网站导航
> 技术文档 > 23.1、云计算概念与需求分析_云计算安全需求

23.1、云计算概念与需求分析_云计算安全需求

网友: 技术文档 2025-07-30 13:30:29

目录

    • 云计算概念
    • 云计算服务类型
    • 云计算四大特征
    • 云计算四种部署模式
    • 云计算安全分析
    • 云计算安全要求
    • 云计算技术安全需求

等保二点零里面最新加进去的五个领域,这五个领域都是比较新的技术,云计算,大数据,物联网,移动互联网和公共安全,安卓属于移动互联网里边的一个操作系统

云计算概念

云计算,举个例子,以前我们搞信息化,是需要购买各种各样的网络设备,服务器存储等等一大堆,而且你还要养相应的运维人员,现在很多单位,特别是中小型企业,都上云了,由云计算服务商为我们提供基础的it服务,不用买硬件设备,直接买云服务器,云存储,这就是云计算,主要就是以前买设备,现在我买服务

云计算服务类型

23.1、云计算概念与需求分析_云计算安全需求
第一类叫iaas,第二类叫paas,第三类是saas,is是架构即服务,你可以买一些基础设施,比如说云主机、云存储,云虚拟防火墙也叫云防火墙,就以前我是买硬件盒子,现在我直接买云上的虚拟服务,虚拟设备它是偏向于基础设施的,就服务器存储

第二类是平台即服务,以前比如说你要搞人工智能的开发,你需要自己去搭建平台,搭建平台还是比较费劲的,你需要有专业的人员,还要底层有硬件设备,还要有这种平台相关的软件

现在你可以直接去百度人工智能平台去开发,比如说科大讯飞的语音识别平台,基于它的平台去开发,相当于它给你提供了一个平台,你买的是平台的服务,类似的平台有很多,比如说谷歌的APP Engine,然后还有一些数据库的平台,包括操作系统的平台

最典型最简单的两个平台,移动互联网里边的安卓和IOS,很多手机公司的操作系统,都是基于这两个平台去开发的,那就不用从最底层的linux再去开发了,人家给了你两个平台,在上面去开发,就会简单很多,容易很多,像小米、魅族等等,基本上都是基于安卓的

第三个软件即服务,以前我是把一套软件卖给你,现在我不卖软件给你了,我卖账号,比如说一个账号一年多少钱,典型的像zoom视频会议公司,他是卖他的账号,比如说能开100个人的视频会议,那这个账号一年多少钱,能开1000个人的视频会议,他的账号价值多少钱,还有一个公司叫safeforce,就是卖CRM账号的,直接就是软件及服务,我们其实平时用的最多的还是架构即服务,这个是应用最广的

云计算四大特征

首先it资源以服务的形式提供,卖的是服务,不是主要卖硬件,云服务商,他不是卖交换机、服务器,而是把它打包成一个服务卖给你

第二个是多租户共享it资源,比如说你买了阿里云的一个虚拟机,其实本质上它底层还是有服务器的,你买了虚拟机,相当于买了一个主机,但是是放到他的服务器上面的,他服务器可能虚拟出20个虚拟机,你买了其中一个,张三又买了另外一个,李四买了vm3,多租户共享我们底层服务器的资源,如果服务器一挂,并且没有做融余和可靠性的一些措施,其他用户肯定会出问题的

租户共享又面临一个安全问题,如果你这台虚拟机买的是自己的,它没有安全隔离措施,因为这些虚拟机都是运行到这台服务器上的,黑客可以攻击它,所以安全风险肯定是变大了

第三个it资源按需定制与按用付费。就是比如说你买一台云主机,你需要8g的内存还是16g的内存还是32g的内存,可以按需给你定制,然后按照你的使用去付费,当然使用,有可能是按包月或者一年多少钱,当然有些是按照网络流量付费,比如说典型的把你的视频网站,放到公有云上,具体访问的流量是一个月是多少钱,按流量付费也是可以的

