模块4：云计算数据安全

模块4：数据安全©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.学习目标•云存储的交付模式•公有云中的数据安全问题•数据安全生命周期•云安全事件，以及针对安全和管理的特定安全措施•数据加密技术2©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.CloudDataArchitectures云数据架构3©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云存储的属性•池化存储•多租户•自服务，弹性•数据抽象/虚拟化•数据多副本•服务商可以访问你的数据问题：谁为数据的安全负责？4©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云存储的交付模式5BigDataObjectVolumePhysicalStorageAbstraction/ManagementDatabaseApplicationSaaSApplicationComputeInstancesIaaSPaaSSaaS©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.IaaS数据存储•IaaS提供：–Rawstorage原始存储，未格式化的磁盘–Volumestorage卷存储，格式化后的磁盘–ObjectStorage对象存储–Other(CDN)其它（内容分发网络）6BigDataObjectVolumePhysicalStorageAbstraction/ManagementIaaS©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云数据存储：原始存储原始存储：没有文件系统服务，没有任何结构，通过可编程API的远程挂载HTTPS和（有时）SSL提供访问控制，通常没有授冗余存储，通常未归档可靠的，但并非安全用户对授权，静态数据安全，应用&使用安全，共享，归档安全和数据销毁/删除负责。7©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云存储以结构化的卷出现，作为一个虚拟的磁盘或者“卷”，块的大小预先定义好，其本质上是一个虚拟硬盘•持久的&弹性的•提供访问控制，通常没有授权•通常使用HTTPS•冗余存储，通常未归档•可靠的，但并非安全用户对授权，静态数据安全，应用&使用安全，共享，归档安全和数据销毁/删除负责。8云数据存储：卷存储©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.对象存储：以虚拟文件系统的形象出现，可加载、可寻址的虚拟化文件系统，用于模仿Windows/Mac/Linux文件系统•提供完整的文件操作•提供访问控制和授权•使用HTTPS•使用数据加密以保护静态数据安全9云数据存储：对象存储©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.PaaS数据存储•PaaS提供：–数据库API或–Hadoop或大数据API–存储应用/API–PaaS后台使用：•数据库•对象存储•卷存储10DatabaseApplicationComputeInstancesPaaS©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.•云存储PAAS层交付的典型例子是DBAAS，用户不用关心数据如何在磁盘上存储和组织的，只需要使用标准的API（例如SQL）来定义和操作数据•例子：•Database.com,•SQLAzure,•AmazonEMR,•Hadoop11云数据存储：DBAAS©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.SaaS数据存储•SaaS提供：–通过web页面或应用访问的信息–内容/文件存储•SaaS在后台使用：•Database数据库•Objectstorage对象存储•Volumestorage卷存储12SaaSApplicationSaaS©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.•用户通过应用界面或API调用来存储和操作数据。服务提供商对安全负责。用户的审计、监控能力是受限的•例如：•Salesforce•goolgedoc13云数据存储：应用管理©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.存储被抽象为应用/服务的一部分。数据访问是通过应用界面或web/编程接口。服务提供商的对安全负责，用户的审计、监控能力是受限的。例如：百度云盘14云数据存储：内容/文件存储©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据分片技术15File文件Server1,Drive1服务器1，磁盘1Server2,Drive3服务器2，磁盘3Server2,Drive1服务器2，磁盘1Fragment2片段2Fragment3片段3Fragment1片段1Fragment2片段2Fragment3片段3Fragment1片段1一种数据安全技术，将一个文件的片段分散存储在不同位置，以防止数据丢失并增加攻击者获取文件的难度©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据安全生命周期16©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.如何使用生命周期•数据安全生命周期是帮助你对安全控制措施建模的工具–不要太细粒度否则建模太复杂。聚焦在大视图上。•使用生命周期决定数据的流向•然后使用它映射数据*能够*如何使用，以及它*应该*如何使用•当你能够做你不应被允许的事情时，这儿就需要插入一项安全控制措施17©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据安全生命周期18©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据安全生命周期•创建是新数据内容的产生，或替换/更新/修改已有内容。身份数据标签/分类能力•分类/分析/标签/标记是创建阶段的安全选项19Create创建•加密是主要的安全工具•直接应用于存储－但随存储类型而不同•应用/数据库层加密是一个选项•集中的密钥管理Store存储©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据安全生命周期•数据被浏览、处理或以其它方式使用•文件，数据库，APP监控•App逻辑执行•内容感知技术（DRM,DLP,DAM）•数据屏蔽20Use使用•信息可以供他人访问•传输层加密•磁盘/文件/数据库加密•访问控制•内容感知技术（DRM,DLP,DAM）•对象级数据库控制Share共享©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.•加密和资产管理•磁盘文件加密•数据加密其它方面•密钥管理21Archive归档数据安全生命周期•采用物理或数字手段永久销毁•密码粉碎•物理销毁•内容发现和验证•在云中删除数据是不够的（特别是如果合规性是一个问题的话），物理销毁在公有云中是超出你的控制的Destroy销毁©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.访问控制•访问、处理和存储数据是云的基本功能•允许的功能随着位置/用户而改变•控制措施根据用户/位置不同也不同•内部和外部访问通常有不同的安全策略•因此你需要有*多个*数据安全生命周期对数据安全生命周期的每个阶段（访问处理，存储）我们需要理解：谁使用数据它们允许在哪里使用、它们允许对数据做什么22©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.23生命周期与功能的映射关系©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.Function功能Actor参与者Location位置Possible可能的Allowed允许的Possible可能的Allowed允许的Possible可能的Allowed允许的24映射控制措施©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.服务商提供的数据安全25IaaSProviderIaaS服务商0%100%PaaSProviderPaaS服务商SaaSProviderSaaS服务商Nosecurityis100%!没有安全可以做到100%！云服务商控制一部分基础设施,他们控制的越多，你在安全控制措施方面的灵活性就越小,他们控制的越少，你负责的就越多.找出服务商提供了什么，要满足你的需求还缺少什么,然后：•选择工具/技术来弥补安全差距•在云中部署工具•修改你的过程和列表以进行验证©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据安全&加密26©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据安全工具•发现和监控•通信安全•加密存储数据•数据防泄露（DLP）•数据库活动监控以及文件活动监控（DAM&FAM）•数字版权保护（DRM）27©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据安全工具的使用28©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据传送时的保护29©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据存储加密•定位敏感数据并进行分类，以便于我们了解什么控制措施是适用的•基于数据类型应用安全控制措施•加密部署和密钥管理随云服务模型、存储模型而变化•在所有情况下，密钥应该由*你*保护和控制而不是服务商30©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云加密系统组件31EncryptionEngineKeyManagementDataStorageInstanceHardwarePublicPrivateHostNetworkComponentsLocations每个组件可以放置在不同的位置：在虚拟机中，或专有硬件上。例如：虚机中的一个密钥管理器，或者在数据中心中VPN里的一个专有硬件中。在一个私有云或者公有云中。例如，将加密引擎置于公有云的主机上，而密钥管理器运行在私有云中（以一种混合模式连接）。在主机上或网络中。例如，有的商业加密工具既可以在主机上作为agent，也可以在网络上作为一个代理运行。©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据加密实施的层次32©2012SecurosisLLCandCl