云端安全体系建设探讨

1. 云端安全体系建设探讨 郑林 McAfee中国区技术总监 010-85722000 SinaWeibo: @McAfeeZhenglin Lin_zheng@mcafee.com

2. 议程 • 愿景：无忧的云计算 • “云+端”安全体系建设 • 安全大数据 • 案例分享

3. 云计算的力量 但是，安全还是路障 • 提高业务灵活性 • Business agility • 降低成本 • Cost efficiencies • 促进革新 • Enhanced innovation • 改善IT服务 • Improved IT services • 数据丢失 • Data loss • 认证，授权，审计 • AuthN, AuthZ, Audit • 信息治理 • Information governance • 数据控制 • Data control

4. 云计算面临的安全问题 公有云 Public Cloud 合作伙伴 Partners 云供应商 Cloud Vendors 应用程序 Applications 客户 Customers 数据泄漏Data Loss 数据泄漏DataLoss Authentication Web Email 入侵Intrusion 入侵Intrusion 企业 Enterprise 移动用户 MobileUsers 企业用户 EnterpriseUsers 私有云应用 Private Cloud Applications

5. 云计算滥用 不安全的接口和API 恶意的内部用户 共享技术问题 数据丢失和泄露 账户和服务劫持 风险状况不明 云计算环境的威胁 • 治理缺失 • Lock-in • 隔离失效 • 合规风险 • 管理接口被攻击 • 数据保护 • 数据删除不安全或不彻底 • 恶意的内部用户 Cloud Computing: Benefits, risks and recommendations for information security, ENISA Top Threats to Cloud Computing, CSA

6. 全球相关机构在为云安全做出努力

7. 开放数据中心联盟（ODCA） Usage Model: Provider Assurance

8. 云安全联盟（CSA） Cloud Architecture Governance and Enterprise Risk Management Legal and Electronic Discovery Governing the Cloud Compliance and Audit Information Lifecycle Management Portability and Interoperability Security, Bus. Cont,, and Disaster Recovery Data Center Operations Incident Response, Notification, Remediation Operating in the Cloud Application Security Encryption and Key Management Identity and Access Management Virtualization Security as a Service

9. 愿景：无忧的云计算 • PrivateCloud Public/Private Clouds (Servers, Network, Storage) User & Intelligent Devices • Secure the Connections • Apps, data, traffic • 3 • 1 • 2 • 4 • PublicCloud • Secure the Devices • Identity, device integrity & data protection • Secure Cloud Datacenters • Infrastructure & data protection, • Common Security Standards & Broad Industry Collaboration

10. “云+端”安全体系建设

11. 全球威胁智能感知系统 下一代数据中心安全体系架构 多租户支持是内部安全服务的基础 身份和应用 计算：物理和虚拟 可扩展的存储安全 动态的网络安全 管理：统一的控制中心 11

12. 下一代数据中心安全建设需要考虑的部分要点 同一物理机上各虚拟机之间的安全分区方式 对虚拟服务器的安全加固和变更控制 对虚拟化系统上运行的数据库提供安全保护 Hypervisor感知的病毒防范 虚拟化防病毒 虚拟防火墙 虚拟服务器防护 数据库安全 Hypervisor Physical Server 外置安全检测设备

13. 端点安全体系规划框架 台式机 移动 笔记本电脑 服务器 虚拟 嵌入式 数据中心 台式机/笔记本电脑 黑名单文件 侧重设备 统一的安全运营 仅支持 Windows 云 静态设备策略 安全信息与事件 应用程序 互不关联的管理 风险与合规 数据库 操作系统 芯片 第一代 下一代端点安全体系

14. 云计算环境中的身份管理 Multiple Logins / Weak Security Lack of Visibility Manual Provisioning 单点登录(SSO)和强认证 自动账户Provisioning 以及Profile同步 集中管理平台 Audit Silos Scalable, Federated Trust ID System Integration 集中的审计记录 多协议、多云服务商上支持 认证和Provisioning 连接器 AD & IAM

