课程教材教材名称云端运算PART4.ppt
《课程教材教材名称云端运算PART4.ppt》由会员分享,可在线阅读,更多相关《课程教材教材名称云端运算PART4.ppt(103页珍藏版)》请在三一文库上搜索。
1、Part4-課程教材 教材名稱:雲端運算PART4,國立高雄大學資訊工程學系 陳建源教授,計劃名稱: 99年度教育部資訊軟體人才培育推廣計畫 跨校資源中心:雲端計算與服務/互動多媒體(國立中山大學)課程名稱: 雲端運算,雲端資訊安全1,主講人:陳建源,研究室 :法401 Email: cychen07nuk.edu.tw,資料來源,雲端運算使用案例第 4 版,http:/opencloudmanifesto.org/Cloud_Computing_Use_Cases_Whitepaper-4_0-China_T.Chinese_translation.pdf,由雲端運算使用案例討論小組製作之白
2、皮書 第 4 版 2010 年 7 月 2 日,1.雲端運算之安全議題,Outline,法規: 法規並不是技術,但是對於功能的影響甚大,訂定不好的法規, 將造成安全上無法避免的錯誤。,安全管控: 雲端供應者必須有能力,提供安全管控的技術,使消費者有足夠的 安全保障。,安全聯合模式: 雲端供應者建構不同的聯合模式,以落實安全控管。,客戶經驗: 列舉一些客戶實力,以了解雲端安全議題。,2.服務等級協議 (SLA) SAL說明雲端供應者與雲端消費者之間的互動。,1.雲端運算之安全議題,雲端運算安全 事實上,雲端並未帶來新的安全問題,但也無法消除原有 的安全問題,但由於資料集中放置於雲端主機,所以雲端
3、 與過去比較最大差異在於企業失去對資料的掌控權。,雲端運算之安全議題,法規:法規並非技術問題,但法規所影響的安全要求高於功能要求。,安全管控:雲端提供的基礎架構是否有能力確保安全。,安全聯合模式:為落實安全管控,需要不同的聯合模式,雲端供應者應透過現有安全標準提供聯合模式。,法規:,世界各國政府非常關切雲端運算的使用問題,許多政府制定較嚴格的法律,禁止敏感資料儲存於國外實體伺服器中,違法者將處以重刑,因此任何組織若要落實雲端運算,且將敏感資料儲存於雲端中,必須證明雲端供應者並未將該資料儲存在國外的實體伺服器中。 除了政府外,許多知名公司亦制訂相同規範,以落實雲端安全。,1.雲端運算之安全議題,
4、安全管控:,1.雲端運算之安全議題,安全管控:,1.雲端運算之安全議題,安全管控:,1.雲端運算之安全議題,安全管控:應用於各項管控的部分標準,1.雲端運算之安全議題,安全聯合模式: 聯合可以讓多項獨立資源如同單一資源運作,雲端運算本身即為聯合資源,故在單一雲端運算解決方案中,許多資產、身分、配置及其他細節必須聯合,才能發揮效果。,1.雲端運算之安全議題,安全聯合模式:,信任:指雙方在認證機構下建立信任關係的能力,認證機構能夠交換憑證(通常為 X.509 憑證),並以此確保資訊安全及建立已簽的安全記號(通常為 SAML),此信任聯合是所有其他安全聯合模式的基礎。,身分管理:藉由使用者憑證(帳號
5、、密碼、文件)來證明身分,並回覆符合使用者已簽的安全記號,服務供應者若信任身分供應者,對不認識的使用者,亦可使用安全記號,開放適當權限給使用者。,1.雲端運算之安全議題,安全聯合模式:,使用管理:能夠制定政策(通常為 XACML)檢視安全記號,以管理雲端資源使用情況,使用資源會受到多個因素掌控,例如限制僅特定角色使用者可使用資源、只能在特定協定中使用、限制使用時段等。,單一登入/登出:根據可信任機構憑證匯整登入資訊,由於已認證使用者已是特定角色,單一登入功能讓使用者只需登入某一應用程式,即可使用其他信任相同機構的其他應用程式。單一登出模式亦然,在許多情況下,使用者 若自某一應用程式登出,就必須
6、同時登出其他應用程式,單一登入模式需以身分管理模式為基礎才能執行。,1.雲端運算之安全議題,安全聯合模式:,審核及監管:紀錄雲端內活動成為審核及監管資料。聯合審核為必要工作,可確保並記錄活動符合 SLA 及法規要求。,配置管理:結合服務、應用程式及虛擬機器的配置資料,包括使用政策及跨網域授權資訊。,1.雲端運算之安全議題,客戶經驗-雲端運算能力:,美國有一家保險公司設計一套索賠應用程式,專門收集被保險人資料及所受損失情況。當預見颶風襲擊美國墨西哥灣地區,可能造成重大財產損失,導致索賠案件大增,也大幅提高企業資訊科技基礎架構負荷。此臨時狀況,該公司決定與公用雲供應者合作,使用虛擬機器應付此大量要
