云计算应用及安全专题讲座PPT.pptx

《云计算应用及安全专题讲座PPT.pptx》由会员分享，可在线阅读，更多相关《云计算应用及安全专题讲座PPT.pptx（58页珍藏版）》请在三一文库上搜索。

1、云计算应用及安全 chenjing_ 目录 引言 那些年，我们讨论过的云计算！ 引言 云正在改变我们的生活！ 壹 。概 念 一、概念 1. 云计算的345 2. 虚拟化的四大厂商 1.1-云计算的345 3 5 4 3种交付模式 SaaS (Software-as-a- Service)软件即服务 PaaS (Platform-as-a- Service)平台即服务 IaaS (Infrastructure as a Service) 基础设施即服务 美国国家标准技术研究院（NIST ） 4种部署模式 公共云：即面向广泛客户群的互联网 接入服务； 私有云：针对单个机构进行配置； 社区云：针对供

2、应链这类有限数量的 ，彼此相关的组织设计； 混合云：以上三种配置模式的任意组 合。 5个基本特征 1. 按需自助式服务 2. 宽带接入 3. 虚拟化的资源池 4. 快速弹性架构 5. 可测量的服务 1.1-云计算的345 从传统IT建设到云计算服务 用户户需求传统传统 IT解决方案 操作系统购买 服务器购买 ERP系统购买或开发 网站系统购买或开发 用户户需求云计计算 解决方案 操作系统租用IaaS服务 服务器租用IaaS服务 ERP系统租用SaaS服务 网站系统租用PaaS服务 SaaS：可以理解成通过网页提供的服务，类似ERP、邮箱。 PaaS：可以理解为一个安装好操作系统、数据库、Web

3、服务器软件 的平台，服务商提供接口，使用者只需要直接安装应用程序。 IaaS： 可以理解为一台托管在运营商的服务器，服务器的CPU、内 存、磁盘、带宽、IP都可以自行选择增减。 1.2虚拟化平台的四大厂商 宿主架构和裸金属架构 宿主架构：主架构通常用于个人PC上的虚 拟化，如WindowsVirtual PC，VMware Workstation，VirtualBox 裸金属架构:当成主流和成熟的有VMWARE ESX、微软Hyper-V、开源的XEN和KVM 1.2虚拟化平台的四大厂商 ESX是VMware的企业级虚拟化产品， 2001年开始发布ESX 1.0，到2011广月 发布ESX 4

4、.1 Hyper-V是微软新一代的服务器虚拟化技术，首个 版本于2008年7月发布，目前最新版本是2011年4 月发布R2 SP1版， Hyper-V有两种发布版本：一是独立版，如Hyper-V Server 2008，以命令行界面实现操作控制，是一 个免费的版本；二是内嵌版，如Windows Server 2008，Hyper-V作为一个可选开启的角色。 XEN最初是剑桥 大学Xensource的一个开源 研究项目，2003年9月发布了首个版本XEN 1.0，2007年Xensource被Citrix公司收购，开 源XEN转由www.xen.org继续 推进，该组织 成员包括个人和公司(如C

5、itrix、Oracle等)。 目前该组织 在2011年3月发布了最新版本 XEN 4.1。 KVM的全称是Kernel-based Virtual Machine，字面 意思是基于内核虚拟机。其最初是由Qumranet公 司开发的一个开源项目，2007年1月首次被整合到 Linux 2.6.20核心中；2008年，Qumranet被RedHat 所收购，但KVM本身仍是一个开源项目，由 RedHat、IBM等厂商支持。KVM作为Linux内核中 的一个模块，与Linux内核一起发布，至2011年1 月的最新版本是kvm-kmod 2.6.37。 贰 。现状 二、现状 1. 整体发展情况 2.

