云安全

本文是对腾讯云安全白皮书(2016)的小结。

1. 云计算整体架构

2. 安全模型

腾讯云对上图中不同安全属性的解释如下:

  • 数据安全:客户在云计算环境中的业务数据的安全,包括权限、加密、分类与分级
  • 终端安全:业务相关的操作终端或者移动终端的安全管理,包括终端的硬件、系统、应用、权限、以及数据处理相关的安全控制
  • 访问控制安全:资源和数据的访问权限管理,包括用户管理、权限管理、身份验证等
  • 应用安全:包括应用的设计、开发、发布、配置和使用
  • 主机和网络安全:包括主机安全和网络安全;其中主机包括云计算、云存储、云数据库等云产品的底层管理 (如虚拟化控制层、数据库管理系统、磁盘阵列网络等)和使用管理 (如虚拟主机、镜像、CDN、文件系统等); 网络层面包括虚拟网络、负载均衡、安全网关、VPN、专线链路等
  • 物理和基础架构安全:云计算环境下的数据中心管理、物理设施管理、以及物理服务器和网络设备管理等

3. 安全架构

4. DDoS防护

  • 基础DDoS防护:腾讯云向所有主机提高最高2Gbps的免费DDoS防护,清洗来自互联网Syn Flood、ICMP flood、UDP flood等大流量攻击;同时,在客户所购买的云主机等产品中,基础DDoS防护还能通过模式识别、身份识别等技术,结合重认证、验证码、访问控制等业务安全手段,有效抵御CC攻击
  • BGP高防护:BGP高防可提供高达4Tb的防护带宽,能有效抵御大流量DDoS、CC和其他各种拒绝服务供给,客户可绑定至统一大区内已有的云主机或负载均衡,为该设备提供高防服务。
  • 网站高防:防御能力的峰值最高可达4T,同时支持HTTP与HTTPS协议,可为各类网站提供专业的DDoS与CC攻击防护服务。网站还可以提供源站点隐藏功能,使用户的IP不再暴露,因此攻击者无法直接攻击服务器。用户只需要将网站DNS结果配置为腾讯云提供的网站高防系统,即可快速接入。

Network Topology in the Cloud — ToR

Top of Rack

[1] demonstrates that most of the topology in Amazon Cloud is ToR mode.
  • All servers in a track are first connected to a separate Top of Rack (ToR) switch, and then the ToR switch is connected to aggregate swtiches. 
  • Such a topology has currently become a mainstream network topology in a data center.

Reference

[1] A Measurement Study on Co-residence Threat inside the Cloud, by Zhang Xu, Haining Wang and Zhenyu Wu, in UsenixSecurity2016

Virtual Private Cloud (VPC)

VPC Introduction

[1] VPC is a logically isolated networking environment that a separate private IP space and routing configuration. 

Characteristics

  • After creating a VPC, a customer can launch instances into VPC, instead of the large EC2 network pool. 
  • The customer can also divide a VPC into multiple subnets, where each subnet can have a preferred availability zone to place instances.
  • The private IP address of an instance in VPC is only known to its owner. It cannot be detected by other users. Thus, it can significantly reduces the threat of co-residence. 

Reference

[1] A Measurement Study on Co-residence Threat inside the Cloud, by Zhang Xu, Haining Wang and Zhenyu Wu, in UsenixSecurity2016