雲端上的資訊安全-global azure bootcamp 2015 臺北場
TRANSCRIPT
http://mvc.tw
雲端安全不同面向的威脅
cross-site scripting
code injection attacks
Denial-of-Service (DOS)
attacks
credential guessing attacks.
new privilege
escalation attacks
jail-breaking
hyper-jacking
http://mvc.tw
存取控制沒做好,中X無限一直加!!
不是老衲愛唸經!! 是世人講不聽!!
• 落實管理規範• 定時做好Review的規定!
• 職務輪調很重要!
(不只是為了查弊,重要的是避免缺失)
• 雲端是7-11,沒管好就是免費福利!!
http://mvc.tw
雲端安全該如何考量?
可用性
完整性
機密
•即時
•可信任
•未經授權變更
•確保內外一致
•未經授權的散播
A
I
C
• 任何一個『雲端』解決方案,是以可用性為出發,並無法確保機密及完整
http://mvc.tw
雲的模型/責任共擔
自建的環境
Storage
Servers
Networking
O/S
Middleware
Virtualization
Application
s
Data
Runtime
你所管理的
Infrastructure(as a Service)
Storage
Servers
Networking
O/S
Middleware
Virtualization
Application
s
Data
Runtime
由微軟來管理
你所管理的
Platform(as a Service)
由微軟來管理
你所管理的
Storage
Servers
Networking
O/S
Middleware
Virtualization
Data
Runtime
Application
s
Software(as a Service)
由微軟來管理
Storage
Servers
Networking
O/S
Middleware
Virtualization
Data
Runtime
Applications
http://mvc.tw
SLA=容許停機時間?•焦點放在提高服務水準協議(Service
Level Agreement; SLA),一年31,536,000秒。• 99% = 可接受停機3.65天以下• 99.5% =可接受停機1.83天以下• 99.9% =可接受停機8.76小時以下• 99.95% =可接受停機4.38小時以下• 99.99% =可接受停機52.56分鐘以下• 99.999% =可接受停機5.26分鐘以下• 99.9999% =可接受停機31.5秒鐘以下• 99.99999%=可接受停機3.15秒鐘以下
http://mvc.tw
微軟給什麼樣的 SLA?
Active Directory
API 管理 自動化 備份 BizTalk 服務
快取 CDN 虛擬網路閘道 ExpressRoute HDInsight
機器學習
(批次執行)媒體服務 行動服務 多重要素驗證 RemoteApp
排程器 搜尋 服務匯流排 網站復原
SQL Database(Web
和 Business)
儲存體 StorSimpleVisual Studio
Online
服務等級協定上次更新:2015 年 3 月
http://mvc.tw
微軟給什麼樣的 SLA?
雲端服務
(2個執行個體)
虛擬機器
(可性用設定組)
API管理
(跨2個執行個體)
機器學習
(要求回應服務)
網站
(不包含免費和共用)
服務等級協定上次更新:2015 年 3 月
http://mvc.tw
微軟給什麼樣的 SLA?
SQL Database
(Basic、Standard
或 Premium )
儲存體
(RA-GRS)
流量管理員
服務等級協定上次更新:2015 年 3 月
後續更新請見 http://azure.microsoft.com/zh-tw/support/legal/sla/
http://mvc.tw
其實…..也有解決方法!