第四个特性是可伸缩性部署,就是你现在买了八个g,以后你想扩展到32g,或者你直接想干到160g,可以在你的管理后台上轻轻的点几下就可以了,当然你把钱要付了,就没问题。但是如果平时我们的服务器,你想从8g要升到32g或者160g,要麻烦很多,你要去网上或者是去实体店把内存条给买回来,把内存条买回来之后,你上面跑着应用,有可能考虑到安全性,我们还要把服务器关机,然后插上内存条,然后再重启,重启有可能一台服务器很多年没重启过了,重启一下就死掉了,有这种可能,这是非常常见的,所以服务器一般我们都不建议关机,因为关机,特别是那种运行了很久的服务器,关了之后你就跑不起来了,所以这也是云计算的一个优势,就是弹性扩展,你将来想升级,无论是内存、硬盘、CPU,在后台点一点就可以了,它的升级非常方便

云计算四种部署模式

其实我们常说的就三种,私有云,公有云和混合云,文章加了一个社区云。首先,私有云就是基础设施为某个特定的组织单独提供服务,比如说我是一家企业,我在内部建了一个云,只供我内部人员使用,这就是私有云

公有云,比如说阿里云、腾讯云,它的云是可以为我们广大的企业、个人、用户,包括政府一些机构提供服务的,大家都可以用,只要你给钱,只要你在云上不做一些违法犯罪的事情,都是可以的,这是公有云

社区云,云计算的设施,由多个组织共享,比如说金融云,国家监管部门可能搞一个云出来,然后一些银行把他的金融业务放一部分上去,比如政法行业,它搞一个简单的政法云,然后由公检法这几家机构去共享,这是社区云

公有云是所有人共享,而社区云是由多个组织去共享,这个组织肯定是有区分的,基本上以一个行业为主。

混合云,它就是这几种云的混合,比如说我这个企业,他有些研发数据,还有一些销售数据比较敏感,很重要,我肯定为了安全考虑,我就放在内部的私有云里边,然后还有它的网站,一些文件,这些文件可能不是特别重要,我就把它放到公有云上去,所以这个企业的云就是由私有云和公有云构成的混合云

云计算安全分析

按照“端-管-云”的三级架构来做分析,首先云计算,大家知道我们是要访问云上的资源,这个云可能是公有云,也有可能是私有云。反正你要访问上面的资源,资源有很多,典型的就是虚拟机,虚拟机相当于是计算资源,还有存储物,其他的各种各样的资源,这是云端

本地是通过PC可能是手机,反正就是终端,还需要通过网络去访问,所以云计算一共包含三个部分,就是你的终端,网络,最后是云计算的服务端,最核心的肯定是云端

云计算的时代就是强调了云端,相当于把本地给弱化了,就是你很多计算都是由云端去完成的,你本地不需要那么牛逼,你本地只负责接收,负责简单的显示就行了,当然对网络的要求就更高了,因为你很多东西在云端,你要把处理完的结果要传回来,对网络带宽和延迟就有了更高的要求,这是三级架构

云终端是用户使用云计算的服务终端,可能是电脑,也可能是手机或者其他终端,这就涉及到终端安全,终端不要设置弱密码,要安装杀毒软件等等,就电脑安全,手机安全都是云终端安全威胁。云管的安全就涉及到中间传输网络安全,网络安全我们要考虑监听威胁,什么数据泄密,中间人攻击、拒绝服务

第三个是云计算平台安全,在云计算时代,云端是很重要的,因为很多核心资源数据都是放在云端的,他面临的安全威胁,第一个是物理安全威胁。云端有服务器,有机房,有人把你的服务器抱走了,那这个威胁是很大的,特别是云计算,促进了资源的集中化,以前每个人都有自己的服务器,现在我把所有人的服务器都集中在你这儿,然后服务器还挂了,那问题就更大了,更突出了

