軟考教材重點內容 信息安全工程師 第23章 云計算安全需求分析與安全保護工程

23.1.云計算基本概念

云計算就是在這樣的需求驅動下而產生的一種計算模式。云計算通過虛擬化及網絡通信技術,提供一種按需服務、彈性化的 IT 資源池服務平臺。云計算的主要特征如下。

1. IT 資源以服務的形式提供

IT 資源以一種服務產品的形式提供,滿足用戶按需使用、計量付費的要求。目前,云計算常見的服務有基礎設施即服務 IaaS、平臺即服務 PaaS、軟件即服務 SaaS、數據即服務 DaaS,存儲即服務 STaaS 。

2.多租戶共享 IT 資源

“多租戶”是指所提供的信息服務支持多個組織或個人按需租賃。“多租戶”還意味著云計算系統應對租戶間信息服務實現隔離,包括功能隔離、性能隔離和故障隔離。

3. IT 資源按需定制與按用付費

在云計算方式下,用戶不必建設自己的數據中心和 IT 支撐資源系統,只須根據其自身實際的資源需求向云計算服務商按需定制或者單獨購買,實現即付即用和按需定制,從而讓云服務供應商能夠實現科學化的 IT 資源配置。

4. IT 資源可伸縮性部署

大多數應用對計算、存儲和網絡帶寬的使用的規模、時間不盡相同,存在需求差異。通過對 IT 資源的有效調度,按時段來隨時添加資源和移除資源,滿足不同用戶對資源的彈性要求。云計算有四種部署模式,即私有云、社區云、公有云和混合云。其中,私有云是指云計算設施為某個特定組織單獨運營云服務,可能由組織自身或委托第三方進行管理;公有云指云計算設施被某一組織擁有并進行云服務商業化,對社會公眾、組織提供服務;社區云是指云計算設施由多個組織共享,用于支持某個特定的社區團體,可能由組織自身或委托第三方進行管理;混合云是指云計算設施由兩個或多個云實體(公有云、私有云、社區云)構成,經標準化或合適的技術綁定在一起,該技術使數據和應用程序具備可移植性。

5.云計算平臺安全威脅

1)云計算平臺物理安全威脅云計算促進了各種資源的集中化,極易形成物理環境單點安全高風險。云計算平臺一旦遭受物理安全威脅,后果可能是災難性的。

2)云計算平臺服務安全威脅云計算平臺提供的服務對用戶來說是透明的,但云用戶無法掌握技術細節、基礎設施的配置情況、系統管理方式等具體情況。

3)云平臺資源濫用安全威脅公共云計算平臺為惡意人員提供了便利的溝通、協同和分析云服務的途徑,使其成為網絡犯罪的資源池。攻擊者利用云服務平臺的虛擬主機漏洞,非法入侵云平臺的虛擬主機,構造僵尸網絡,發動拒絕服務攻擊。

4)云計算平臺運維及內部安全威脅云提供商的內部工作人員違反安全規定或誤操作,導致數據丟失和泄露、云計算平臺服務非正常關閉等安全事件時有發生。

5)數據殘留云租戶的大量數據存放在云計算平臺上的存儲空間中,如果存儲空間回收后剩余信息沒有完全清除,存儲空間再分配給其他云租戶使用容易造成數據泄露。當云租戶退出云服務時,由于云服務方沒有完全刪除云租戶的數據,包括備份數據等,帶來數據安全風險。

6)過度依賴由于缺乏統一的標準和接口,不同云計算平臺上的云租戶數據和應用系統難以相互遷移,同樣也難以從云計算平臺遷移回云租戶的數據中心。

7)利用共享技術漏洞進行的攻擊由于云服務是多租戶共享,如果云租戶之間的隔離措施失效,一個云租戶有可能侵入另一個云租戶的環境,或者干擾其他云租戶應用系統的運行。

8)濫用云服務面向公眾提供的云服務可向任何人提供計算資源,如果管控不嚴格,不考慮使用者的目的,很可能被攻擊者利用,如通過租用計算資源發動拒絕服務攻擊。

9)云服務中斷云服務基于網絡提供服務,當云租戶把應用系統遷移到云計算平臺后,一旦與云計算平臺的網絡連接中斷或者云計算平臺出現故障,造成服務中斷,將影響云租戶應用系統的正常運行。

10)利用不安全接口的攻擊,攻擊者利用非法獲取的接口訪問密鑰,將能夠直接訪問用戶數據,導致敏感數據泄露;通過接口實施注入攻擊,進行篡改或者破壞用戶數據;通過接口的漏洞,攻擊者可繞過虛擬機監視器的安全控制機制,獲取系統管理權限,將給云租戶帶來無法估計的損失。

11)數據丟失、篡改或泄露在云計算環境下,數據的實際存儲位置可能在境外,易造成數據泄露。云計算系統聚集了大量云租戶的應用系統和數據資源,容易成為被攻擊的目標。一旦遭受攻擊,會導致嚴重的數據丟失、篡改或泄露。