負責銷售張惠妹烏托邦巡城演唱會12萬張票券的拓元公司,為了這次售票,事前就調度了1,300臺虛擬機器,12分鐘賣出但付款機制卻發生了大塞車。
金曲天后江蕙「封麥」演唱會門票6日第2天預售,大批在寬宏售票現場排隊沒買到票的民眾鼓噪,不肯離去。民眾怒罵寬宏,寬宏所屬的輿采行銷總經理秦聰杰出面道歉並聲明,有說明不保證拿號碼牌一定買得到票。
http://mvc.tw
20+ Data Centers
Trustworthy Computing
Initiative
Security Development
LifecycleGlobal Data Center
Services
Malware Protection
Center
Microsoft SecurityResponse Center
Windows Update
1st
Microsoft Data
CenterActive
DirectorySOC 1
CSA Cloud Controls Matrix
PCI DSS Level 1
FedRAMP/FISMAUK G-Cloud
Level 2
ISO/IEC 27001:2005
HIPAA/HITECH
Digital Crimes
Unit
SOC 2
E.U. Data Protection Directive
Operations Security
Assurance
可靠的基礎建立在微軟的經驗和創新
http://mvc.tw
可靠的基礎建立在微軟的經驗和創新
Trustworthy Computing
Initiative
Security Development
LifecycleGlobal Data Center
Services
Malware Protection
Center
Microsoft SecurityResponse Center
Microsoft Update
ActiveDirectory
SOC 1
CSA Cloud Controls Matrix
PCI DSS Level 1
FedRAMP/FISMAUK G-Cloud
Level 2
ISO/IEC 27001:2005
HIPAA/HITECH
Digital Crimes
Unit
SOC 2
E.U. Data Protection Directive
Operations Security
Assurance
1st
Microsoft Data
Center
20+ Data Centers:
Microsoft Azure在世界各地共有 8+ 個數據中心
20+ Data Centers
http://mvc.tw
20+ Data Centers
可靠的基礎建立在微軟的經驗和創新
Trustworthy Computing
Initiative
Security Development
LifecycleGlobal Data Center
Services
Windows Update
1st
Microsoft Data
CenterActive
DirectorySOC 1
CSA Cloud Controls Matrix
PCI DSS Level 1
FedRAMP/FISMAUK G-Cloud
Level 2
ISO/IEC 27001:2005
HIPAA/HITECH
Digital Crimes
Unit
SOC 2
E.U. Data Protection Directive
Operations Security
Assurance
Malware Protection
Center
Microsoft SecurityResponse Center
卓越的安全中心:
保護 Microsoft 的客戶打擊不斷變化的威脅。
http://mvc.tw
20+ Data Centers
可靠的基礎建立在微軟的經驗和創新
Trustworthy Computing
Initiative
Security Development
LifecycleGlobal Data Center
Services
Malware Protection
Center
Microsoft SecurityResponse Center
Windows Update
1st
Microsoft Data
CenterActive
DirectorySOC 1
CSA Cloud Controls Matrix
PCI DSS Level 1
FedRAMP/FISMAUK G-Cloud
Level 2
ISO/IEC 27001:2005
HIPAA/HITECH
SOC 2
E.U. Data Protection Directive
Operations Security
Assurance
Digital Crimes
Unit
數位犯罪單位:
透過法律和科技技術的專長來擾亂網路罪犯的運作方式。
http://mvc.tw
20+ Data Centers
可靠的基礎建立在微軟的經驗和創新
Trustworthy Computing
Initiative
Security Development
LifecycleGlobal Data Center
Services
Malware Protection
Center
Microsoft SecurityResponse Center
Windows Update
1st
Microsoft Data
CenterActive
Directory
Digital Crimes
Unit
SOC 1
CSA Cloud Controls Matrix
PCI DSS Level 1
FedRAMP/FISMAUK G-Cloud
Level 2
ISO/IEC 27001:2005
HIPAA/HITECH
SOC 2
E.U. Data Protection Directive
符合標準:
在穩健的適規性流程中投入巨資,包括有ISO 27001, FedRAMP, 及HIPAA
Operations Security
Assurance
http://mvc.tw
其實AZURE有AP FIREWALLBarracuda Web Application Firewall可以幫你保護web流量並且阻斷SQL Injection、避免惡意程式上傳、及應用程式級DDoS或其它以你的Web為目標的攻擊。
基礎OS:Linux
具備3A架構可使用強證及使用者控制。
可提供onboard L4/L7的負載平衡
更且備有SQL Offloading, Caching, Compression及Connection Pooling來確保您web應用程式的內容。
https://cloudvm.cudasvc.com/azure/deployment-waf-readme.html
http://mvc.tw
總結一下能力 技術 建議做法
EncryptionSSL/TLS 使連接到的VM輸出入更安全
IPSec 設置VPN加強雲及地端的連線安全
客端防火牆 IP存取控制清單 建立輸出入的終端點來控製VM的流量
區隔
ExpressRoute 保護遠端網路流量及專用的私人連線
Network Security
Group
NSG 包含存取控制規則,可允許或拒絕VM 執行個體的流量。
執行個體等級公開IP位址 透過多台執行個體相互負載提高可用性
客端防火牆
Windows Firewall 本機防火牆做最後一道網路通訊的連線
Application Firewall 佈署第三方web AP 防火牆並附加具有IDS/IPS 及DDoS保護的虛擬防火牆
多重網卡多重網卡及網路虛擬化應用
增加可用性。
http://mvc.tw
http://skilltree.my
http://demoshop.tw http://www.hexdigits.com https://fb.me/studyazure
http://cacafly.com
主辦單位
合作伙伴
協辦單位
http://mvc.tw
• 本投影片所包含的商標與文字皆屬原著作者所有。• 本投影片使用的圖片皆從網路搜尋。• 本著作係採用姓名標示-非商業性-相同方式分享 3.0 台灣 (中華民國) 授權條款授權。
謝謝各位