云计算的五大特征(NIST提出的度量):
- 自助式服务 - 所有基于云的服务都可以是不需要人工干预的,自助的订阅自己需要的服务和应用。例如WebEx
- 通过网络分发服务 - 网络分发的方式打破了地理位置的限制,以及硬件部署环境的限制。云计算的基本就是基于网络的互联互通的。
- 资源的池化 - 池化后的资源能够被抽象各种类型的服务等级SLA等,来满足不同层级用户的需求。
- 资源的灵活调度 - 灵活调度是池化的下一步发展。池化后的资源能够按照用户的容量进行扩容或者削减容量,只要用户付费即可。
- 可衡量的服务 - 可以对资源进行优化和调
云的模式分为三种形式:
- IaaS - 基础服务即服务,例如计算cpu、存储器、内存、打印机等,都可以称之为基础服务。Iaas提供给有能力的大型的IT公司,这些IT功能基于Iaas搭建自己的上层服务架构和功能。
- PaaS - 平台即服务,也就是说该平台的操作系统以及构建好,例如使用windows或者是linux,例如虚拟主机就是一种典型的PaaS。PaaS面向的是没有能力或者不愿意管理一个完整运行环境的开发人员和企事业单位,通过PaaS服务,可以从繁琐的搭建环境中抽身出来。更多的投入到业务软件的开发中。
- SaaS - 软件即服务。这种服务是知名度最高的一种服务模型,我们接触的各种web应用都属于SaaS的范畴。
云安全的最有影响力的组织是CSA (Cloud Security Alliance)
网络安全是整体安全的一部分,因为用户不知道给自己提供的服务具体的型号以及具体的位置,如果网络不能保证接入的安全性,那么数据的安全以及提供的相应的服务就有可能存在风险。
CSA的出版物叫 Security Guidance,书中当时给出的版本是3.0(注:网站上已经有4.0提供了),3.0 的重点是Protecting Data Moving To the Cloud。对数据加密是必不可少的。数据加密可以防止三种风险:
- 数据被截取
- 数据被暴露给云服务提供商和管理员
- 数据犹豫存储硬件的丢失而泄漏。
数据的截取大多发生在传输过程中。3.0提到了VPN通道可以保证数据的私密性,即数据在一个公共的架构上传递。
Garnter给出了云计算可能涉及所有安全措施涉及的7个方面。排名第一的就是身份校验。
授权的用户身份是云计算安全的基础,如果非法用户获得了数据中心的权限。那么所有的安全措施是建立在薄弱基础之上的城堡。
基于上述思路,可以将网络的安全策略划分为两个维度:准入和加密。
准入是由来已久的技术,不过由于最近的无线接入,智能移动终端、云计算的兴起进一步推动了这一波热潮。
由于云计算的不断深入,企业中的越来越多的系统由CS模型相BS架构迁移。另一方面智能手机和移动设备的兴起推动了BYOD办公方式的开展、个人BYOD设备接入到公司网络后可以获取相应的数据、那么对于IT管理部门来说需要对用户做更加精准的授权和严格的访问权限的控制。
常见的认证准入方式:
- 二层准入
- 三层准入
- 基于客户端方式的认证
二层准入
大型企业一般DHCP的方式来进行动态IP地址分配。那么在授权三层地址前,必须通过相应的认证,只有通过认证后的DHCP的IP地址才能够分配。二层准入机制就是802.1X.该协议定义了EAP (Extensible Authentication Protocol - 可扩展验证协议)在以太网环境中的实现方式。而EAP是RFC3748中制定的在数据链路层进行认证的一种机制。以满足在不同二层环境下进行统一认证的需求。
两个常见的混淆:
- 802.1X是802.11的子集吗?不是,1x不但可以在无线网络中工作也能在优先环境中,并且在wifi大规模部署前,802.1x就是优先网络中一种重要的认证方式。
- EAP是802.1X的子集吗?不是,理论上EAP可以跑在任何的链路层协议上例如PPP或者以太。
802.1x的认证流程可以归纳为以下四步:
- 端口初始化 - 将所有监听到的一个新的客户端标记为“未授权”状态,此时出了802.1x之外的流量都将屏蔽掉。
- EAP初始化 - 定时广播EAP请求指令,使能EAP的客户端将回复一个包含自己ID的EAP应答,交换机将通过认证服务器来对该客户端进行认证。
- EAP协商 - 该步骤主要是协商出可以支持的EAP类型,IETF定义了诸多的EAP方式,例如MD5、OTP、GTC、TLS、IKEv2、SIM等