23.3.1 云計算安全等級保護框架

根據網絡安全等級保護 2.0 的要求,對云計算實施安全分級保護,共分成五個級別。等級保護標準首先要求保證云計算基礎設施位于中國境內,并從技術、管理兩方面給出具體規定。圍繞“一中心,三重防護”的原則,構建云計算安全等級保護框架。其中,一個中心是指安全管理中心;三重防護包括安全計算環境、安全區域邊界和安全通信網絡。

23.3.2 云計算安全防護

云計算平臺是綜合復雜的信息系統,涉及物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全。云計算安全保障綜合集成了不同的網絡安全技術,構成多重網絡安全機制,如表 23-2 所示。

常見的云計算網絡安全機制如下:
(1)身份鑒別認證機制。
身份鑒別認證機制解決云計算中各種身份標識及鑒別問題。云計算提供商通常使用用戶名/口令認證。除此之外,云用戶身份認證技術還有強制密碼策略、多因子認證、Kerberos 。
(2)數據完整性機制。
云計算平臺及云計算服務過程中涉及大量的數據處理,例如,一臺虛擬機對應一個文件。數字簽
名是保護云計算數據完整性的重要措施。
(3)訪問控制機制。
云平臺承載著多個租戶的資源及敏感的系統資源,云計算資源的使用要在一定的安全規則下經過
授權才能保證安全使用。
(4)入侵防范機制。
云計算平臺具有開放性,難以避免地會受到漏洞利用、拒絕服務、特權提升、內部安全威脅等各
種網絡攻擊的威脅。為保護云計算平臺的安全,通常使用 IDS/IPS 防范已知的漏洞攻擊。
(5)安全審計機制。
云計算平臺對安全日志進行集中管理,以便于事后分析問題。
(6)云操作系統安全增強機制。
商業和開源的云操作系統難以避免地存在安全漏洞,甚至有些漏洞將導致虛擬機逃逸。

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/diannao/80229.shtml
繁體地址,請注明出處:http://hk.pswp.cn/diannao/80229.shtml
英文地址,請注明出處:http://en.pswp.cn/diannao/80229.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

藍橋杯 19. 最大比例

最大比例 原題目鏈接 題目描述 X 星球的某個大獎賽設了 M 級獎勵。每個級別的獎金是一個正整數。 并且,相鄰兩個級別間的比例是一個固定值,也就是說:所有級別的獎金構成一個等比數列。 例如: 獎金數列為 16, 24, 36, 54&…

基于 Python 的自然語言處理系列(82):Transformer Reinforcement Learning

🔗 本文所用工具:trl、transformers、peft、bitsandbytes 📘 官方文檔參考:https://huggingface.co/docs/trl 一、引言:從有監督微調到 RLHF 全流程 隨著語言大模型的發展,如何在大規模預訓練模型基礎上更精…

JAVA猜數小游戲

import java.util.Random; import java.util.Scanner;public class HelloWorld {public static void main(String[] args) {Random rnew Random();int luck_number r.nextInt(100)1;while (true){System.out.println("輸入猜數字");Scanner sc new Scanner(System…

GPU渲染階段介紹+Shader基礎結構實現

GPU是什么 (CPU)Center Processing Unit:邏輯編程 (GPU)Graphics Processing Unit:圖形處理(矩陣運算,數據公式運算,光柵化) 渲染管線 渲染管線也稱為渲染流水線&#x…

Spring Boot + MyBatis 動態字段更新方法

在Spring Boot和MyBatis中,實現動態更新不固定字段的步驟如下: 方法一:使用MyBatis動態SQL(適合字段允許為null的場景) 定義實體類 包含所有可能被更新的字段。 Mapper接口 定義更新方法,參數為實體對象&…

單例模式:確保唯一實例的設計模式

單例模式:確保唯一實例的設計模式 一、模式核心:保證類僅有一個實例并提供全局訪問點 在軟件開發中,有些類需要確保只有一個實例(如系統配置類、日志管理器),避免因多個實例導致狀態混亂或資源浪費。 單…

UnoCSS原子CSS引擎-前端福音

UnoCSS是一款原子化的即時按需 CSS 引擎,其中沒有核心實用程序,所有功能都是通過預設提供的。默認情況下UnoCSS應用通過預設來實現相關功能。 UnoCSS中文文檔: https://www.unocss.com.cn 前有很多種原子化的框架,例如 Tailwind…

【Qwen2.5-VL 踩坑記錄】本地 + 海外賬號和國內賬號的 API 調用區別(阿里云百煉平臺)

API 調用 阿里云百煉平臺的海內外 API 的區別: 海外版:需要進行 API 基礎 URL 設置國內版:無需設置。 本人的服務器在香港,采用海外版的 API 時,需要進行如下API端點配置 / API基礎URL設置 / API客戶端配置&#xf…