第二个是云计算平台服务安全威胁,云服务是由云计算服务商来提供的,所以服务的安全性主要依赖于云服务商的安全管理和维护,这是服务层面

第三个是资源滥用安全威胁,如果攻击者利用漏洞,攻击了我们的云平台,入侵了一些虚拟机,构建僵尸网络,然后发起拒绝服务攻击,这样的话造成的影响就会比较大,因为以前我攻击你一个单位,可能你一个单位就100台电脑,然后这个威胁造成的后果好像不是特别严重,但是如果你攻陷了他的云平台,云平台下面他管着很多物理服务器,物理服务器上面有很多虚拟机,我把你这个云平台给你搞定了,然后下面这些虚拟机都被我搞定,形成了僵尸网络,那这个形成的威胁就特别大了,可能会形成一些资源滥用,本来虚拟机是为用户提供服务的,然后你把它搞成僵尸网络,用这个僵尸网络去攻击别人,发起拒绝服务攻击,影响就会特别大,还有比如说针对云存储的,针对云平台的存储服务,有缺陷,存储里边上传一些敏感信息或者非法信息,那也是构成了内容威胁

第四个是云计算平台运维及内部安全威胁,我把很多资源都放到你的云服务商,你内部没管理好,出现删库跑路了,威胁到数据安全了

数据残留,很多单位他不会把特别敏感,特别重要的数据给放到云端,因为如果我放到云端,会造成数据泄密,只要数据放到过你那儿,就有可能有残留,有可能残留的一些数据,如果没有及时的销毁,没有及时清除,它是可能会造成数据泄密的,所以敏感数据不上云或者上内部的私有云,至少不上公有云

第六个过度依赖,就是不同的云平台上的数据和应用,它迁移还是比较难的,你别看很多厂商公有云宣传无缝迁移,零档机等等,瞎扯淡的,我给大家总结了一句话,叫上云容易,下云难。有些甚至是免费上云,或者我只收你一块钱,让你上云,让你免费用一年用两年都行,后面慢慢收割,第一年一块钱,第二年十万,第三年100万,你想下云,牵涉到一系列的迁移,甚至有些稍微复杂一点的,开发在阿里云这边支持,你上腾讯云不一定支持或者支持不好,所以云计算也有问题,就是过度依赖

别看它前面很便宜,但是你上去之后你想下车不是那么容易的,特别是有些单位,它的数据量很大,应用又比较复杂的。但一些简单的,比如说我就一个网站,那倒无所谓,你放哪家去都能用

第七点,针对云平台威胁,利用共享技术漏洞进行攻击,云上面都是有软件的,有软件就有漏洞,而且一个云租户还可能侵入另外一个云租户的环境,这就是针对隔离的威胁,针对资源或者数据的隔离

第八个是滥用云服务,云服务能够为我们用户提供计算资源,正常的计算应该是挺OK的,但是我把你的计算资源用去猜密码用来去搞攻击,这就是威胁了,滥用云服务,然后云服务是基于网络提供服务的,你要访问云服务必须要有网络,但是我把你的网络给你干掉,你就访问不到远端资源了,像现在有一个比较常见的应用,叫云桌面

云桌面的本质就是我后台有一个非常牛逼的服务器,当然它可能是一台也可能是好几台,上面开很多虚拟机,比如开50个虚拟机,然后通过网络提供给下面的50个人用。如果我的网络挂掉了,那这50个人就访问不了我的云桌面了,因为云桌面现在主要是替代电脑用的,以前我的电脑断网之后,我处理excel、word啥的都可以用,但是现在如果我用你的云桌面,我现在前面就是一个售后终端,它是通过访问我们虚拟机去处理资源的,所以你网断了之后,你前端售后终端就工作不了,你想处理什么都处理不了,这就是云服务的中断,原因是基于网络提供服务的,如果网络断了,那基本上云服务就用不了

