您好,欢迎访问三七文档
当前位置:首页 > 行业资料 > 其它行业文档 > 模块4:云计算数据安全
模块4:数据安全©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.学习目标•云存储的交付模式•公有云中的数据安全问题•数据安全生命周期•云安全事件,以及针对安全和管理的特定安全措施•数据加密技术2©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.CloudDataArchitectures云数据架构3©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云存储的属性•池化存储•多租户•自服务,弹性•数据抽象/虚拟化•数据多副本•服务商可以访问你的数据问题:谁为数据的安全负责?4©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云存储的交付模式5BigDataObjectVolumePhysicalStorageAbstraction/ManagementDatabaseApplicationSaaSApplicationComputeInstancesIaaSPaaSSaaS©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.IaaS数据存储•IaaS提供:–Rawstorage原始存储,未格式化的磁盘–Volumestorage卷存储,格式化后的磁盘–ObjectStorage对象存储–Other(CDN)其它(内容分发网络)6BigDataObjectVolumePhysicalStorageAbstraction/ManagementIaaS©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云数据存储:原始存储原始存储:没有文件系统服务,没有任何结构,通过可编程API的远程挂载HTTPS和(有时)SSL提供访问控制,通常没有授冗余存储,通常未归档可靠的,但并非安全用户对授权,静态数据安全,应用&使用安全,共享,归档安全和数据销毁/删除负责。7©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云存储以结构化的卷出现,作为一个虚拟的磁盘或者“卷”,块的大小预先定义好,其本质上是一个虚拟硬盘•持久的&弹性的•提供访问控制,通常没有授权•通常使用HTTPS•冗余存储,通常未归档•可靠的,但并非安全用户对授权,静态数据安全,应用&使用安全,共享,归档安全和数据销毁/删除负责。8云数据存储:卷存储©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.对象存储:以虚拟文件系统的形象出现,可加载、可寻址的虚拟化文件系统,用于模仿Windows/Mac/Linux文件系统•提供完整的文件操作•提供访问控制和授权•使用HTTPS•使用数据加密以保护静态数据安全9云数据存储:对象存储©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.PaaS数据存储•PaaS提供:–数据库API或–Hadoop或大数据API–存储应用/API–PaaS后台使用:•数据库•对象存储•卷存储10DatabaseApplicationComputeInstancesPaaS©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.•云存储PAAS层交付的典型例子是DBAAS,用户不用关心数据如何在磁盘上存储和组织的,只需要使用标准的API(例如SQL)来定义和操作数据•例子:•Database.com,•SQLAzure,•AmazonEMR,•Hadoop11云数据存储:DBAAS©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.SaaS数据存储•SaaS提供:–通过web页面或应用访问的信息–内容/文件存储•SaaS在后台使用:•Database数据库•Objectstorage对象存储•Volumestorage卷存储12SaaSApplicationSaaS©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.•用户通过应用界面或API调用来存储和操作数据。服务提供商对安全负责。用户的审计、监控能力是受限的•例如:•Salesforce•goolgedoc13云数据存储:应用管理©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.存储被抽象为应用/服务的一部分。数据访问是通过应用界面或web/编程接口。服务提供商的对安全负责,用户的审计、监控能力是受限的。例如:百度云盘14云数据存储:内容/文件存储©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据分片技术15File文件Server1,Drive1服务器1,磁盘1Server2,Drive3服务器2,磁盘3Server2,Drive1服务器2,磁盘1Fragment2片段2Fragment3片段3Fragment1片段1Fragment2片段2Fragment3片段3Fragment1片段1一种数据安全技术,将一个文件的片段分散存储在不同位置,以防止数据丢失并增加攻击者获取文件的难度©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据安全生命周期16©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.如何使用生命周期•数据安全生命周期是帮助你对安全控制措施建模的工具–不要太细粒度否则建模太复杂。聚焦在大视图上。•使用生命周期决定数据的流向•然后使用它映射数据*能够*如何使用,以及它*应该*如何使用•当你能够做你不应被允许的事情时,这儿就需要插入一项安全控制措施17©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据安全生命周期18©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据安全生命周期•创建是新数据内容的产生,或替换/更新/修改已有内容。身份数据标签/分类能力•分类/分析/标签/标记是创建阶段的安全选项19Create创建•加密是主要的安全工具•直接应用于存储-但随存储类型而不同•应用/数据库层加密是一个选项•集中的密钥管理Store存储©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据安全生命周期•数据被浏览、处理或以其它方式使用•文件,数据库,APP监控•App逻辑执行•内容感知技术(DRM,DLP,DAM)•数据屏蔽20Use使用•信息可以供他人访问•传输层加密•磁盘/文件/数据库加密•访问控制•内容感知技术(DRM,DLP,DAM)•对象级数据库控制Share共享©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.•加密和资产管理•磁盘文件加密•数据加密其它方面•密钥管理21Archive归档数据安全生命周期•采用物理或数字手段永久销毁•密码粉碎•物理销毁•内容发现和验证•在云中删除数据是不够的(特别是如果合规性是一个问题的话),物理销毁在公有云中是超出你的控制的Destroy销毁©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.访问控制•访问、处理和存储数据是云的基本功能•允许的功能随着位置/用户而改变•控制措施根据用户/位置不同也不同•内部和外部访问通常有不同的安全策略•因此你需要有*多个*数据安全生命周期对数据安全生命周期的每个阶段(访问处理,存储)我们需要理解:谁使用数据它们允许在哪里使用、它们允许对数据做什么22©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.23生命周期与功能的映射关系©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.Function功能Actor参与者Location位置Possible可能的Allowed允许的Possible可能的Allowed允许的Possible可能的Allowed允许的24映射控制措施©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.服务商提供的数据安全25IaaSProviderIaaS服务商0%100%PaaSProviderPaaS服务商SaaSProviderSaaS服务商Nosecurityis100%!没有安全可以做到100%!云服务商控制一部分基础设施,他们控制的越多,你在安全控制措施方面的灵活性就越小,他们控制的越少,你负责的就越多.找出服务商提供了什么,要满足你的需求还缺少什么,然后:•选择工具/技术来弥补安全差距•在云中部署工具•修改你的过程和列表以进行验证©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据安全&加密26©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据安全工具•发现和监控•通信安全•加密存储数据•数据防泄露(DLP)•数据库活动监控以及文件活动监控(DAM&FAM)•数字版权保护(DRM)27©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据安全工具的使用28©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据传送时的保护29©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据存储加密•定位敏感数据并进行分类,以便于我们了解什么控制措施是适用的•基于数据类型应用安全控制措施•加密部署和密钥管理随云服务模型、存储模型而变化•在所有情况下,密钥应该由*你*保护和控制而不是服务商30©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云加密系统组件31EncryptionEngineKeyManagementDataStorageInstanceHardwarePublicPrivateHostNetworkComponentsLocations每个组件可以放置在不同的位置:在虚拟机中,或专有硬件上。例如:虚机中的一个密钥管理器,或者在数据中心中VPN里的一个专有硬件中。在一个私有云或者公有云中。例如,将加密引擎置于公有云的主机上,而密钥管理器运行在私有云中(以一种混合模式连接)。在主机上或网络中。例如,有的商业加密工具既可以在主机上作为agent,也可以在网络上作为一个代理运行。©2012SecurosisLLCandCloudSecurityAllianceAllRightsReserved.数据加密实施的层次32©2012SecurosisLLCandCl
本文标题:模块4:云计算数据安全
链接地址:https://www.777doc.com/doc-5928041 .html