C語言筆記(鵬哥)上課板書+課件匯總(結構體)-----數據結構常用

結構體 目錄: 1、結構體類型聲明 2、結構體變量的創建和初始化 3、結構體成員訪問操作符 4、結構體內存對齊*****(重要指數五顆星) 5、結構體傳參 6、結構體實現位段 一、結構體類型聲明 其實在指針中我們已經講解了一些結構體內容了&…

UV: Python包和項目管理器(從入門到不放棄教程)

目錄 UV: Python包和項目管理器(從入門到不放棄教程)1. 為什么用uv,而不是conda或者pip2. 安裝uv(Windows)2.1 powershell下載2.2 winget下載2.3 直接下載安裝包 3. uv教程3.1 創建虛擬環境 (uv venv) 4. uvx5. 此pip非…

網絡開發基礎(游戲方向)之 概念名詞

前言 1、一款網絡游戲分為客戶端和服務端兩個部分,客戶端程序運行在用戶的電腦或手機上,服務端程序運行在游戲運營商的服務器上。 2、客戶端和服務端之間,服務端和服務端之間一般都是使用TCP網絡通信。客戶端和客戶端之間通過服務端的消息轉…

java將pdf轉換成word

1、jar包準備 在項目中新增lib目錄&#xff0c;并將如下兩個文件放入lib目錄下 aspose-words-15.8.0-jdk16.jar aspose-pdf-22.9.jar 2、pom.xml配置 <dependency><groupId>com.aspose</groupId><artifactId>aspose-pdf</artifactId><versi…

【C/C++】插件機制:基于工廠函數的動態插件加載

本文介紹了如何通過 C 的 工廠函數、動態庫&#xff08;.so 文件&#xff09;和 dlopen / dlsym 實現插件機制。這個機制允許程序在運行時動態加載和調用插件&#xff0c;而無需在編譯時知道插件的具體類型。 一、 動態插件機制 在現代 C 中&#xff0c;插件機制廣泛應用于需要…

【音視頻】AAC-ADTS分析

AAC-ADTS 格式分析 AAC?頻格式&#xff1a;Advanced Audio Coding(?級?頻解碼)&#xff0c;是?種由MPEG-4標準定義的有損?頻壓縮格式&#xff0c;由Fraunhofer發展&#xff0c;Dolby, Sony和AT&T是主 要的貢獻者。 ADIF&#xff1a;Audio Data Interchange Format ?…

機器學習 Day12 集成學習簡單介紹

1.集成學習概述 1.1. 什么是集成學習 集成學習是一種通過組合多個模型來提高預測性能的機器學習方法。它類似于&#xff1a; 超級個體 vs 弱者聯盟 單個復雜模型(如9次多項式函數)可能能力過強但容易過擬合 組合多個簡單模型(如一堆1次函數)可以增強能力而不易過擬合 集成…

通過爬蟲方式實現頭條號發布視頻(2025年4月)

1、將真實的cookie貼到代碼目錄中toutiaohao_cookie.txt文件里,修改python代碼里的user_agent和video_path, cover_path等變量的值,最后運行python腳本即可; 2、運行之前根據import提示安裝一些常見依賴,比如requests等; 3、2025年4月份最新版; 代碼如下: import js…

Linux ssh免密登陸設置

使用 ssh-copy-id 命令來設置 SSH 免密登錄&#xff0c;并確保所有相關文件和目錄權限正確設置&#xff0c;可以按照以下步驟進行&#xff1a; 步驟 1&#xff1a;在源服務器&#xff08;198.120.1.109&#xff09;生成 SSH 密鑰對 如果還沒有生成 SSH 密鑰對&#xff0c;首先…

《讓機器人讀懂你的心:情感分析技術融合奧秘》

機器人早已不再局限于執行簡單機械的任務&#xff0c;人們期望它們能像人類伙伴一樣&#xff0c;理解我們的喜怒哀樂&#xff0c;實現更自然、溫暖的互動。情感分析技術&#xff0c;正是賦予機器人這種“理解人類情緒”能力的關鍵鑰匙&#xff0c;它的融入將徹底革新機器人與人…

Linux筆記---進程間通信:匿名管道

1. 管道通信 1.1 管道的概念與分類 管道&#xff08;Pipe&#xff09; 是進程間通信&#xff08;IPC&#xff09;的一種基礎機制&#xff0c;主要用于在具有親緣關系的進程&#xff08;如父子進程、兄弟進程&#xff09;之間傳遞數據&#xff0c;其核心特性是通過內核緩沖區實…

Ollama API 應用指南

1. 基礎信息 默認地址: http://localhost:11434/api數據格式: application/json支持方法: POST&#xff08;主要&#xff09;、GET&#xff08;部分接口&#xff09; 2. 模型管理 API (1) 列出本地模型 端點: GET /api/tags功能: 獲取已下載的模型列表。示例:curl http://lo…