第十个利用不安全的接口进行攻击,攻击者利用非法获取的一些接口访问密钥,还有一些有漏洞的一些接口,绕过我们的安全设备或者一些安全机制来进行攻击

第11个数据丢失、篡改或者泄露

云计算安全要求

传统计算平台安全主要包括:物理和环境安全、网络和通信安全、设备和计算安全、数据安全、应用安全

传统安全跟等保的要求非常类似,等保二点零里面的要求,要记住一个中心三层防护,再加一个物理环境

云计算平台新增一些安全需求,第一个多租户的安全隔离,实际上,我们用微差量去隔离

虚拟资源安全,我们常见的有虚拟机,存储空间还有虚拟安全,比如说vfw,还有软件的vips,云服务的安全合规,要满足政策和法律要求,在中国提供的云服务里边,它的内容不能涉及到非法、淫秽色情等等,这些肯定是不合规的

数据可信托管,托管给可信方,比如说a有相应的资质,有相应的职责,有相应的技术实力,安全运维以及业务连续性保障,然后还有隐私保护等等,由于云计算承载着不同用户的数据,相对于传统的计算平台,它的安全运维肯定是要求更高的,所以阿里云,腾讯云他们招的运维人员素质也是挺高的,网络这块,他们基本上都是要求要CCIE、HCIE的,安全还是要求挺高的,包括我发现支付宝的人,他们也在考信息安全工程师也是在不断的去学习,扩展自己的一些知识面

云计算技术安全需求

按照端-管-云提的需求,首先是云终端,云终端这边PC或者是移动终端的安全需求都可以算作里面。比如PC,你要有相应的身份鉴别或者识别,要有相应的访问控制,然后在你这里面也要存一些数据

云端设备以及服务软件的安全,因为你要访问远端的云资源,有可能是安装一个客户端,也有可能是通过web的方式去访问,无论是那一种,比如客户端没有被绑定木马,通过网页的方式,你网页有没有用https,但https这个偏向于传送,偏向于通信这块,因为它是加密,比如说网页安装的浏览器是否安全,浏览器有没有网页挂马等等这一类的,偏向于终端电脑的安全

网络通信安全包括身份认证、密钥分配,数据加密,还有一些跟网络安全相关的

云计算安全需求分析,涉及到物理安全,主机服务器安全,操作系统安全,服务器安全,应用及数据安全,云操作系统安全,虚机安全,多租户安全,其中跟云计算息息相关的多租户、虚拟机。

云计算隐私保护需求,云计算里面存在着大量的数据,涉及到个人用户的一些隐私信息,因而云计算的隐私保护是非常重要的

云计算里边对个人隐私保护,第一个是数据采集,明确个人信息采集范围和用途,要告知用户相关的风险,如果你去申请云主机,它是会让你去阅读相应的说明,其中就有隐私保护的一些东西,反正你要买它的云服务,必须要阅读它的说明,然后还要阅读完之后,它前面有个框,你打个勾,表示同意,已经阅读了,然后你才能够正常的购买。所以它会告诉你相应的风险,因为它会采集你相应的一些信息的

数据传输,数据传输主要是通过加密来保证它的安全性,防止通信过程造成信息泄露

数据存储,存储也可以加密,当然你存的数据要采用一些认证和访问控制机制,防止非法的用户来访问我们的数据

备份,就是你存的数据有可能遭遇了硬件故障,或者是天灾人祸,反正数据没了,我们可以通过备份数据去做恢复

第四个是数据的使用,限定相应特权管理和个人信息等披露的一些安全策略。就是不是所有人都可以用,你要用一些实名认证,安全标记等等,包括特权管理,限制数据的使用,防止一些外部非法人员使用我们内部数据

数据的维护,及时的做更新,敏感的数据,及时的按规则删除。

第六个安全事件的处理,要有相应的应急预案,防止出了安全事故之后,它这个安全事故进一步扩大,这是隐私保护相应的一些需求

网络标签:

相关问题