1、CCSK課程背景介紹,講師簡介,陳馳：博士，CISSP 中科院信工所 信息安全國家重點實驗室 研究員 2003年開始從事信息安全領域的科研工作，在云計算安全、數(shù)據(jù)庫管理系統(tǒng)、信息系統(tǒng)安全性測評和國內(nèi)外信息安全標準體系等方面具有豐富的經(jīng)驗。 先后主持或參與中國科學院戰(zhàn)略性先導專項、中宣部廣播云專項、國家863計劃、國家自然科學基金和國家標準制修訂項目等省部級項目十余項。在TPDS、JNCA、Infocom、Milcom、軟件學報、電子學報等國內(nèi)外知名期刊會議上發(fā)表科研論文二十余篇；獲得國家發(fā)明專利十余項；主持制定國家標準3項，參與編制國家標準7項。 代表作： 專著：云計算安全體系 ，陳馳、于晶著

2、，科學出版社，2014.6 Chi Chen, etc ：An Efficient Privacy-Preserving Ranked Keyword Search Method, IEEE Transactions on Parallel and Distributed (CCF Rank A) Chi Chen, etc: Cloud Security Assessment System Based on Classifying and Grading，IEEE cloud computer magazine.2015.4,3,CCSK認證簡介,Certification of Cloud

3、 Security Knowledge 云計算安全知識認證,中國CCSK認證及考試,CCSK,C-CCSK,Certification of Cloud Security Professional 云計算安全專家認證,CCSP,進階,2011年CSA正式推出，經(jīng)過5年發(fā)展，已經(jīng)成為云安全人才領域最權威的認證之一,由CSA和ISC2(國際信息安全認證聯(lián)盟)2015年聯(lián)合推出，是CCSK的進階認證,CSA授權“北京愛思考科技有限公司”組織推出,4,CSA : Security Guidance For Critical Areas Of Focus In Cloud Computing CSA云計

4、算關鍵領域安全指南,ENISA: Benefits, risks and recommendations for information security ENISA風險報告,課程介紹,課程結構,5,CSA簡介,全稱：Cloud Security Alliance，云安全聯(lián)盟 成立：2009年，RSA大會上宣布成立的一個非盈利性組織，致力于研究云計算環(huán)境下的安全問題，旨在提供云計算環(huán)境下的最佳安全解決方案。 研究成果：發(fā)布的云安全系列研究報告，對業(yè)界有著積極影響，獲得廣泛認可。,CSA主要研究成果列表,7,云計算關鍵領域的安全指南,英文名稱：Security Guidance for Crit

5、ical Areas of Focus in Cloud Computing 版本更替：2009年4月1日（CSA成立后一個月）發(fā)布v1.0 2009年12月17日，發(fā)布v2.1；2010年春節(jié)后，發(fā)布v2.1中文版 2011年11月14日，發(fā)布v3.0（最新版）；2013年5月，發(fā)布v3.0 中文版,模塊 1: 云架構,學習目標,云計算的定義、相關概念、優(yōu)勢 云計算的關鍵特性 云的服務交付模型 云的部署模型 云安全的特殊問題,9,云計算：亞馬遜的故事,亞馬遜想更有效的使用他們的資源 希望能夠更好的幫助開發(fā)者，使他們不用面對獲得硬件的困難。 云計算使得開發(fā)者們不必擁有每種系統(tǒng)的專門的資源和容量

6、 只需要從資源池中獲取需要的資源即可 但仍保留應對業(yè)務峰值的整體容量，大量硬件資源不需要每天都使用。 將EC2的空閑資源容量出租 獲得利潤,10,什么是云計算,云計算是一種模型，能支持用戶便捷地按需通過網(wǎng)絡訪問一個可配置的共享計算資源池（包括網(wǎng)絡、服務器、存儲、應用程序、服務），共享池中的資源能夠以最少的用戶管理投入或最少的服務提供商介入實現(xiàn)快速供給和回收。 NIST 美國國家標準技術研究所,11,云計算重要概念：資源池,客戶,計算,網(wǎng)絡,存儲,12,云計算 VS. 虛擬化,虛擬化: 指資源的抽象化，也就是單一物理資源的多個邏輯表示，或者多個物理資源的單一邏輯表示。 在“云”和“虛擬化”之間經(jīng)

