【云计算入门2】基本云安全
云计算入门系列目录
【云计算入门1】 云计算是什么?
【云计算入门】云部署模型
【云计算入门2】基本云安全
本文目录
- 云计算入门系列目录
- 术语和概念
- 威胁作用者(threat agent)
- 云安全威胁
- 1. 流量窃听(traffic eavesdropping)
- 2. 恶意媒介(malicious intermediary)
- 3. 拒绝服务(denial of service,DoS)
- 4. 授权不足(insufficient authorization)
- 什么是弱认证?
- 5. 虚拟化攻击(virtualization attack)
- 6. 信任边界重叠(overlapping trust boundaries)
- 7. 其他考量
- 1)有缺陷的实现
- 2) 安全策略不一致
- 3) 合约
- 4) 风险管理
- 参考资料
术语和概念
- 保密性(Confidentiality):(内容/数据)只有被授权才能访问的特性
- 完整性(ntegrity):未被未授权方篡改的特性
- 真实性(Authenticity):(内容/数据)来自经授权/认证的源的特性
- 可用性(Availability):在特定时间段内可以访问和使用的特性
- 威胁(Threat):潜在的对安全性的违背,可能试图侵犯隐私并/或导致危害,威胁实施的结果就是攻击(Attack)
- 漏洞(Vulnerability):一种可能被利用的弱点,可能是因为安全控制保护不够,或攻击手段击败了现有的安全控制
- 风险(Risk):执行一个行为带来损失或危害的可能性
- 安全控制:用来预防或响应安全威胁以及降低或避免风险的对策
- 安全机制:描述对策的形式,构成保护T资源、信息和服务的防御框架的组成部分
- 安全策略:建立一套安全规则和规章并定义如何实现和加强这些规则和规章
威胁作用者(threat agent)
指的是能实施攻击并引发威胁的实体
- 匿名攻击者(anonymous attacker)
- 恶意服务作用者(malicious service agent)
- 授信的攻击者(trusted attacker)
- 恶意内部人员(malicious insider):比如程序员删库跑路
云安全威胁
1. 流量窃听(traffic eavesdropping)
数据在传输到云或在云内部传输时被恶意的服务作用者被动地截获,用于非法的信息收集目的
2. 恶意媒介(malicious intermediary)
消息被恶意服务作用者截获并篡改,消息的保密性和完整性被破坏,甚至被插入有害的数据,使云中的虚拟服务器受到损害
3. 拒绝服务(denial of service,DoS)
以使IT资源过载至无法正确运行为目标的攻击
- 伪造的消息或重复的通信请求使云服务上的负载不正常地增加
- 网络流量过载,延长了响应时间,性能下降
- 发出多个消耗过量内存和处理器资源的云服务请求
4. 授权不足(insufficient authorization)
错误地授予攻击者访问权限或授权太宽泛,导致攻击者能够访问本应受到保护的IT资源,其变种之一是弱认证(weak authentication)
什么是弱认证?
攻击者破解了云服务用户A使用的弱密码,结果攻击者假冒成云服务用户A获得了对基于云的虚拟服务器的访问权限
因此现在的密码一般不允许太简单,需要数字和字母的组合组成。
5. 虚拟化攻击(virtualization attack)
云提供者给予云用户对虚拟化IT资源(如虚拟服务器)的管理权限,随之而来的风险就是云用户滥用这种访问权限来攻击底层物理IT资源,利用虚拟化平台中的漏洞来危害虚拟化平台的保密性、完整性和可用性,可能产生严重后果。
6. 信任边界重叠(overlapping trust boundaries)
共享云中物理T资源的不同云服务用户,其信任边界是重叠的,恶意的云用户可以把目标设定为共享的IT资源,意图损害其他共享信任边界的云服务用户或IT资源。
7. 其他考量
1)有缺陷的实现
云服务部署不合规范的设计、实现或配置会有不利的后果,而不仅仅是运行时的异常和失效。攻击者往往会利用这些存在安全缺陷或操作弱点的硬件或软件来损害云提供者的T资源和托管给云提供者的云用户的T资源的完整性、保密性和可用性。
2) 安全策略不一致
云提供者提供的信息安全方法可能与用户使用的传统方法不完全相同,这种不兼容性需要被仔细评估,以确保放置到公有云的数据或其他IT资产的安全性。
3) 合约
云用户需要很小心地检查云提供者提出的合约和SLA,确保涉及资产安全的安全策略和其他相关的保障令人满意,需要用明确的语言指明云提供者承担的责任和/或云提供者可能要求的免赔等级。云提供者承担的责任越大,云用户的风险就越低。
4) 风险管理
- 风险评估
分析云环境,识别出威胁可能利用的潜在漏洞和缺陷,根据攻击发生的概率和影响程度对识别出来
的风险进行定性和定量。 - 风险处理
采用设计好的风险减轻策略和计划处理在风险评估阶段发现的风险 - 风险控制
调查事件,审阅事件决定评估和处理的有效性,确认是否需要调整策略
参考资料
中国科学院工程科学学院云计算课程PPT不支持在 Docs 外粘贴 block
【云计算入门2】基本云安全相关推荐
- 【云计算入门1】云计算是什么?