6、 国内外政策 3. 国内外现状 4. 标准与组织 2.1整体发展情况1 准备阶段（20072010）：主要是技术储备和概念推广阶段，解决方 案和商业模式尚在尝试中。用户对云计算认知度仍然较低，成功案例 较少。初期以政府公共云建设为主。 起飞阶段（20102015）：产业高速发展，生态环境建设和商业模式 构建成为这一时期的关键词，进入云计算产业的“黄金机遇期”。此 时期，成功案例逐渐丰富，用户了解和认可程度不断提高。越来越多 的厂商开始介入，出现大量的应用解决方案，用户主动考虑将自身业 务融入云。公有云、私有云、混合云建设齐头并进。 成熟阶段（2015）：云计算产业链、行业生态环境基本稳定；各厂

7、 商解决方案更加成熟稳定，提供丰富的XaaS产品。用户云计算应用取 得良好的绩效，并成为IT系统不可或缺的组成部分，云计算成为一项 基础设施。 2.1整体发展情况2 2.2 国内外政策1 三、立足国情，努力实现重点领域快速健康 发展 （二）新一代信息技术产业。加快建设宽 带、泛在、融合、安全的信息网络基础设施 ，推动新一代移动通信、下一代互联网核心 设备和智能终端的研发及产业化，加快推进 三网融合，促进物联网、云计算的研发和示 范应用。着力发展集成电路、新型显示、高 端软件、高端服务器等核心基础产业。提升 软件服务、网络增值服务等信息服务能力， 加快重要基础设施智能化改造。大力发展数 字虚拟等

8、技术，促进文化创意产业发展。 国务院发布关于加快培育和发展战略性新兴产 业的决定（国发201032号文件） 2.2 国内外政策2 工业和信息化部和国家发展改革委于2010年 10月18日联合印发关于做好云计算服务创 新发展试点示范工作的通知，确定在北京 、上海、深圳、杭州、无锡等五个城市先行 开展云计算服务创新发展试点示范工作。试 点示范工作主要包括四个方面的重点内容： 一是推动国内信息服务骨干企业针对政府、大中小 企业和个人等不同用户需求，积极探索SaaS(软件 即服务)等各类云计算服务模式； 二是以企业为主体，产学研用联合，加强海量数据 管理技术等云计算核心技术研发和产业化； 三是组建全国

9、性云计算产业联盟； 四是加强云计算技术标准、服务标准和有关安全管 理规范的研究制定，着力促进相关产业发展。 工业和信息化部和国家发展改革委 2.2 国内外政策3 到2015年，成都云计算产业将建成云服 务、基础软硬件设备生产和云终端产品制 造三大产业集群，产业规模达到3000亿元 成都将成为全球最大的云服务和终端产品 制造基地。基础软硬件设备产业达到500亿 元，云终端产业规模达到2200亿元，云服 务规模占全国市场的比重超过10%，移动 智能终端产品制造占全球市场比重超过 20%， 2015年成都半数以上规模企业率先“云计 算” 5年内，成都市民将全面享受个性化的云 服务 2.2 国内外政策

10、4 2.3 国内外现状1 国家云计算项目及功能 美国 2011年2月美国政府发布联联邦云计计算战战略，规定在所有联联邦政府信 息化项项目中云计计算优优先。美国联邦预算着重加强了对云计算的安排，资助 众多试点项目，包括中央认证 、目标架构与安全、隐私以及采购相关内 容。 英国 英国开始实施政府云(G-Cloud)计计划，所有的公共部门门可以根据自己的需 求通过G-Cloud平台来挑选和组合所需的服务。 日本 日本提出霞关云计计划（kasumigaseki cloud）以推动政府云服务，并计划 建设云计算特区以支持大规模的市场应 用。 欧盟 欧洲是仅次于美国的优先发展云计算基础设 施的区域，云计算

11、基础设 施 （主要是数据中心方面）的技术和产业积 淀同样远 高于除美国之外的其他国 家和地区，目前，包括亚马逊 、IBM以及SunGard都在爱尔兰等地建设了大 规模数据中心，主要服务于欧洲的网络、通信以及云计算应用领域。 地方政府云计算项目及功能 北京祥云 北京市发展战略性新兴产业 的重要工程，全面优化和提升北京信息技术产业 ，第 一阶段为20102012年，初步完成北京云计算产业链 整体布局。第二阶段为 20132015年，在云计算产业链 初步布局的基础上，进行云计算产业化摸索，形 成500亿元的产业规 模，争取带动产业链规 模达到2000亿元，使北京成为世界级 云计算产业基地。 上海云海

12、 上海市云计算创新基地，形成以“技术创新、金融创新、人才创新和商业模式创新 ”为支撑的云计算产业创 新体系，打造云计算创业孵化器、加速器、总部基地、人 才实训基地，成为上海乃至全国的云计算产业核心聚集区。 无锡锡云谷 一期由政府资助的云计算中心，希望借此激发本地化软件创新并增强区域的技术 经济增长，二期搭建基于IBM云计算基础架构的三大云计算服务平台，即：商务 云平台、开发云平台以及政务云平台。 重庆庆“两江国际云 计算中心” “江津云计算 产业基地” 两江国际云计算中心总建筑面积207万平方米，总投资400亿元，建设规划期为5 年，计划2-3年后形成100万台服务器的规模。主要从事大规模的离

13、岸数据处理业 务，实现全球数据的处理； 江津云计算产业基地规划面积15平方公里，总投资 500亿元，将建立以国产芯片为基础、国产服务器为载体的云计算服务器数据储 存。 武汉汉黄鹤白云 总体目标到2015年，在虚拟技术、云平台、云存储、云安全、云终端等5个领域 突破一批关键技术，培育一批具备国际竞争力的重点企业。 深圳 鲲云 杭州西湖云 广州 天云 宁波 星云 西安航天云 苏苏州彩云 哈尔滨滨云飞扬 2.3 国内外现状2 2.3 国内外现状3 田溯宁张明正杨志远 1）美国国家标准与技术研究院 NIST(National Institute of Standards and Technology)

14、。 2）结构化信息标准推进组织 OASIS(Organization for the Advancement of Structure Information Standards) 3）分布式管理任务组DMTF(Distributed Management Task Force) 4）存储工业协会SNIA(Storage Network Industry Association) 5）开放网格论坛OGF(Open Grid Forum) 6）云安全联盟CSA(Cloud Security Alliance) 7）The Open Group是厂家中立、技术中 立的联合会。 8）云计算互操作论坛

15、CCIF(Cloud Computing Interoperability Forum) 9）开放云联合会OCC(Open Cloud Consortium) 10）此外还有TM Forum， http:/www.tmforum.org，非盈利组织。 推动云计算标准的10个国际组织 2.4 标准与组织1 CSA云安全联盟 2009年4月成立，目标是推广云安全最佳实践和云安全培训，编写了针对云计 算消费者和服务提供商的15个战略领域的关键问题和建议， http:/www.cloudsecurityalliance.org，到2010年8月底，组织成员有DMTF、 OGF、ISACA等十四家组织，

16、Dell、HP、Microsoft、Intel、Cisco、Google、 Novell、CA、Oracle、Symantec、RSA、McAfee、Trend Micro、VMware等 五十五家公司，成员众多而且都是著名的大公司，所以在云计算安全最佳实践 方面比较有影响力。 中国加入CSA云安全联盟的公司 绿盟科技 2009年12月成为CSA在亚太地区的第一个企业成员。 联想网御 2010年加入 瑞星公司 2010年加入 启明星辰 2011年加入 2011年11月1日，由国际云安全联盟中国分会主办，绿盟科技和 启明星辰共同承办的第二届云安全联盟（CSA）高峰论坛在北京隆重召 开。 2.4

17、标准与组织2 工信部正制定云计算标准。 2011年6月2日至3日 全国信息技术标准化技术委 员会SOA标准工作组牵头举办的云计算标准讨论 会，拟于2012年正式推出。 研究范围：云计算基础类标准、PaaS平台规范 、云数据存储和管理系列标准、弹性云计算 服务接口标准 2011年8月 上海率先发布云计算企业认定标准。 2.4 标准与组织3 叁 。实例 三、云计算应用实例 3.1 SaaS应用实例 3.2 PaaS应用实例 3.3 IaaS应用实例 1. 亚马逊amazon 2. 微软 Microsoft 3. 谷歌Google 4. 红帽 Red Hat 5. 思杰Citrix 6. 威睿VMW