7、求,企業必須掌控自有系統與雲端虛擬機器的使用權,只限公司合格經理人取用,此外,企業也要安全地將雲端申請案的資料送回企業防火牆內,而雲端供應者必須確保虛擬機器一旦關閉後,應用程式與資料記錄會徹底消失。,1.雲端運算之安全議題,解決客戶問題:,使用公用雲後,讓企業能處理異常大增的工作量。臨時透過添購、維護、供電與冷卻額外系統來處理可能面臨的巨大工作量,並不符合成本效益,採購時效也可能趕不及,該公司內部已有運算能力,可應付日常維運,故可在所需時間自動增加運算能力。,要求與掌控:,1.雲端運算之安全議題,聯合模式:,信任、使用管理、配置管理,角色:,索賠核算員、保險代理人、審核員,安全使用案例經驗-雲
8、端運算能力,客戶經驗-雲端開發與測試:,網路零售業者需要開發一套新的 Web 2.0 店面應用程式,但不想增加資訊科技部門與現有資源負擔,故選擇一家雲端供應者,提供雲端開發環境,儲存開發工具及來源碼,由另一家雲端供應者提供測試環境,讓新應用程式可與各種機器及大量工作互動。 因為運用兩家供應者區隔開發與測試,故雙方聯合非常重要。,1.雲端運算之安全議題,解決客戶問題:,在開發者眼中,使用雲端開發工具後,就不必在每位開發者的電腦裡安裝、配置及管理工具,工具更新也只需在雲端主機進行一次,所有開發者就自動取得同一版本的工具。 產品建置速度顯然加快,大規模建置工作可運用雲端供應者的基礎架構彈性,且在雲端
9、開發時,能取用雲端資料庫裡最新版來源碼。 就測試而言,由於公司從傳統介面轉移至 Web 2.0 介面,對伺服器的額外負擔無法預估。相較於靜態網頁,Web 2.0 介面與伺服器互動更頻繁,故在雲端測試新應用程式時,測試團體能計算新介面產生的衝擊。,1.雲端運算之安全議題,解決客戶問題:,在雲端進行新應用程式測試容易許多,若測試團隊要求每秒自500 台不同機器傳來,以了解應用程式的表現,雲端計算可承受這種試驗,由虛擬機器模擬不同機器(作業系統、版本、協定等)來測試應用程式。若測試團隊擬將規模增至千台或萬台機器,在雲端測試的成本效能也遠低於內部基礎架構測試。,1.雲端運算之安全議題,要求與掌控:,1
10、.雲端運算之安全議題,聯合模式:,信任、身分管理、使用管理、單一登入、審核與監管、配置管理,角色:,開發者、測試者、管理者、審核員,1.雲端運算之安全議題,客戶經驗-儲存在雲端:,一家金融投資公司將為經理人及分公司推出新投資產品,已製作數段影片,向經理人及分公司說明新產品特長,由於影片檔案很大,必須具備隨需應變瀏覽方式,故儲存在雲端可減少企業基礎架構要求,但影片觀看者身分需嚴格限制,為商業競爭考量,只有合格經理人能觀看影片,更重要的限制是,在產品推出前夕,影片及產品細節必須保密。 該公司決定採用公用雲儲存影片,負責安全管控及影片播放,雲端解決方案必須具備使用存取控制機制,以落實該公司對影片的安
11、全政策。,1.雲端運算之安全議題,解決客戶問題:,使用公用雲儲存服務後,讓消費者能處理大量資料檔案及頻寬要求,但不會增加資料中心的實體資源。然而,因為政府法規與組織要求,安全格外重要,公用雲儲存供應者若無法保證監管功能,無論效能如何、價格或彈性高低,都不能採用。,1.雲端運算之安全議題,要求與掌控:,1.雲端運算之安全議題,聯合模式:,信任、身分管理、使用管理、審核與監管,角色:,影片製作單位、企業經理人、企業分公司、審核員、法規單位,1.雲端運算之安全議題,安全管控與消費者經驗的關係:,1.雲端運算之安全議題,安全管控與消費者經驗的關係:,1.雲端運算之安全議題,安全聯合模式與消費者經驗的關
12、係:,1.雲端運算之安全議題,2.服務等級協議 (SLA),雲端供應者與雲端消費者之間的關係必須以服務等級協議 (SLA)來加以說明安全服務措施。因為雲端消費者信任雲端供應者所遞送的若干基礎設施服務,因此必須定義這些服務,以及使用這些服務的方式。,2.服務等級協議 (SLA),何謂 SLA?,SLA 說明了雲端供應者與雲端消費者之間的互動。 SLA 包含: 供應者將實施的一套服務 每項服務的完整、具體定義 供應者與消費者的責任 用以判定供應者是否信守實施服務的一套計量方式 一套監督服務的審核機制 如未符合 SLA 條款時,消費者與供應者可執行的補救方式 SLA 將如何隨著時間改變,2.服務等級