云计算入门系列目录 [云计算入门1]云计算是什么? [云计算入门]云计算部署模型 [云计算入门2]基本云安全 本文目录 云计算入门系列目录 前言 1. 云计算简史 2. 云计算定义 2.1. 行业定义 ...
- 【云计算入门3】基础技术和并行计算模型
云计算入门系列目录 [云计算入门1] 云计算是什么? [云计算入门]云部署模型 [云计算入门2]基本云安全 [云计算入门3]基础技术和并行计算模型 本文目录 云计算入门系列目录 基础技术 计算机技术的 ...
- 【云计算入门】云部署模型
云计算入门系列目录 [云计算入门1] 云计算是什么? [云计算入门]云部署模型 [云计算入门2]基本云安全 本文目录 云计算入门系列目录 前言 一.云部署模型是什么? 二.部署模型分类 1. 公有云
- 【云计算入门3】并行互连网络、并行访存模型、当代并行机硬件架构
云计算入门系列目录 [云计算入门1] 云计算是什么? [云计算入门]云部署模型 [云计算入门2]基本云安全 [云计算入门3]基础技术和并行计算模型 [云计算入门3]并行互连网络.并行访存模型.当代并行 ...
- 倪光南院士:云计算发展须和云安全同步推进
"云计算技术具有规模巨大.广泛开放性以及复杂性等特性,意味着其安全性将面临着比以往更为严峻的考验."中国工程院院士倪光南17日在杭州召开的"2017首届中国数据安全峰会& ...
- 云计算入门基础命令行
###########严重声明################# 本人支持一切正规软件开发行为,接受知识付费理念. 并坚决抵制盗版行为,用于学习交流的非盈利目的的,且法律允许且支持的条件下,可以进行相 ...
- 金万城登录谈云计算入门扣892118)
什么是"云"? 迁移至云端.在云中运行.在云中存储.从云端访问–当今时代,似乎一切都在"云"中进行.但是,"云"究竟是一个什么样的概念? 简 ...
- 云计算入门+虚拟化技术
文章目录 前言 一.概念 1.万物互联下的云计算时代 2.需求的诞生 3.云计算关键特征 4.部署模式 5.商业模式 6.思维的变化 7.云下黑科技 8.国内的云服务提供商 二.虚拟化技术 1.什么是 ...
- 云计算入门_云计算:入门
云计算入门 One of my students asked me last night for a definition of data being "in the cloud" ...
最新文章
- 你知道R中的赋值符号箭头和等号的区别吗?
- 「北京」「10-30k」「华米科技(小米手环)」招前端工程师
- Eclipse常见问题集锦
- xpath+多进程爬取网易云音乐热歌榜。
- python连接sqlserver、怎么跨表查询_python 连接sqlserver,mysql
- 如何监视Java EE数据源
- Java+Selenium+Testng自动化测试学习(三)— 断言
- 一文搞定Python正则表达式
- Mozilla 发布新 Firefox 用户信息反跟踪策略
- 学业水平考试网登录_学业水平报名网址:http://www.eeagd.edu.cn/xyspbm/
- Apache Kafka
- 【AI】统计学和机器学习到底有什么区别?
- class DELPHICLASS TObject
- 2011年国外最受欢迎的15个音乐网站
- 使用ajaxfileupload.js上传文件成功之后,没有执行success方法
- java sql2000驱动下载_SQL Server 2000 JDBC驱动程序
- vs c++ 判断注册表键值是否存在
- Excel使用频率较高的数据处理和分析-----数据透视表
- 微信小程序开发者工具运行不了
- nuxt整合vue-pdf插件和使用createLoadingTask方法进行分页