- 用户身份验证 - 交换机将认证信息发送给RADIUS/TACACS+服务器来验证该用户,认证服务器将回复’认证成功’或者’认证失败’报文。
由于是二层的认证方式、那么在DHCP报文交换前就已经通过认证。
三层准入
由于二层的认证方式更多的需要在终端上做好证书等的配置。这样的认证方式对于企业用户来说是很方便的,但是对于一些接入场景来说就不是很合适了,例如酒店的客户接入酒店的网络。总不能每个客户的终端都要进行配置吧。
三层认证方式也叫做web认证,简单的说802.1x在标示未知客户端时,不将该客户端标识为’未授权’,而是标识为’受限访问’,出于该状态下的客户端的流量将转发给一个特定的VLAN中,出于该VLAN的设备的web请求都将重定向到一个特定的web管理界面上,在该界面,用户可以输入相应的授权信息,然后该信息将会保存到授权服务器中,这样后续的802.1x中的radius的鉴权的过程将能够识别该客户端,并完鉴权。
客户端准入
与上述两种准入的方式不同的是,客户端准入是在客户端安装了特定的软件。通过该软件来完成对客户端的鉴权过程。
三种准入方式的比较:
- 二层准入更加的成熟稳定、市场选择面比较广、对于企业的员工的设备的准入比较方便。
- 三层准入简单、便捷。不需要客户端支持、不需要安装证书。但是安全性较差(可以通过使用https来改善)。
- 客户端方式功能全面、无统一标准。
云计算的五大特征(NIST提出的度量):
云的模式分为三种形式:
云安全的最有影响力的组织是CSA (Cloud Security Alliance)
网络安全是整体安全的一部分,因为用户不知道给自己提供的服务具体的型号以及具体的位置,如果网络不能保证接入的安全性,那么数据的安全以及提供的相应的服务就有可能存在风险。
CSA的出版物叫 Security Guidance,书中当时给出的版本是3.0(注:网站上已经有4.0提供了),3.0 的重点是Protecting Data Moving To the Cloud。对数据加密是必不可少的。数据加密可以防止三种风险:
数据的截取大多发生在传输过程中。3.0提到了VPN通道可以保证数据的私密性,即数据在一个公共的架构上传递。
Garnter给出了云计算可能涉及所有安全措施涉及的7个方面。排名第一的就是身份校验。
授权的用户身份是云计算安全的基础,如果非法用户获得了数据中心的权限。那么所有的安全措施是建立在薄弱基础之上的城堡。
基于上述思路,可以将网络的安全策略划分为两个维度:准入和加密。
准入是由来已久的技术,不过由于最近的无线接入,智能移动终端、云计算的兴起进一步推动了这一波热潮。
由于云计算的不断深入,企业中的越来越多的系统由CS模型相BS架构迁移。另一方面智能手机和移动设备的兴起推动了BYOD办公方式的开展、个人BYOD设备接入到公司网络后可以获取相应的数据、那么对于IT管理部门来说需要对用户做更加精准的授权和严格的访问权限的控制。
常见的认证准入方式:
二层准入
大型企业一般DHCP的方式来进行动态IP地址分配。那么在授权三层地址前,必须通过相应的认证,只有通过认证后的DHCP的IP地址才能够分配。二层准入机制就是802.1X.该协议定义了EAP (Extensible Authentication Protocol - 可扩展验证协议)在以太网环境中的实现方式。而EAP是RFC3748中制定的在数据链路层进行认证的一种机制。以满足在不同二层环境下进行统一认证的需求。
两个常见的混淆:
802.1x的认证流程可以归纳为以下四步:
由于是二层的认证方式、那么在DHCP报文交换前就已经通过认证。
三层准入
由于二层的认证方式更多的需要在终端上做好证书等的配置。这样的认证方式对于企业用户来说是很方便的,但是对于一些接入场景来说就不是很合适了,例如酒店的客户接入酒店的网络。总不能每个客户的终端都要进行配置吧。
三层认证方式也叫做web认证,简单的说802.1x在标示未知客户端时,不将该客户端标识为’未授权’,而是标识为’受限访问’,出于该状态下的客户端的流量将转发给一个特定的VLAN中,出于该VLAN的设备的web请求都将重定向到一个特定的web管理界面上,在该界面,用户可以输入相应的授权信息,然后该信息将会保存到授权服务器中,这样后续的802.1x中的radius的鉴权的过程将能够识别该客户端,并完鉴权。
客户端准入
与上述两种准入的方式不同的是,客户端准入是在客户端安装了特定的软件。通过该软件来完成对客户端的鉴权过程。
三种准入方式的比较: