概述

定义：云安全就是确保用户在稳定和私密的情况下在云计算中心上运行应用，并保证存储于云中的数据的完整性和机密性

背景：随着云计算的快速发展，云安全应运而生，旨在解决云计算环境的安全问题，保护数据存储和传输的安全性

云安全的重要性：

1. 保障数据安全：云安全采用先进的加密技术和安全策略，确保数据在云端存储和传输过程中不被泄露或损坏
2. 抵御网络攻击：云安全具备强大的防御能力，可以有效抵御各类网络攻击，如DDoS攻击，SQL注入等，保障云计算环境的稳定运行
3. 提高合规性：云安全能够帮助企业更好遵守相关法规和标准

云安全威胁：

1. 数据泄露
2. 凭证被盗和身份验证
3. 界面和API被黑
4. 系统漏洞利用
5. 账户劫持
6. 恶意内部人士
7. APT（高级持续性威胁）寄生虫
8. 永久的数据丢失
9. 云服务滥用
10. 拒绝服务（DoS）攻击
11. 共享技术，共享危险

网络安全威胁：

1. DDoS攻击：通过大量请求拥塞云服务网络，导致合法用户无法访问
2. 网络嗅探：攻击者利用云环境中的网络漏洞，嗅探并窃取传输中的数据
3. 网络注入攻击：向云服务中注入恶意数据，篡改正常服务内容，甚至执行恶意代码

主机安全威胁：

1. 虚拟机逃逸：攻击者利用虚拟机漏洞，从受限的虚拟机环境中逃逸，进而威胁整个云环境
2. 恶意软件感染：云主机被恶意软件感染，导致服务性能下降、数据泄露等安全问题
3. 主机入侵：攻击者通过暴力破解、漏洞利用等手段入侵云主机，获取非法权限

数据安全威胁：

1. 数据泄露：云存储中的数据因未授权访问、误操作等原因泄露
2. 数据篡改：攻击者对云中的数据进行非法篡改，破坏数据的完整性和真实性
3. 数据永久丢失：由于云服务提供商的失误或恶意行为，导致用户数据永久丢失

应用安全威胁：

1. SQL注入：针对云应用中的数据库，通过SQL注入攻击窃取、篡改或修改数据
2. 跨站脚本攻击（XSS）：在云应用中注入恶意脚本，窃取用户信息或执行其他恶意操作
3. 跨站请求伪造（CSRF）：诱导用户执行非本意的操作，如更换密码、转账等，从而对云应用造成安全威胁

云安全威胁来源分析

外部攻击者：

1. 针对性攻击：外部黑客组织针对云平台的漏洞和弱点进行精准攻击，试图非法获取数据或破坏服务
2. 分布式拒绝服务（DDoS）攻击
3. 跨站脚本攻击（XSS）与SQL注入

内部泄露与滥用：

1. 恶意内部人员
2. 误操作与过失
3. 权限滥用

系统漏洞与缺陷：

1. 已知漏洞：由于未及时打补丁或更新系统版本，导致已知的漏洞被攻击者利用
2. 未知漏洞：新发现或尚未公开的漏洞，可能被黑客利用进行攻击
3. 系统配置错误：不安全的系统配置可能导致安全隐患，如开放的端口、弱密码

供应链风险：

1. 供应链污染：供应商在商品或服务中植入恶意代码，对云平台构成威胁
2. 供应链依赖风险：云平台对特定供应商的产品或服务存在过度依赖，一旦供应商出现问题，可能导致整个云平台受到影响
3. 供应链不透明：由于供应链设计多个环节和众多供应商，不透明性增加了安全风险和管理难度

云安全技术体系

云安全基础架构：

1. 云计算基础设施层：包括物理设备、虚拟化技术和云管理平台，确保基础设施的可靠性和安全性
2. 云计算服务层：提供IaaS、PaaS和SaaS等云服务，通过API和安全机制保障服务的安全性
3. 云安全服务层：集成各类云安全服务，如防火墙、入侵检测、数据加密等，为云租户提供全面的安全防护

云安全关键技术：

1. 虚拟化安全技术：确保虚拟环境的安全隔离，防止虚拟机之间的攻击和数据泄露
2. 数据安全技术：提供数据加密、数据备份和恢复等功能，保障云存储数据的安全性
3. 身份认证与访问控制：实现云租户的身份认证和权限管理，防止未授权的访问和操作