7、常存在混淆，但它們并不是同義詞。 虛擬化是實現(xiàn)云平臺的一種技術手段，但不是唯一的技術手段。 云計算平臺是提供虛擬化的平臺 IaaS（基礎設施即服務）中：云計算軟件組織和管理著虛擬化,13,云計算的好處,無基礎設施建設投資（公共云情況下） 更大的靈活性 近乎無限的規(guī)模 更高的資源利用率 便捷的系統(tǒng)遷移 方案彈性 僅為使用的資源付費,14,多租戶,15,指服務器上運行的單一應用同時服務于多個用戶。將應用本身作為共享資源，而不是每一個用戶獨享一臺服務器或者一套服務器上運作的單一應用的工作模式。,云計算模型,16,NIST云計算參考架構,云計算核心特征,廣泛的網(wǎng)絡訪問 通過標準客戶端接入 計算機（桌面

8、機、筆記本） 移動設備 通過各種網(wǎng)絡接入,17,迅捷可伸縮 服務能夠迅速、可伸縮的提供，在某些情況下甚至可自動提供以擴大規(guī)模，也可以迅速釋放資源以縮減規(guī)模,18,云計算核心特征,可測量的服務 資源的使用可以被監(jiān)視和控制 提供一定抽象程度的測量能力 使用量計算：用戶只需為所使用的服務付費,19,云計算核心特征,按需自服務 用戶可按需自行獲得計算能力如服務器時間、網(wǎng)絡資源等，不需要與服務提供商進行人工交互,20,云計算核心特征,資源池化 資源被池化，并以多租戶模型向多個用戶提供服務 位置獨立性：用戶無法獲知或控制資源的具體位置。,21,云計算核心特征,云服務交付模型,Software as a S

9、ervice (SaaS)軟件即服務 Platform as a Service (PaaS)平臺即服務 Infrastructure as a Service (IaaS)基礎設施即服務,22,Infrastructure as a Service (IaaS)基礎設施即服務,提供處理器、存儲、網(wǎng)絡和其它的基礎計算資源 客戶部署并運行任意的軟件 可以包含操作系統(tǒng)和應用軟件,23,Platform as a Service (PaaS)平臺即服務,將用戶創(chuàng)建的或已有的應用部署在云基礎設施上 使用云提供商支持的程序語言和工具創(chuàng)建,24,Software as a Service (SaaS)軟件

10、即服務,用戶使用云服務商部署在云基礎設施上的應用 用戶不管理和控制底層的云基礎設施，包括網(wǎng)絡、服務器、操作系統(tǒng)、存儲，以及單獨的應用能力。,25,SPI （SaaS/PaaS/IaaS）混合與匹配,Amazon EC2,S CRM,Microsoft Azure,D,W,DropBox,SaaS,IaaS,PaaS,Why?,26,服務模式與安全責任的關系,云服務商提供的服務在SPI棧中越底層，用戶在系統(tǒng)實施和管理中需要負責的管理和安全工作就越多。,SaaS,IaaS,PaaS,安全責任,服務商,客戶,27,IaaS,28,PaaS,29,SaaS,30,31,社區(qū)云,32,云基礎設施為幾個組

11、織所共享，為一個具有相同需求（比如任務、安全需求、策略、監(jiān)管要求等）的社區(qū)提供支持。 有許多緊密的集團（按上下級關系、地理、規(guī)模等組織起來的）具有十分相似的計算需求。社區(qū)云可以為這樣的計算環(huán)境提供便利和規(guī)模經(jīng)濟性，降低IT服務建設的成本并提高系統(tǒng)能力。社區(qū)云可以由組織自行運營或者由第三方運營，可以運行在本地或者遠端。,例如：某汽車公司建立的云中心，為自身和其它配件廠提供服務。,混合云,33,由上面的兩種或多種云基礎設施組合而成，各自的實體是獨立的，但通過標準或私有的技術集成在一起，并提供數(shù)據(jù)和應用的便利。 例如：鐵路售票系統(tǒng),云部署模型和職責,或,33,多租戶私有云vs.公有云,34,多租戶公

