概述

介绍如下内容:

  • 云计算带来的安全问题
  • 云计算中的九大安全威胁
  • DDOS
  • 数字证书与加密
  • 云安全架构

云计算带来的安全问题

  • 系统与虚拟化的安全:虚拟化平台运行在操作系统与物理设备间,其设计和现实中存在漏洞和风险。
  • 应用于数据安全:不同安全需求的租客用户可能运行在同一台物理机上,传统安全措施难以处理。
  • 网络于边界安全:网络边界的模糊化,传统的边界防护手段在虚拟的网络中无法直接使用。
  • 身份与安全管理:应用系统和资源所有权的分离,导致云平台管理员可能访问用户数据。

云计算中的九大安全威胁

  1. 数据泄露。
  2. 数据丢失。
  3. 数据劫持。
  4. 不安全的接口。
  5. 大流量DDoS攻击,恶意CC攻击,SQL注入攻击,暴力破解攻击,木马,XSS攻击,网络钓鱼攻击等。
  6. 内部员工越权,审计不到位,滥用权力,操作失误等等。
  7. 滥用云服务,云服务中断,多租户隔离失败。
  8. 贸然行事。
  9. 共享隔离问题。

DDOS(分布式拒绝服务)

DDOS的基本概念

  • Dos:Denial of Service:一台或多台计算机对受攻击服务器发送大量数据包,导致服务器无法提供正常服务
  • DDoS:Distributed Denial of Service:借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍的提高拒绝服务攻击的威力。

DDOS的类型

  • 链接消耗型:SYN Flood
  • 带宽耗尽型:ACK Flood , UPD Flood , ICMP Flood
  • 应用层攻击:HTTP GET Flood , HTTP Post慢速攻击,DNS Query Flood

DDOS的主要攻击方式

  • SYN Flood(链接消耗型):SYN Flood 伪造SYN报文向服务器发起链接,服务器在收到报文后用SYN_ACK应答,不会收到ACK报文,造成一个半连接。若攻击者发送大量这样的报文,会在被攻击主机上出现大量的半链接,耗尽其资源,使得用户无法访问。
  • ICMP Flood(带宽耗尽型):短时间内向特定的目标不断请求ICMP回应,致使目标系统负载过重而不能处理合法的传输任务。通过伪装目的主机的IP地址,向多个IP网络的广播地址发送ICMP Echo Request 数据包,使得目的主机需要消耗大量CPU资源和有效带宽来处理来处理来自众多节点的ICPM Reply数据包
  • DNS Query Flood(应用层攻击)
    • 攻击者操纵大量傀儡机向被攻击的服务器 发送大量的域名解析请求, 通常请求解析的域名是随机产生或者是网络上根本不存在的域名。
    • 被攻击的DNS服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS服务器会向其上层DNS服务器递归查询域名信息
    • 域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定数量就会造成DNS服务器解析域名超时。

DDoS的防御

攻击源消除

DDoS攻击需要大量的傀儡机才能完成,离开了傀儡机那么攻击者就不能实施。要防范计算机成为傀儡机就必须对主机的硬件或软件系统存在的安全漏洞进性全面的检测,及时打补丁,修补漏洞。

攻击缓解

  1. 报文过滤:针对源地址进行欺骗的DDoS攻击,可以通过对报文源IP地址进行检测,根据IP地址的真假对报文进行过滤防御。入口过滤在攻击源端的边界路上起作用,当数据包进入到网络时,检查报文IP地址是否符合通告的网络标准,如果不满足就丢弃这个数据包
  2. 速率限制:当服务器遭受到严重的DDoS攻击的时候,由于边界路由器出现拥塞,会出现大量丢包现象。速率限制的核心就是从被丢弃的数据包中寻找信息,把这些丢弃包中的流量特征进行汇总,将符合特征的数据包提炼成有价值的数据流,并通过限制这些数据流从而达到阻止DDoS攻击的目的。
  3. 攻击预防
    1. 减少公开暴露
    2. 提升网络带宽保证能力
    3. 分布式资源共享服务器
    4. 监控系统性能
  4. IP地址的溯源:在攻击过程中,可以根据攻击来源来设定过滤,将攻击来源出的流量进行过滤达到降低攻击强度的效果,还可以将收集到的信息作为法律证据对攻击者进行法律制裁。IP溯源的技术主要有链接测试,随机采样,登录分析等。

数字证书与加密

加密技术

  • 基本概念:将明文信息隐藏起来
  • 完整的密码体制:明文空间,密文空间,密钥空间,加密算法,解密算法
  • 对称加密
    • 加密和解密使用相同的密钥
    • 常见的对称加密算法有:DES、3DES、Blowfish、IDEA、RC4等
  • 非对称加密
    • 加密和解密使用不同的密钥
    • 每一个用户有一对密钥:公钥和私钥
    • 常见的非对称加密算法有:RSA、ECC(移动设备用)、EI Gamal、DSA(数字签名用)

数字签名

  • 基本概念
    • 是一种类似写在纸上的普通物理签名,但使用了公钥加密领域的技术实现,用于鉴别数字信息的方法
    • 作用和手写签名其实是一样的,用来证明某个消息或者文件是本人发出/认同的
    • 包括签名算法和验证算法
    • 原理:原理图
    • 应用:服务器认证、代码认证

数字证书

  • 基本概念
    • 即互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证身份的方式
    • 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件
    • 构成
      • 证书所有者
      • 证书发布机构
      • 签名所使用的算法
      • 证书的有效期
      • 指纹以及指纹算法
      • 公钥

云安全架构

图片加载失败

名词解释

PCI(Payment Card Industry (PCI) Data Security Standard):

支付卡行业 (PCI) 数据安全标准 (DSS) 是一组全面的要求,旨在确保持卡人的信用卡和借记卡信息保持安全,而不管这些信息是在何处以何种方法收集、处理、传输和存储。

PCI DSS 由 PCI 安全标准委员会的创始成员(包括 American Express、Discover Financial Services、JCB、MasterCard Worldwide和 Visa International)制定,旨在鼓励国际上采用一致的数据安全措施。


  • GLBA(Gramm-Leach-Bliley Act):《格雷姆-里奇-比利雷法案》(GLBA) 又称为美国《金融服务法现代化法案》,规定了对金融机构持有的消费者个人信息的保护措施。
  • NIDS:Network Intrusion Detection System的缩写,即网络入侵检测系统。
  • NIPS:Network Intrusion Prevention System的缩写,指的是网络入侵防御系统。
  • DPI(Deep Packet Inspection):一种基于数据包的深度检测技术,针对不同的网络应用层载荷(例如HTTP、DNS等)进行深度检测,通过对报文的有效载荷检测决定其合法性。
  • DNSSec:Domain Name System Security Extensions (DNSSEC)DNS安全扩展,是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。它提供了一种来源鉴定和数据完整性的扩展,但不去保障可用性、加密性和证实域名不存在。
  • IAM(Identity and Access Management 的缩写),即“身份识别与访问管理”,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。

参考文章

笔记内容由博主的一个很帅同学整理