云安全防护措施：

1. 安全审计与监控：实时监控云计算的安全状况，及时返现和处置安全威胁
2. 应急响应与处置：建立应急响应机制，快速应对云安全事件，降低损失和影响
3. 安全培训与意识提升：加强云租户的安全培训，提高安全意识，共同维护云计算环境的安全稳定

应用安全：终端客户安全、SaaS应用安全、PaaS用户安全

虚拟化安全：虚拟化软件安全、虚拟服务器安全

访问控制与身份认证：

1. 强密码策略：实施强密码策略，并定期要求用户更改密码，减少密码被破解的风险
2. 多因素身份认证：采用多因素身份认证，如短信验证码、指纹识别等，提高用户身份认证的可靠性
3. 权限管理：根据用户角色和职责，分配不同的访问权限，确保敏感数据不被非授权访问

云安全市场现状

• 金山毒霸“云安全”
• 卡巴斯基-全功能安全防护
• 瑞星“云安全”
• 趋势动力“云安全”

作业

选择题

• 典型的云安全应用除了金山毒霸、卡巴斯基、趋势科技以外还有哪个应用()

  • 瑞鑫科技

• 云服务提供商除了应通过销毁加密数据相关介质、磁盘擦拭、内容发现等方法来保证数据完整清除，还有哪个操作可以实现()

  • 销毁存储介质

• 在部署云计算数据中心时，最好采用什么策略进行数据与环境的备份()

  • 基于异地容灾

• 云安全威胁中不正确的事是()

  • 网络安全、主机安全、数据与应用安全是正确的，而断电时不正确的

• 云安全威胁的来源中不属于的是()

  • 外部攻击者、内部泄露与滥用、系统漏洞与缺陷，而供应链不存在风险不属于

• 云安全基础架构不包括()

  • 云计算基础设施层、云计算服务层、云安全服务层属于，而客户端不属于

• 云安全关键技术不包含()

  • 虚拟化安全技术、数据安全技术、身份认证与访问控制包含，而安全培训与意识提升不属于

• 对于PaaS和()应用来说，信息是不能被加密的

  • SaaS

• 金山毒霸将近十年的积累的数据存储到()

  • 水银平台

• 通过()的对比，就可以知道一个网站是不是危险

  • Web信任积分

判断题

• 通过Web信誉服务分值的对比，就可以知道某个网站的潜在的风险等级（√）
• 云用户在云服务提供商存储数据时存在数据滥用、存储位置隔离、灾难恢复、数据审计等安全风险（√）
• 审计是一项支持用户进行监管、合规性检查、操作审核和风险审核的模块（√）
• APT通常在整个网络逡巡，混入正常流量中，因此他们很难被侦查到。客户也必须像在内部系统里进行的那样，勤于检测云用户中的APT活动（√）
• 随着云服务的成熟，永久数据丢失这样的案例已经不可能发生了（×）
• 只有拥有海量的客户端，才能对互联网上出现的病毒木马，以及挂木马的网站等有敏感的感知（√）
• 瑞星云安全不是一个开放的网站，用户的杀毒软件不能使用带有探针功能的软件（×）
  • 是一个开放的网站
• 趋势云安全的杀毒服务器拥有百分之百的成功率（×）
• 卡巴斯基的安全功能旨在为互联网建一个无缝透明的安全系统（√）
• 将凭证和密钥嵌入源代码，也是很多开发者常犯的错误（√）

填空题

• ()对保证基于虚拟技术的公有云的完整性和可用性是最重要也是最关键的

  • 虚拟化软件层的可用性与完整性

• 典型的云安全应用软件有金山毒霸、趋势科技、()、()

  • 卡巴斯基、瑞星科技

• 数据泄露通常都是由于身份验证不严格、弱密码横行、() 、()

  • 密钥或凭证管理松散

• 审计具有合规更加简化、用户与资源活动的可见性、()、()

  • 安全性分析和故障排除、安全自动化

• 安全凭证管理包括密码、访问密钥、()、()，在通过UI访问或API及命令访问时，会采用不同的凭证方式

  • 密钥对、X.509证书

• 最常用的远程管理机制有VPN、()、()

  • 远程桌面、Web控制台UI

• 常用的切入点包括()、()、U盘预载恶意软件和通过已经被黑的第三方网络

  • 鱼叉式网络钓鱼、直接攻击