Collaborative Network Security in Multi-Tenant Data Center for Cloud Computing

A data center is an infrastructure that supports Internet service. Cloud comput the face of the Internet service infrastructure, enabling even small organizations to quickly ng is rapidly changing build Web and mobile applications for millions of users by taking advantage of the scale and flexibility of shared physical infrastructures provided by cloud computing. In this scenario, multiple tenants save their data and applications in shared data centers, blurring the network boundaries between each tenant in the cloud. In addition, different tenants have different security requirements, while different security policies are necessary for different tenants. Network virtualization is used to meet a diverse set of tenant-specific requirements with the underlying physical network enabling multi-tenant datacenters to automatically address a large and diverse set of tenants requirements. In this paper, we propose the system implementation of vCNSMS, a collaborative network security prototype system used n a multi-tenant data center. We demonstrate vCNSMS with a centralized collaborative scheme and deep packet nspection with an open source UTM system. A security level based protection policy is proposed for simplifying the security rule management for vCNSMS. Different security levels have different packet inspection schemes and are enforced with different security plugins. A smart packet verdict scheme is also integrated into vCNSMS for ntelligence flow processing to protect from possible network attacks inside a data center network

IaaS环境下云主机安全配置基线设计

[目的/意义]设计云主机安全基线,为云租户全面有效地开展安全加固工作提供参考。[方法/过程]介绍云主机安全基线的组成,基于等级保护标准相关要求,结合攻防实践经验,从云主机操作系统、运行环境、应用系统3个方面探讨云主机安全配置基线。[结果/结论]提出云主机安全配置基线的设计,为云租户在云主机上线和维护期间提供安全参考。

基于监视代理的IaaS平台漏洞扫描框架

针对Iaa S平台主机的安全漏洞问题,提出了一种基于监视代理的Iaa S平台漏洞扫描框架。该框架通过增加监视代理,改进并优化传统漏洞扫描工具,增加软件版本更新检测功能,实现主机漏洞检测。该框架具有良好的扩展性、稳定性和实用性,并且易于在大规模集群中部署。实验证明,该框架可以有效检测主机中存在的漏洞和低版本软件并提供安全报告与建议,有助于降低物理节点和虚拟机安全风险,维护Iaa S平台的安全性。

基于一维卷积神经网络与改进D-S证据理论的警务云安全数据融合技术

针对系统内评估信息来源单一、准确度偏差过大与异构数据提取融合不充分的问题,提出一种可扩展攻击行为的多源异构网络安全数据融合框架。首先,建立以攻击模式为核心的安全事件分析模型,进一步精简安全数据;其次,针对决策层数据特征提取不足的问题,建立了基于攻击行为的1D-CNN(1D convolutional neural network,1D-CNN)模型,对警务安全数据进行特征学习和重构;最后,为了进一步提高警务云安全数据的分类能力,模型改进了D-S证据理论并结合多源安全数据的可信度进行数据融合。实验分析表明,基于1D-CNN的改进D-S证据理论模型进一步提高了警务云中安全事件的报警识别率,与其他相关技术相比,该模型具有较好的分析能力,对警务云的安全入侵检测和漏洞分析具有重要意义。

云原生安全能力成熟度模型研究

构建云原生安全能力成熟度模型,旨在为电信运营商提供一个精准评估和持续增强云原生安全实践的方法论。该模型采用多维度评估方法,结合行业最佳实践和组织战略需求,综合考量了基础设施安全、云原生基础架构安全、应用安全、研发运营安全和安全运维5个关键领域,定义了5个成熟度等级,并制定了详细的评价指标和实施策略。通过该模型,运营商能够全面评估其云原生安全水平,识别安全短板,并制定相应的改进措施。

基于多租户虚拟环境的云平台网络安全设计与应用

介绍云平台安全整体架构设计,针对多租户虚拟网络环境下租户与租户之间、租户内部和租户对外访问等多种安全访问需求,围绕云网络安全设计具体说明虚拟扩展局域网(Virtual Extensible Local Area Network,VXLAN)、安全组、虚拟防火墙等方面的安全防护技术,重点探讨分布式虚拟防火墙和安全虚拟组件两种安全防护系统的特点与优势,为云平台安全防护提供新的思路和解决方案。