18、are 7. Salesforce 8. Rackspace 你必须知道的国外厂商 你必须知道的国内厂商 三、云计算应用实例 SaaS是最常见的，也是最先出现的云计算服务。通过SaaS这种模式，用户只要接上 网络，通过浏览器就能直接使用在云上运行的应用。SaaS云供应商负责维护和管理 云中的软硬件设施，同时以免费或者按需使用的方式向用户收费。 国外代表厂商：Salesforce、WebEx、Google、Microsoft 国内代表厂商：用友、金算盘、金碟、阿里巴巴和八百客等 国外典型应用： 1）Google Apps。中文名为“Google 企业应用套件”，它提供企 业版Gmail、Goog

19、le 日历、Google 文档和Google 协作平台等 多个在线办公工具。 2）Salesforce CRM。它是一款在线客户管理工具，并在销 售、市场营销、服务和合作伙伴这4个商业领域上提供完善的IT 支持，还提供强大的定制和扩展机制。这款产品常被业界视为 SaaS产品的“开山之作”。 3.1 SaaS应用实例1 3.1 SaaS应用实例2 个人应用实例Microsoft Word Web App 八百客 800APP支持CRM（客户关系管理）、OA（协同办公 ）、HR（人力资源管理）、进销存产品的应用研发，支持产 业链伙伴的二次开发、行业插件管理，以及第三方软硬件产 品的广泛集成。 决策

20、背景 小米手机预订人数超过30万，需要一套配套的CRM系统协助呼 叫中心服务客户。 客户飞速增长，几十万的客户信息，无法系 统化管理。 解决方案 建立联系人、联系记录、工单记录等模块，将客户信息全部汇总 到800APP-CRM系统中。 实施效果 部署800APP系统无需购买软硬件设备，快速实施上线，节省成 本，节约时间。 企业应用实例八百客 典型案例小米手机 3.1 SaaS应用实例3 PaaS主要面对的用户是开发人员。PaaS能给客户带来更高性能、更个性化的 服务。 2007年业界第一个PaaS平台诞生在，是Salesforce的F。Salesforce 提供的完善的开发工具和框架来轻松地开

21、发应用，而且能把应用直接部署到 Salesforce的基础设施上. 2008年4月，Google推出了Google App Engine，从而将PaaS所支持的范围从 在线商业应用扩展到普通的Web应用，也使得越来越多的人开始熟悉和使用功 能强大的PaaS服务。 1）Google App Engine。Google App Engine提供Google的基础设施来让大家部署 应用，还提供一整套开发工具和SDK来加速应用的开发，并提供大量免费额度 来节省用户的开支。 2）Windows Azure Platform。它是微软推出的PaaS产品，运行在微软数据中心 的服务器和网络基础设施上。它由具

22、有高扩展性的云操作系统、数据存储网 络和相关服务组成。附带的Windows Azure SDK（软件开发包）提供了一整套 开发、部署和管理工具和API。 3)新浪 Sina App Engine（以下简称SAE）是新浪研发中心于2009年8月开始内 部开发， SAE作为国内的公有云计算，从开发伊始借鉴吸纳Google、Amazon 等国外公司的公有云计算的成功技术经验，推出不同于他们的具有自身特色 的云计算平台。 3.2 PaaS应用实例1 传统方法建立个人博客步骤： 第一步，申请域名及空间 1，申请购买域名 2，寻找适合的空间，购买 第二步，环境的配置 1，Apache 的安装 2，MySq

23、l的安装 3，Php的安装 第三步，安装wordPress程序 应用实例新浪Sina App Engine 3.2 PaaS应用实例2 3.2 PaaS应用实例3 应用实例新浪Sina App Engine 在新浪Sina App Engine上建立个人博客 3.2 PaaS应用实例4 典型案例乌云平台 IaaS(Infrastructure as a Service)基础设施即服务 消费者可以通过 Internet 简单的获得的计算机基础设施服务。 2006年年底，Amazon 发布了EC2（Elastic Compute Cloud，弹性计算云）这个 IaaS云服务。由于EC2在技术和性能

24、等多方面的优势，这类技术终于被业界广泛 认可和接受。 1）Amazon EC2 EC2主要以提供不同规格的计算资源（也就是虚拟机）为主。它 基于著名的开源虚拟化技术Xen。 EC2不论在性能上还是在稳定 性上都已经满足企业级的需求。而且它还提供完善的API和Web 管理界面来方便用户使用。 2) Amazon S3 全名为亚马逊简易储存服务（Amazon Simple Storage Service）， 由亚马逊公司，利用他们的亚马逊网络服务系统所提供的网络 线上储存服务。经由Web服务界面，包括REST, SOAP, 与 BitTorrent，提供用户能够轻易把档案储存到网络服务器上。 3.

25、3 IaaS应用实例1 3.3 IaaS应用实例2 应用实例Amazon EC2虚拟主机 四、云计算的应用5-IaaS应用2 纽约时报:使用成百上千台 Amazon EC2 实 例在 36 小时内处理 TB 级的文档数据。如 果没有 EC2，处理这些数据将要花费数天或 者数月的时间。 典型案例纽约时报 DropBox:使用亚马逊的S3存储系统存放文 件。 并采用SoftLayer技术来购建后端的基 础设施。 Dropbox同步采用SSL传输数据， 而存储则通过AES-256进行加密。Dropbox用 户数量已经超过5000万。 典型案例DropBox 肆 。安全 1. 云里漏洞知多少 2. 云

26、应用的风险与威胁 3. 云服务厂商安全方案 4. 第三方厂商安全方案 5. 安全厂商何去何从 四、云计算应用安全 4.1 云里漏洞知多少1 2011年云计算安全威胁大事记 3月 谷歌 谷歌邮箱爆发大规模的用户数据泄露事件，约15万Gmail用户发现自己的所有邮件和聊天记 录被删除，部分用户发现自己的账户被重置。 4月19日 索尼 索尼的PlayStation网络和Qriocity音乐服务网站遭到黑客攻击。服务中断超过一周， PlayStation网络7700万个注册账户持有人的个人信息失窃。 4月22日 亚马逊 亚马逊云位于被弗吉尼亚州的云计算中心宕机，导致回答服务Quora、新闻服务Redd

27、it、 Hootsuite和位置跟踪服务FourSquare和为网络出版商提供游戏工具的BigDoor瘫痪。故障 持续了4天。被认为是亚马逊史上最为严重的云计算安全事件。 5月13日 微软 微软云计算交换在线(Microsoft Exchange Online)服务出现故障，导致用户邮件信息延迟 3-9小时发送。2011年6月，在微软发布Office365前一周，微软BPOS云托管套件服务再次中 断3小时，微软在北美的用户都受到了影响。 7月15日 谷歌 谷歌应用引擎Java服务出现故障，宕机超过1小时。故障原因基于云计算， 把应用程序转 到网络上时出现了问题。 8月9日 亚马逊 亚马逊云服务

28、故障约一小时，使Netflix、Foursquare、维珍美国航空公司 (Virgin America)和其他几家网站均受到影响。 4.1 云里漏洞知多少2 网盘漏洞 Vmware平台漏洞 4.1 云里漏洞知多少3 云计算应用主要面临的安全风险 4.2云应用的风险与威胁1 成功 4.2云应用的风险与威胁2 Iaas带来的威胁-亚马逊平台 如果信用卡被盗用了呢？ 盗用 申请创建 快速复制 。 。 。 。 。 4.2云应用的风险与威胁2 Iaas带来的威胁-亚马逊平台 Sony PSN 事件 攻击者通过注册 EC2服务，并以其 为跳板对PSN进行 攻击，在突破隔离 的基础上，充分利 用了内部流量不

29、可 见的特性进行信息 窃取 基于GPU集群和EC2 的SHA-1暴力破解 利用GPU的高带宽 、并行架构和低能 耗结合EC2低价格 、可扩展的实例集 群进行。应用8个 实例进行每秒40万 的密码破解仅花费 16美元/小时 Amazon云计算平台 成为僵尸网络沃土 Amazon EC2被 ZEUS僵尸网络工 具包利用建立C&C 服务器；恶意人员 以6美元为代价对 EC2发动DDoS，同 时SPAM也大量出 现 4.2云应用的风险与威胁3 Iaas带来的威胁 4.2云应用的风险与威胁3 无视余额(denial of money)攻击 在Google文档发布了25000张极小的图 片，然后他邀请人们

30、来对图片进行描 述。问题由此产生了，这些极小的图片 的链接访问到位于Amazon的S3存储服 务，显然，Google的服务器有些疯狂。 “Google略带侵略性的从Amazon攫取图 片，一次，一次，又一次，” 当Google遇到Amazon：完美的云攻击 4.2云应用的风险与威胁4 Paas带来的威胁 l2.木马网站 l1.钓鱼网站 亚马逊现有安全方案 l2.认证密钥 l1.防火墙 4.3云服务厂商安全方案1 4.3云服务厂商安全方案2 新浪SAE现有安全方案 4.3云服务厂商安全方案3 800app现有安全方案 防火墙 入侵检测 SSL加密 网银级USB硬件密钥登陆 第三方128位加密算法

31、数字证书 4.4第三方厂商安全方案1 VMware现有安全方案 l1. Vmware vShield vShield Manager 用于对vShield进行集中管理。 vShield App 是一种内部 vNIC 级防火墙，允许您创建不受网络拓扑限制的访问控 制策略。vShield App 监视ESX主机的所有传入和传出流量，包括同一端口组 中虚拟机之间的流量。vShield App 支持流量分析和创建基于容器的策略。 vShield Edge 提供网络边缘安全和网关服务，用于隔离端口组。标准服务：防火 墙、网络地址转换（NAT）、DHCP。高级服务：VPN、负载平衡。 vShield Da

32、ta Security 可通过 vShield Data Security 查看存储在组织的虚拟化环境和云环 境中的敏感数据。 vShield Endpoint 能够与第三方反病毒工具进行集成，虚拟机的反病毒扫描由与安全相 关的虚拟机独自进行。 4.4第三方厂商安全方案1 VMware现有安全方案 l2. Vmsafe l1. Vmware vShield Zones VMsafe 可提供哪些保护 1.内存和 CPU：VMsafe 可对客户虚拟机内存页和 CPU 的状态进行自检。 2.网络连接：对管理程序和安全虚拟机内的网络封包进行过滤。 3.进程执行（客户机处理）：通过客户机内和进程内的 A

33、PI 对进程执行过程实施 全面监控。 4.存储：对虚拟机磁盘文件 (VMDK) 进行装载、操作和修改，就像它们一直保存 在存储设备上一样。 合作伙伴 4.4第三方厂商安全方案2 杀毒软件厂商现有安全方案 2012年4月，McAfee宣布推出保护虚拟环境安全的全新的无代理部署 模式MOVE（McAfee Management for Optimized Virtual Environments）AV解决方案。McAfee MOVE AV还能够与VMware vShield Endpoint集成。 2012年5月，信息安全解决方案供应商kaspersky实验室宣布其全 新的企业级虚拟化安全产品Ka

34、spersky Security for Virtualization正式发 布。它基于VMware vShield平台，采用无代理模式，包含众多 kaspersky的领先技术，能 够由统一的Kaspersky Security Center实现 对虚拟机、物理机的安全管理。 2012年6月，趋势科技北京召开了迈向云端之旅暨趋势科技Deep Security 8.0新品媒体沟通会。 4.4第三方厂商安全方案2 杀毒软件厂商现有安全方案 Deep Secrutiy 适用于 VMware 环境的恶意软件防护 集成最新的 VMware vShield Endpoint API， 无需占用任何客户虚拟机资源即 可保护VMware 虚拟机，防止其受病毒、间谍软件、木马和其 他恶意软件的 侵害。 入侵检测和阻止 屏蔽已知漏洞以防止其被无限制利用，进而防止已知攻击和零日攻击的入侵 应用程序控制 双向状态防火墙 完整性监控 Web 应用程序防护 防止 SQL 注入、跨站脚本攻击和其他 Web 应用程序漏洞 日志检查 谢谢大家，欢迎交流！谢谢大家，欢迎交流！