:使用亞馬遜的S3存儲系統存放文件。 并采用SoftLayer技術來購建后端的基礎設施。 Dropbox同步采用SSL傳輸數據，而存儲則通過AES-256進行加密。Dropbox用戶數量已經超過5000萬,典型案例DropBox,云計算應用及安全專題講座,肆 。安全,云計算應用及安全專題講座,云里漏洞知多少 云應用的風險與

23、威脅 云服務廠商安全方案 第三方廠商安全方案 安全廠商何去何從,四、云計算應用安全,云計算應用及安全專題講座,4.1 云里漏洞知多少1,2011年云計算安全威脅大事記 3月 谷歌 谷歌郵箱爆發大規模的用戶數據泄露事件，約15萬Gmail用戶發現自己的所有郵件和聊天記錄被刪除，部分用戶發現自己的賬戶被重置。 4月19日 索尼 索尼的PlayStation網絡和Qriocity音樂服務網站遭到黑客攻擊。服務中斷超過一周， PlayStation網絡7700萬個注冊賬戶持有人的個人信息失竊。 4月22日 亞馬遜 亞馬遜云位于被弗吉尼亞州的云計算中心宕機，導致回答服務Quora、新聞服務Reddit、

24、Hootsuite和位置跟蹤服務FourSquare和為網絡出版商提供游戲工具的BigDoor癱瘓。故障持續了4天。被認為是亞馬遜史上最為嚴重的云計算安全事件。 5月13日 微軟 微軟云計算交換在線(Microsoft Exchange Online)服務出現故障，導致用戶郵件信息延遲3-9小時發送。2011年6月，在微軟發布Office365前一周，微軟BPOS云托管套件服務再次中斷3小時，微軟在北美的用戶都受到了影響。 7月15日 谷歌 谷歌應用引擎Java服務出現故障，宕機超過1小時。故障原因基于云計算， 把應用程序轉到網絡上時出現了問題。 8月9日 亞馬遜 亞馬遜云服務故障約一小時，使

25、Netflix、Foursquare、維珍美國航空公司 (Virgin America)和其他幾家網站均受到影響,云計算應用及安全專題講座,4.1 云里漏洞知多少2,網盤漏洞,云計算應用及安全專題講座,Vmware平臺漏洞,4.1 云里漏洞知多少3,云計算應用及安全專題講座,云計算應用主要面臨的安全風險,4.2云應用的風險與威脅1,云計算應用及安全專題講座,成功,4.2云應用的風險與威脅2,Iaas帶來的威脅-亞馬遜平臺,云計算應用及安全專題講座,如果信用卡被盜用了呢,盜用,申請,創建,快速復制,。 。 。,4.2云應用的風險與威脅2,Iaas帶來的威脅-亞馬遜平臺,云計算應用及安全專題講座,

26、Sony PSN 事件 攻擊者通過注冊EC2服務，并以其為跳板對PSN進行攻擊，在突破隔離的基礎上，充分利用了內部流量不可見的特性進行信息竊取,基于GPU集群和EC2的SHA-1暴力破解 利用GPU的高帶寬、并行架構和低能耗結合EC2低價格、可擴展的實例集群進行。應用8個實例進行每秒40萬的密碼破解僅花費16美元/小時,Amazon云計算平臺成為僵尸網絡沃土 Amazon EC2被ZEUS僵尸網絡工具包利用建立C&C服務器；惡意人員以6美元為代價對EC2發動DDoS，同時SPAM也大量出現,4.2云應用的風險與威脅3,Iaas帶來的威脅,云計算應用及安全專題講座,4.2云應用的風險與威脅3,無

27、視余額(denial of money)攻擊,在Google文檔發布了25000張極小的圖片，然后他邀請人們來對圖片進行描述。問題由此產生了，這些極小的圖片的鏈接訪問到位于Amazon的S3存儲服務，顯然，Google的服務器有些瘋狂。“Google略帶侵略性的從Amazon攫取圖片，一次，一次，又一次，,當Google遇到Amazon：完美的云攻擊,云計算應用及安全專題講座,4.2云應用的風險與威脅4,Paas帶來的威脅,2.木馬網站,1.釣魚網站,云計算應用及安全專題講座,亞馬遜現有安全方案,2.認證密鑰,1.防火墻,4.3云服務廠商安全方案1,云計算應用及安全專題講座,4.3云服務廠商安

28、全方案2,新浪SAE現有安全方案,云計算應用及安全專題講座,4.3云服務廠商安全方案3,800app現有安全方案,防火墻,入侵檢測,SSL加密,網銀級USB硬件密鑰登陸,第三方128位加密算法數字證書,云計算應用及安全專題講座,4.4第三方廠商安全方案1,VMware現有安全方案,1. Vmware vShield,vShield Manager 用于對vShield進行集中管理。 vShield App 是一種內部 vNIC 級防火墻，允許您創建不受網絡拓撲限制的訪問控制策略。vShield App 監視ESX主機的所有傳入和傳出流量，包括同一端口組中虛擬機之間的流量。vShield App 支持流量分析和創建基于容器的策略。 vShield Edge 提供網絡邊緣安全和網關服務，用于隔離端口組。標準服務：防火墻、網絡地址轉換（NAT）、DHCP。高級服務：VPN、負載平衡。 vShield Data Security 可通過 vShield Data Security 查看存儲在組織的虛擬化環境和云環境中的敏感數據。 vShield Endpoint 能夠與第三方反病毒工具進行集成，虛擬機的反病毒掃描由與安全相關的虛擬機獨自進行,云計算應用及安全專題講座,4.4第三方廠商安全方案1