多租户环境下基于可信第三方的云安全模型研究

针对云计算中多租户环境特点,将可信第三方引入云计算的安全解决方案中,提出了一种新型的基于可信第三方的云安全模型。在该模型基础上,讨论了认证协议,并设计了基于TTP的多租户资源分配算法。采用CloudSim模拟工具进行仿真实验和性能比较分析,将短任务先行策略、先来先服务策略与本策略在资源成功执行率方面进行比较。实验结果表明,该模型能将可信度最高的云节点资源提供给云用户,有效构建了实体之间的信任网,可验证数据的正确性和数据交换的正确性,提供了多层次、分布式环境下端对端的安全服务。

基于AHP的云租户主机安全风险评估研究

针对信息安全等级保护测评中云租户主机安全风险评估指标不够全面、云平台风险影响因素不能具体体现和评估结果模糊度高等问题,提出一种基于AHP的多层次云租户主机安全风险评估方法。通过云主机自身影响因素和云平台影响因素的相关安全措施的评估结果构造云主机风险评估规则;依据国家信息系统等级保护测评要求,采用层次分析法构建风险评估指标模型,对不同作用的云主机实现调整指标权重的优化。实验结果表明,该方法能对云租户主机系统进行合理评价,简单有效,实际操作度高,具有一定的应用价值。

云计算的基础结构设计和云应用服务

云计算是基于云结构的信息技术资源消费与利用系统,也是基于互联网的链路传输系统与终端服务系统的集成应用模型。典型的云服务模型包括Saa S/Aaa S、Iaa S、Paa S、Daa S,这些参考模型同时组成云系统应用服务基础架构。云计算开发标准与规则是云结构发展与云数据库的开发参考基准,也是云管理与云进化的参考结构。云系统服务质量关系云应用发展,而云管理的服务配置与监视服务提供反馈信息。云应用服务维护运行与数据安全是云安全提供的基础保障服务。云备份作为领导性企业云的高级服务功能应能适应云灵活多变性与容灾免灾设计,文中深入分析云数据备份技术应用与程序算法,细述实用数据应用处理方法。动态开发环境是企业云对云计算开放研究平台,在全球推进云环境的开发测试。云计算风险分析与管理同时促进云应用进化。

一种基于安全标记的多租户访问控制方法

设计了一种安全标记机制,提出了一种支持多租户的安全访问控制方法,满足租户对于多域安全访问控制的需求。实验结果证明,这种基于安全标记的多租户安全访问控制方法兼具基于角色的访问控制模型(RBAC)和强制访问控制方法的优点,在易于管理的基础上,也使租户的访问控制系统达到了更高的访问控制安全级别。

服务器平台虚拟可信框架关键技术研究

随着云计算技术的发展,云计算平台的安全问题已成为大家关注的焦点,包括直接为云计算提供服务的虚拟机的安全及云计算服务器平台本身的物理安全。Intel公司的TXT技术是一套成熟的服务器平台安全解决方案,该方案需要特殊的硬件支持,只有少数新平台才能应用,现存的多数服务器平台无法使用该技术。基于上述原因,提出了一种基于软件形式的安全框架解决方案来取代TXT技术,用来保障服务器平台的安全。

云计算安全架构及防护机制研究

资源弹性伸缩、数据动态迁移以及平台租户共享等云计算技术,在最大限度发挥IT资源集约化管理效益的同时,也为云上应用引入了潜在的安全风险。云平台系统特权、软件缺陷和数据泄漏等引发的安全问题,已成为云租户敏感应用上网入云的最大障碍。围绕如何构建安全可信的云租户应用环境,系统研究了云计算安全架构,基于分域防护安全策略和安全服务链防护思想,提出了“域安全+流防护”云安全架构,并着重研究了相关安全防护机制。

移动云环境下的数据安全处理模型研究

针对移动云环境下用户身份认证和数据安全处理等安全需求,提出了一种移动云数据安全处理模型,通过采用基于属性的身份管理、多租户安全数据管理和ESSI数据处理模型,为移动云计算提供了强身份认证和细粒度信任管理、数据存储与传输安全的个人数据隐私保护和移动终端低负载的能力。

一种基于身份代理重加密的云数据共享方案

针对云存储环境对隐私数据安全共享的迫切需求,提出一种安全、高效的云密文数据共享方案.该方案利用基于身份的代理重加密技术,将隐私数据加密后上传到云存储服务器中.为了实现数据的安全分享,数据所有者可以生成一个重加密密钥发送给代理服务器.代理服务器利用重加密密钥将数据所有者的密文转化为数据共享者的密文,而代理服务器却不能读取加密的数据.该方案不需要使用公钥证书,从而缓解了传统公钥加密方案的繁琐公钥管理过程.此外,该方案在随机预言机模型下是可证明安全的,从理论上保证了云数据共享方案的安全性.

新形势下云安全建设研究

在云计算应用越发推广和普及的发展过程中,虚拟化作为其中的关键技术也得到了飞速发展,从云计算特点分析当前的网络安全现状和存在主要网络安全问题,根据云计算特点、租户个性化需求等,结合等保2.0要求,研究安全组件资源池化、SDN分流技术、流量编排技术使用,设计一套符合新环境、新技术、新监管要求的综合解决方案,完善虚拟化环境自身安全防御体系,降低安全建设成本.向云内的租户提供相对应的安全服务能力,并且安全能力的使用能够实现安全运营.

云计算中的云服务安全策略

云计算是能够使用户在互连网上使用应用程序的一种环境,比如存储和保护数据,同时又能够提供服务。企业和政府机构通常会考虑经济原因,将数据中心的运营工作转移到云环境中,对于企业和政府所需数据的安全性考虑,将数据放在云中会担心云环境的可靠性和安全性。为了帮助企业和政府机构对业务和数据安全性的担忧,应该制定相应的云安全策略。提出有效的安全策略用来管理用户和保护数据,同时保护虚拟机的云安全策略。

面向城轨云的安全资源池设计方案与实践

城轨云打破了传统按专业“烟囱式”的建设模式,实现了对城轨业务应用的统一部署承载、资源动态分配,助力城轨智能化发展。随着物理边界的弱化,在按需使用、灵活调整的新模式下,对传统网络安全解决方案提出了新挑战。以城轨云为背景,通过研究安全能力服务化,剖析安全资源池在专业(租户)安全中发挥的作用,合理设计跨租户、租户内安全防护方案,总结城轨云模式下的多重安全防护方案。实践表明,在城轨云3张业务网内部署安全资源池,搭配传统边界防护方案,可形成“横向到边、纵向到底”的整体防护体系,满足城轨业务对网络安全的多样性需求。

云计算安全威胁及防护研究

云计算已经成为我国数字经济发展的重要支撑基础,云计算安全状况直接关系到我国经济发展前景。在国家网络安全等级保护2.0标准下,本文针对云计算面临的安全威胁,依据云计算安全防护的原则,从云计算安全保障框架、云计算安全平台框架体系提出对云计算安全问题的解决方案。

论云平台安全等级保护的基本技术要求

剖析了云计算平台面临的风险与挑战,提出了云平台安全建设的通用技术要求,重点论述了云平台为什么要通过三级等保认证以及三级等保认证的技术要求;明确了等保认证中的两大主体即云服务提供商和租户的责任划分,以政务云为例,具体描述了责任划分的细则.还引入了对云平台进行安全监管的建设思路.

云计算安全问题的现状及其防范措施

随着技术的进步和数据中心的扩展,云计算已经成为企业和个人的主要计算模式。但是,这也带来了数据安全问题。云计算环境中的数据安全、访问控制、多租户隔离和网络安全都成了人们关注的焦点。为应对这些安全威胁,业界提出了多种解决方案和工具,如加密技术、身份验证、安全协议等。尽管有了这些安全措施,但仍需持续监控和更新云计算,以应对不断变化的外界威胁。