云安全概述 (二)云安全VS传统安全 传统安全和云安全相同之处如下: (1)目标相同:都是为了保护信 息、数据的安全和完整。 (2)保护对象相同:均为系统中 的用户、计算、网络、存储资源等。 (3)技术类似:包括加解密技术、 自B 安全检测技术等。 10
10 一、云安全概述 (二)云安全 VS 传统安全 传统安全和云安全相同之处如下: (1)目标相同:都是为了保护信 息、数据的安全和完整。 (2)保护对象相同:均为系统中 的用户、计算、网络、存储资源等。 (3)技术类似:包括加解密技术、 安全检测技术等
云安全概述 (三)云计算主要威胁 2010年,云计算当时面临的七大威胁(云安全重点风险域): 。Threat 1:Abuse and Nefarious Use of Cloud Computing(云i计 算的滥用、拒绝服务攻击) ●Threat2:Insecure Interfaces and APIs(不安全的API) ·Threat3:Malicious Insiders(内部人员的恶意操作) ●Threat4:Shared Technology Issues(共享技术漏洞) ●Threat5:Data Loss or Leakage(数据丢失/泄露) ·Threat6:Accountor Service Hijacking(账号、服务和通信劫持) ·Threat7:Unknown Risk Profile(未知的风险场景)
11 一、云安全概述 (三)云计算主要威胁 2010 年,云计算当时面临的七大威胁(云安全重点风险域): ● Threat 1:Abuse and Nefarious Use of Cloud Computing(云计 算的滥用、拒绝服务攻击) ● Threat 2:Insecure Interfaces and APIs(不安全的 API) ● Threat 3:Malicious Insiders(内部人员的恶意操作) ● Threat 4:Shared Technology Issues(共享技术漏洞) ● Threat 5:Data Loss or Leakage(数据丢失/泄露) ● Threat 6:Accountor Service Hijacking(账号、服务和通信劫持) ● Threat 7:Unknown Risk Profile(未知的风险场景)
共享技术的漏洞 描述 软硬件平台可能存在的安全漏洞 影响 成功地利用漏洞可以影响大量的用户 例子 Cloudburst-Kostya Kortchinksy(Blackhat 2009) ·VMWare SVGAⅡ设备可以执行任意 9A99 12
12
数据丢失/数据泄露 描述 ·不妥当的访问控制或者弱加密引起的数据泄露 ·弱保护的数据在多租户环境下危险更大 影响 ·数据完整性以及私密性 案例 Hey,You,Get Off of My Cloud:Exploring Information Leakage in Third-Party Compute Clouds(UCSD/MIT) ·跨虚拟机的改击实现数据泄露 13
13
恶意的内部用户 描述 的 ·雇员滥用权力 ·内部流程的不可视阻止预防措施的制定和实滴 影响 ·数据完整性和私密性 ·声誉损失 ·法律责任 案例 ·2O10 Dota Breach Investigotions Report by Veri2on,48%的数据泄盛 由内部雇员引起,云计算时代可能更加槽糕 14
14