13、協議 (SLA),服務等級目標,SLO 以精確、可測量的條款定義出服務特性。 下列為部分 SLO 的範例: 系統不應具有 10 個以上的待決要求。 處理要求的時間應少於 3 秒。 讀取要求的資料串流應於 2 秒內啟動。 同一時間至少要有 5 個 OM 執行個體是 99.99999% 可用的 ,而且每家供應者至少要有三個資料中心都能提供該執行個體。,2.服務等級協議 (SLA),服務等級管理,無須監督與測量服務的效能,就能瞭解是否符合 SLA 條款,這是不可能的事。 服務等級管理就是收集並處理效能資訊的方式。服務的衡量係基於 SLA 中的服務等級目標。,2.服務等級協議 (SLA),SLA 考量
14、事項,1業務等級目標 2供應者與消費者的責任 3業務持續性與災難復原 4冗餘系統 5維護 6資料位置 7資料扣押 8供應者無法履行義務 9司法管轄權,2.服務等級協議 (SLA),SLA 要求,1安全性 2資料加密 3隱私權 4資料保留與刪除 5硬體資料清除與銷毀 6符合法規 7透明度 8認證 9關鍵績效指標的術語 10監督 11可審查性,2.服務等級協議 (SLA),SLA 要求,12. 計量方式,處理量 服務回應的迅速程度 可靠性 服務可用的頻率 負載平衡 出現需靈活應變的狀況時 (如啟動或終止新的虛擬機) 的處理 耐久性 資料遺失的可能性 彈性 固定資源是否有能力無限成長,並載明 (如儲
15、存或頻寬的上限) 限制 線性 系統隨著負荷量增加時的效能 敏捷 供應者隨著消費者的資源負荷量增減的反應速度 自動化 供應者無需人力互動而處理要求的比例 客戶服務回應時間 供應者回應服務要求的速度,在此意指當雲端的隨需應變服務及自助式服務等層面出現問題時,所需的人力互動。,2.服務等級協議 (SLA),SLA 要求,13. 可用電腦處理的 SLA 14. 人力互動,2.服務等級協議 (SLA),SLA 要求與雲端遞送模式,2.服務等級協議 (SLA),SLA 要求與使用案例情況,2.服務等級協議 (SLA),SLA 要求與使用案例情況,主講人:陳建源,研究室 :法401 Email: cyche
16、n07nuk.edu.tw,雲端資訊安全2,(中央社記者吳佳穎台北2010年11月26日電)雲端潮流凸顯資安議題重要性。防毒業者表示,企業雖有疑慮,但雲端依然商機龐大;雲端安全聯盟提供美國政府經驗,說明適度區隔是雲端資安可行方式-為推動安全的雲端運算環境,財團法人資訊工業策進會今天舉辦2010國際資訊安全技術高峰會,邀請國內外產研界人士共同討論。 趨勢科技全球研發長暨亞太區執行副總裁張偉欽表示,目前雖有不少對於雲端運算資安的疑慮與不信任,但業界還是出現很多資訊外包託管的雲端風潮,這類市場近年的營收成長30%以上,商機龐大。,(中央社記者吳佳穎台北2010年11月26日電) 另外,由於企業對雲端
17、信賴度不足,張偉欽預估還要 5年時間,使用公有雲服務才會明顯。但他強調,防毒產業要先預見趨勢,抓緊雲端潮流,提供因應的解決方案。 雲端安全聯盟(Cloud Security Alliance,CSA)創辦人馬瑟爾(Tim Mather)說明,企業進入雲端服務首重安全評估,如美國政府目前透過雲端運算處理的大多是沒有機密性、沒有法律以及財務敏感的資料,且運作系統和一般雲端運作分開,適度區隔的確必要。 中央研究院院士李德財分享台灣與美國院校的研究成果,以及台灣學界未來資安的研究方向,例如台科大主要研究軟體安全驗證、交大負責 WiMAX等多重網路環境安全、成大則專門研究殭屍電腦病毒偵測。,資料來源,研
18、究報告 雲端運算的七大安全威脅 http:/ Threats to Cloud Computing http:/www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf,Security Guidance for Critical Areas of Focus in Cloud Computing,http:/www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf,雲端安全聯盟(CSA, Cloud Security Alliance): 於2009年在美國成立,是一家在雲
