云計(jì)算相關(guān)的安全概念 Security Concepts Relevant to Cloud Computing

1. 密碼學(xué)和密鑰管理 Cryptography and key management

1、加密技術(shù):
有許多不同類型和等級(jí)的加密技術(shù)。在云環(huán)境中，云安全專家有責(zé)任評(píng)價(jià)應(yīng)用程序的需求、所使用的技術(shù)、需要保護(hù)的數(shù)據(jù)類型，以及監(jiān)管合規(guī)或/和合同的需求。

2、傳輸狀態(tài)數(shù)據(jù):
傳輸狀態(tài)數(shù)據(jù)(Data in Transit，DiT)指數(shù)據(jù)由應(yīng)用程序處理、在內(nèi)部系統(tǒng)遍歷或在客戶端和應(yīng)用程序之間傳輸時(shí)的狀態(tài)。無論數(shù)據(jù)在云環(huán)境內(nèi)的系統(tǒng)之間傳輸，還是發(fā)送到用戶的客戶端，傳輸狀態(tài)數(shù)據(jù)都最容易遭到未授權(quán)捕獲。為保證可移植性和互操作性，云安全專家應(yīng)該針對(duì)特定云提供商的功能或局限性，使傳輸狀態(tài)數(shù)據(jù)的加密過程保持完全獨(dú)立。

3、靜止?fàn)顟B(tài)數(shù)據(jù):
靜止?fàn)顟B(tài)數(shù)據(jù)(Data at Rest，DaR)指存儲(chǔ)在系統(tǒng)或設(shè)備上的信息(相對(duì)于通過網(wǎng)絡(luò)或在系統(tǒng)之間主動(dòng)傳輸?shù)臄?shù)據(jù))。云安全專家必須確保加密方法能提供高級(jí)別安全性和保護(hù)，同時(shí)有助于獲得高性能，確保較高的系統(tǒng)速度。考慮到可移植性和供應(yīng)商鎖定(Vendor Lock-in)問題，云安全專家必須確保加密系統(tǒng)實(shí)際上不會(huì)導(dǎo)致系統(tǒng)綁定到任何云產(chǎn)品私有技術(shù)上。

4、密鑰管理:
對(duì)于任何加密系統(tǒng)而言，都需要以一種方法來正確地發(fā)布、維護(hù)和組織密鑰體系。云計(jì)算系統(tǒng)中通常\使用兩種主要的密鑰管理服務(wù)(Key Management Service，KMS)：遠(yuǎn)程方式和客戶側(cè)方式。

2. 訪問控制Access control

訪問控制結(jié)合了身份驗(yàn)證和授權(quán)這兩個(gè)主要概念，但也添加了第三個(gè)重要概念：記賬。記賬(Accounting)包括維護(hù)身份驗(yàn)證和授權(quán)活動(dòng)的日志和記錄;對(duì)于運(yùn)營(yíng)和監(jiān)管需求而言，這是至關(guān)重要的概念。

訪問管理領(lǐng)域的四個(gè)主要方面：

1、賬戶調(diào)配
在授予任何系統(tǒng)訪問權(quán)限和確定角色之前，必須在系統(tǒng)上創(chuàng)建一個(gè)新賬戶，新賬戶將構(gòu)成訪問的基礎(chǔ)。在這一階段,組織最關(guān)鍵的方面是驗(yàn)證(Validation)用戶和用于確認(rèn)(Verification)用戶身份的安全憑證，以允許用戶獲取系統(tǒng)賬戶。

2、目錄服務(wù)
任何訪問管理系統(tǒng)的主體是目錄服務(wù)器(Directory Server，DS)，DS包含應(yīng)用程序做出正確身份驗(yàn)證和授權(quán)決策需要的所有信息。

3、管理和特權(quán)訪問權(quán)限
管理賬戶和特權(quán)賬戶是指那些擁有超出系統(tǒng)用戶權(quán)限的訪問權(quán)限的賬戶

4、授權(quán)
確保用戶在系統(tǒng)中具有適當(dāng)?shù)慕巧蜋?quán)限

3. 數(shù)據(jù)和介質(zhì)凈化 Data and media sanitization

在云環(huán)境中，數(shù)據(jù)和介質(zhì)脫敏(Media Sanitation)本身存在兩個(gè)主要問題。第一個(gè)問題是能輕松高效地將數(shù)據(jù)從一個(gè)云提供商移動(dòng)到另一個(gè)云提供商(Cloud Provider)，以維護(hù)互操作性并減少供應(yīng)商鎖定。另一個(gè)問題是在離開云提供商或環(huán)境時(shí)確保能刪除和脫敏所有數(shù)據(jù)的能力。這涉及清理(Clean)和擦除(Erase)環(huán)境中的任何數(shù)據(jù)，以及確保如果丟失(Miss)或在某種存儲(chǔ)留下任何數(shù)據(jù)，任何攻擊者都無法訪問或讀取這些數(shù)據(jù)

4. 虛擬化安全 Virtualization security

虛擬化技術(shù)(Virtualization)是云基礎(chǔ)架構(gòu)的支柱，也是可伸縮性、可移植性、多租戶和資源池的基礎(chǔ)。由于虛擬化在云環(huán)境中扮演著中心角色，掌握底層虛擬機(jī)管理程序(Hypervisor)和虛擬化基礎(chǔ)架構(gòu)的安全性對(duì)于任何云安全專家而言都是絕對(duì)必要的。如果攻擊者成功利用云環(huán)境管理程序?qū)拥墓艉吐┒?，將使整個(gè)云環(huán)境面臨攻擊和威脅。

1、類型1虛擬機(jī)管理程序:
類型1虛擬機(jī)管理程序綁定到底層硬件并在其上托管虛擬機(jī)，類型1作為硬件(裸機(jī)，Bare Metal)層和主機(jī)(虛擬服務(wù)器)層之間的獨(dú)立層，常見實(shí)例是VMware ESXi。

2、類型⒉虛擬機(jī)管理程序:
類型⒉管理程序基于軟件，駐留在主機(jī)系統(tǒng)上，在其權(quán)限內(nèi)協(xié)調(diào)主機(jī)。這種情況下，虛擬機(jī)管理程序不直接綁定到裸機(jī)基礎(chǔ)架構(gòu)，而作為應(yīng)用軟件在主機(jī)操作系統(tǒng)上運(yùn)行。常見例子是VMware Workstation。

3、容器安全:
部署和使用容器(Container)的安全性面臨許多與虛擬服務(wù)器(Virtual Server)相同的挑戰(zhàn)。

5. 常見威脅 Common threats

2016年，云安全聯(lián)盟發(fā)布了《2016年云計(jì)算十二大威脅》識(shí)別出的重大威脅是云計(jì)算安全專家面臨的首要問題：

• 數(shù)據(jù)泄露(Data Breach)
• 身份、安全憑證和訪問管理不足
• 不安全的接口和API
• 系統(tǒng)漏洞(System Vulnerability)
• 賬戶劫持(Account Hijacking)
• 內(nèi)部惡意人員
• 高級(jí)持續(xù)威脅
• 數(shù)據(jù)丟失(Data Loss)
• 盡職調(diào)查不足
• 濫用和惡意使用云服務(wù)
• 拒絕服務(wù)
• 共享技術(shù)問題

6. 不同云類別的安全考慮

1、IaaS的安全問題

2、PaaS的安全問題

3、SaaS的安全問題文章來源地址http://www.zghlxwxcb.cn/news/detail-744770.html

到了這里，關(guān)于云安全技術(shù)(三）之云計(jì)算相關(guān)的安全概念的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！