15. 云计算环境中的应用服务管理 Cloud Provider API API Cloud Provider Leverage third-party services Applications move off premise 1/3 of Enterprise Traffic is via APIs Enterprise

16. 云计算环境中的应用服务管理 Cloud Provider Cloud Provider API Enterprise • APIs can be exposed, consumed, and proxied to a Service Gateway to offload security & communicate with back end infrastructure vs point to point integration

17. 安全大数据

18. 爆炸性的日志量：每天您能否把17亿条这样的信息看一遍？爆炸性的日志量：每天您能否把17亿条这样的信息看一遍？ • 在小规模企业中，一台防火墙平均每天会生成10万条事件信息 • 在大中型企业中，一台防火墙平均每天会生成数百万条事件信息 • 平均一台主机产生的日志量约为每天5000条 • 如果有5台防火墙和1000台主机，那么每天的事件量约为一千万条！ • 以McAfeeSIEM为例 • 单台事件收集设备性能为20,000 EPS • 等同于每天1,728,000,000条事件!!

19. 安全大数据的挑战 Correlate Events Consolidate Logs Multi-dimensional Active Trending; LT Analysis Application and Database Session User Identity and File Access Endpoint Context Threat Context 上百亿的事件信息 APTs Cloud Data • Flows • Network Data 内部人员 异常分析 Large Volume Analysis Application Logs OS Logs Database Logs IAM Firewall Vulnerability IDS/IPS 边界 合规 Historical Reporting Thousands of Events

20. 安全大数据的出现对SIEM技术的要求

21. 安全大数据的有效利用 实时的命令和控制 Threat Intelligence 关联分析引擎 高性能 数据库 SIEM EVENT LOG AUDIT/COMP. 11 001 100 010011 100 10010001 100110 11 1 100 110100110 10 110 100 1001 100110 100 001111010011 11 100 CONTEXT COUNTER MEASURES CONTENT

22. 威胁相关数据  信息明确，行动有效 本地威胁智能感知系统 (LTI) 全球威胁智能感知系统 (GTI) 第三方 智能信息 数据挖掘 • 迈克菲全球实时威胁信息 • 迈克菲唯一覆盖所有安全解决方案网络的智能感知系统 • 垂直市场、地理定位, 行为、多厂商 • 通过合作伙伴生态系统实现互利共赢 • 本地数据、大数据连接、数据关系 • 唯一能够处理更多大数据的架构 • 本地信息、攻击者、, 拦截工具 • 将企业相关信息存入通用存储库 + + + 信息明确，行动有效

23. 案例分享

24. Citrix：云计算基础架构供应商 • Citrix是全球领先的云计算基础架构供应商，为全球大部分的财富500强企业提供虚拟化和应用程序交付解决方案和服务 • 自从在其数据中心和全球各分支机构部署了McAfee的层次化安全解决方案之后，Citrix的收益如下： • 降低了40%的总体安全事故率 • 在数据中心采用McAfee的网络安全设备，发现并拦截了大量之前从来没有觉察到的网络安全入侵 • 采用了McAfee的风险合规产品，缩短了70%的安全修复时间，大量节约了合规审计修复成本 • 大量节约了数据中心服务器和客户端由于补丁部署、升级等需要的时间

25. Savvis：全球云计算服务的领导厂商 • Savvis是全球云IaaS服务和Web Hosting服务的领导厂商 • 客户如是说： • 当搭建Savvis提供给企业客户的云服务时，利用强健的安全机制和最合适的工具对其提供保护极为重要, 因为只有这样才能够让用户迁移到全新的云技术时不会为安全担心。采用McAfee等业界领先厂商提供的安全解决方案，并应用于我们的物理环境和虚拟架构，能够满足我们对动态安全和管理的特别需求，我们确信这极大地帮助了虚拟化和云技术在客户中的采纳。 • Ken Owens, VP, Security and Virtualization, Savvis, Inc.