19、端計算環境下提供安全方案的非營利性組,在這份文件中,將雲端安全分為兩大領域,分別為治理 (Governance) 與維運 (Operation),其下各有 5 個與 7 個分類,共計 12 個分類: 治理 (Governance) 1.治理與企業風險管理 (Governance and Enterprise 2.Risk Management) 3.法律與電子資料搜尋 (Legal and Electronic Discovery) 4.法規遵守與稽核 (Compliance and Audit) 5.資訊生命週期管理 (Information Lifecycle Management) 6.
20、可攜性與互通性 (Portability and Interoperability),Security Guidance for Critical Areas of Focus in Cloud Computing,維運 (Operation) 1.傳統上的安全、業務持續與災難復原 (Traditional Security, Business Continuity, and Disaster Recovery) 2.資料中心維運 (Data Center Operations) 3.事件處理、通知與回復 (Incident Response, Notification, and Remedi
21、ation) 4.應用程式安全 (Application Security) 5.加密與金匙管理 (Encryption and Key Management) 6.身份與存取管理 (Identity and Access Management) 7.虛擬化 (Virtualization),Security Guidance for Critical Areas of Focus in Cloud Computing,治理 (Governance),1.治理與企業風險管理 (Governance and Enterprise Risk Management),健全發展的資訊安全治理過程,關切
22、地識別以及實施適當的組織結構、流程和管制,以維持有效的資訊安全治理、風險管理和法規遵從。 組織在任何雲部署模型中也應保證合理的資訊安全,在資訊供應鏈中,主要包含雲端供應商和客戶的雲端計算服務以及所支持的第三方供應商。,最根本的問題:,治理 (Governance),2.法律與電子資料搜尋 (Legal and Electronic Discovery),在一個組織與其資訊之間的關係中,雲端計算創造了新的動力。,治理 (Governance),2.法律與電子資料搜尋 (Legal and Electronic Discovery),功能方面:確定哪些功能和服務,在雲端計算具有合法的參與者和利益相
23、關者。 管轄方面:涉及政府管理方式(法律和法規影響雲端計算服務)、利益相關者和所涉及的資料資產。 合同方面:涉及的合同結購、條款、條件以及執法機制,使利益相關者在雲端計算環境下,可以解決和管理所遭遇的法律和安全問題 。,最根本的問題:,治理 (Governance),3.法規遵守與稽核 (Compliance and Audit),針對給定的雲端服務之使用的法規適用性。 明確劃分雲端客戶及雲端供應商之間需遵守的責任。 雲端供應商必須有能力生產所需要的證據以符合規定。 雲端客戶的角色可拉近雲端供應商和審計者的差異 。,治理 (Governance),4.資訊生命週期管理 (Information
24、 Lifecycle Management),資料安全的生命週期是不同於資訊的生命週期管理,反映了不同的安全需求。資料安全的生命週期包括六個階段:,治理 (Governance),4.資訊生命週期管理 (Information Lifecycle Management),治理 (Governance),4.資訊生命週期管理 (Information Lifecycle Management),資料安全性:機密性、完整性、可用性、真確性、授權、認證和不可否認性。 資料的位置:必須確保儲存資料的位置在合同或SLA ,法規許可的位置,這些資料包含所有的副本和備份。例如,歐洲聯盟電子健康記錄所使用“兼
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 课程 教材 名称 云端 运算 PART4
链接地址:https://www.31doc.com/p-2611634.html