返回
云安全三大趋势:纵深防御、软件定义安全、设备虚拟化

云安全三大趋势:纵深防御、软件定义安全、设备虚拟化

ID:46490385

大小:53.50 KB

页数:6页

时间:2019-11-24

云安全三大趋势:纵深防御、软件定义安全、设备虚拟化_第1页
云安全三大趋势:纵深防御、软件定义安全、设备虚拟化_第2页
云安全三大趋势:纵深防御、软件定义安全、设备虚拟化_第3页
云安全三大趋势:纵深防御、软件定义安全、设备虚拟化_第4页
云安全三大趋势:纵深防御、软件定义安全、设备虚拟化_第5页
资源描述:

《云安全三大趋势:纵深防御、软件定义安全、设备虚拟化》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、摘要:传统IT架构发展到云架构的今天,传统信息安全的分散割据化、对应用的封闭化、硬件盒子化己不再适合新一代应用的需求。未來信息安全与应用的跨界融合是主流方向,而这种融合又催生了信息安全三个维度的发展方向。本文从当今信息安全产业割据化、封闭化、硬件化的三个特点入手,结合典型云平台架构分析了信息安全和云平台之间日趋严重的鸿沟,并提出了对应的解决思路,即信息安全的三个发展趋势:信息安全自身发展的纵深防御(DefenseinDepth)、由应用与信息安全二者融合驱动的软件定义信息安全(SoftwareDefinedInfommtionSecurity)、由虚拟化技术和信息安全二者

2、结合驱动的安全设备虚拟化(SecurityDeviceVirtualization),这三者结合后形成了一套更安全、敏捷、经济的云平台安全体系。一、传统信息安全和云计算的兴起。在传统的信息安全时代主要采用隔离作为安全的手段,具体分为物理隔离、内外网隔离、加密隔离,实践证明这种隔离手段针对传统IT架构能起到有效的防护。同时这种隔离为主的安全体系催生了一批以硬件销售为主的安全公司,例如各种Firewall(防火墙)、IDS/IPS(入侵检测系统/入侵防御系统)、WAF(Web应用防火墙)、UTM(统一威胁管理)、SSL网关、加密机等。在这种隔离思想下,并不需要应用提供商参与较

3、多信息安全工作,在典型场景下是市总集成商负责应用和信息安全之间的集成,而这导致了长久以來信息安全和应用相对独立的发展,尤其在国内这两个领域的圈子交集并不大。结果,传统信息安全表现出分散割据化、对应用的封闭化、硬件盒子化的三个特征。但随着云计算的兴起,这种隔离为主体思想的传统信息安全在新的IT架构中己经日益难以应对了。在NIST(美国国家标准技术研究所)的规范中云计算被分为三层,SaaS解决了应用软件的即买即开即用,lamS解决了承载应用所需计算资源的动态变化,而PaaS解决应用在全生命周期变化所带来的问题。本文重点分析更为基础的laaS和PaaSo二、公有云场景下隔离原则

4、失效,纵深防御是必然趋势。公有云的典型场景是多租户共享,但和传统IT架构相比,原来的可信边界彻底被打破了,威胁可能直接来口于相邻租户。当然聪明的人们在小心翼翼的设计,防止虚机逃逸、防止租户间网络监听、防止每个单点功能上的漏洞,但是例外情况总是会有的。在典型开源laaS平台-OpenStack应用场景中,很多租户通过Hypervisor(虚拟机监视器)共亨同一个物理操作系统的计算资源,在一张共亨的二层网络上实现网络的区隔。以OpenStack的G版本为例,攻击者一旦通过某Oday漏洞实现虚拟逃逸到宿主机(即OpenStack中的Nova节点),攻击者就可以读取这台宿主机上所

5、有虚拟机的内存,从而对以控制这台宿主机上的所有虚拟机。同时更致命的是,整个0penStack节点间通讯的API默认都是可信的,因此可以从这台宿主机与集群消息队列交互,进而集群消息队列会被攻击者控制,最终一举端掉整个Openstack集群。接着说PmaS,主流PaaS普遍采用进程隔离的container技术(例如Linux内核中的Ixc),这种技术的安全成熟度还不如Hypervisor,攻击原理同上述OpenStack,这里暂不展开。从功能上,主流PaaS-般针对应用的源代码管理、持续集成、部署、运维做自动化处理,而从安全角度看这意味着可信边界的弱化,比如说一旦持续集成这个

6、节点被攻击者控制,后续的部署、生产环境运维都会直接暴露给攻击者。因此,云的快速和自动化在这里是一把双刃剑,如果存在漏洞,危害的发生同样很快。再说大数据,安全圈有种说法,“大数据时代最先受益的是骇客”。以前还要逐个攻破,现在数据集中了,直接可以一锅端了。集中化的大量数据,带着N个副本存储在不同的IDC,在大量的分布式节点上计算着,数据的所有者如何确保自己的数据是安全的?大数据加上公有云,如果缺乏有效的安全防护,将会成为骇客们的盛宴。因此从信息安全口身发展来看,纵深防御(DefenseinDepth,以下简称DiD)是经典信息安全防御体系在新IT架构变革下的必然发展趋势。原有

7、的可信边界日益削弱、攻击平面也在增多,过去的单层防御(SingleLayerDefense)己经难以维系,而纵深防御体系能大大增强信息安全的防护能力。纵深防御两个主要特性是【观点来I4@phreaker]:1.多点联动防御。在过去的安全体系,每个安全节点各自为战,没有实质性的联动。而如果这些安全环节能协同作战、互补不足,则会带来更好的防御效果。例如FireWalkIDS/IPS.WAF、UTM、SIEM(安全信息和事件管理)等之间的有机联动,可以更加准确的锁定入侵者。2.入侵容忍技术(IntrusionToleranceTec

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。