12、有云視圖,35,云世界中的安全邊界,云計算使得傳統(tǒng)的邊界定義失效 什么是內(nèi)部？ 什么是外部？ 影響是什么？,現(xiàn)在的邊界在哪里？,37,云安全,安全考慮包括： 誰將消費和使用資產(chǎn)、資源、信息？ 誰對資源的控制、安全、合規(guī)負責？,38,總結,云描述了計算、網(wǎng)絡、信息、存儲等資源池的使用。 云服務的特征包括：廣泛的網(wǎng)絡訪問、迅捷可伸縮性、可測量的服務、按需自服務、資源池化。 云服務通常以基礎設施即服務（IaaS）、平臺即服務（PaaS）或軟件即服務（SaaS）的方式提供，雖然它們之間的區(qū)別在變得日益模糊。 云服務可以以公有云、私有云、混合云和社區(qū)云的方式提供，具體取決于應用的安全及共享等方面的需求。

13、,39,測試題：,多租戶的安全后果是什么？ 減慢的響應時間 與其它用戶排隊等候 缺少對每個租戶的個性化的加密密鑰 殘余信息、數(shù)據(jù)或操作蹤跡對其它用戶或租戶的可見性 必須單獨地為每個客戶更新病毒庫 在IaaS或者PaaS情況下，管理應用安全的責任屬于誰？ 云客戶的系統(tǒng)管理員 互聯(lián)網(wǎng)服務提供商 軟件即服務（SaaS）提供商 服務商系統(tǒng)的管理員 政府,40,測試題：,多租戶的安全后果是什么？ 減慢的響應時間 與其它用戶排隊等候 缺少對每個租戶的個性化的加密密鑰 殘余信息、數(shù)據(jù)或操作蹤跡對其它用戶或租戶的可見性 必須單獨地為每個客戶更新病毒庫 在IaaS或者PaaS情況下，管理應用安全的責任屬于誰？

14、云客戶的系統(tǒng)管理員 互聯(lián)網(wǎng)服務提供商 軟件即服務（SaaS）提供商 服務商系統(tǒng)的管理員 政府,41,測試題：,云服務具有5種本質(zhì)特征展示了他們與傳統(tǒng)計算方式的關系和不同。其中哪種特征被描述為：能力能夠以快速擴展和快速釋放的方式供應。 按需自服務 迅捷可伸縮 廣泛的網(wǎng)絡訪問 可計量的服務 資源池化 下面哪個不是NIST定義的云服務模型？ 平臺即服務（PaaS） 基礎設施即服務(IaaS) 安全即服務(SECaaS) 軟件即服務(SaaS) 以上都不是,42,測試題：,云服務具有5種本質(zhì)特征展示了他們與傳統(tǒng)計算方式的關系和不同。其中哪種特征被描述為：能力能夠以快速擴展和快速釋放的方式供應。 按需自

15、服務 迅捷可伸縮 廣泛的網(wǎng)絡訪問 可計量的服務 資源池化 下面哪個不是NIST定義的云服務模型？ 平臺即服務（PaaS） 基礎設施即服務(IaaS) 安全即服務(SECaaS) 軟件即服務(SaaS) 以上都不是,43,測試題：,一個云部署為兩個或多個獨立的云的部署方式被稱作： 基礎設施即服務 一個社區(qū)云 一個混合云 一個私有云 云立方模型 存儲即服務（Storage as a Service）可視作什么的子產(chǎn)品？ Hadoop 軟件即服務 安全即服務 平臺即服務 基礎設施即服務,44,測試題：,一個云部署為兩個或多個獨立的云的部署方式被稱作： 基礎設施即服務 一個社區(qū)云 一個混合云 一個私有

16、云 云立方模型 存儲即服務（Storage as a Service）可視作什么的子產(chǎn)品？ Hadoop 軟件即服務 安全即服務 平臺即服務 基礎設施即服務,45,測試題：,什么是資源池化？ 服務商的計算資源被池化以向更多的客戶提供服務 基于互聯(lián)網(wǎng)的CPU被池化以支持多線程。 每個客戶專有的計算資源被池化放置在一個共同的機房設施中。 將物聯(lián)網(wǎng)（云）數(shù)據(jù)中心放置在多能源源頭附近，比如水電站等。 以上都不是 所有云服務都使用虛擬化技術。 TRUE FALSE,48,測試題：,什么是資源池化？ 服務商的計算資源被池化以向更多的客戶提供服務 基于互聯(lián)網(wǎng)的CPU被池化以支持多線程。 每個客戶專有的計算資源被池化放置在一個共同的機房設施中。 將物聯(lián)網(wǎng)（云）數(shù)據(jù)中心放置在多能源源頭附近，比如水電站等。 以上都不是 所有云服務都使用虛擬化