云计算简介:
一种全新网络服务方式,将传统的以桌面为核 心的任务处理转变为以网络为核心的任务处理, 利用互联网实现自己想要完成的一切处理任务, 使网络成为传递服务、计算力和信息的综合媒 介,真正实现按需计算、多人协作。
云计算简介:
云计算特点:
超大规模:Google云计算已经拥有100多万台服务器,
Amazon 、IBM 、微软、Yahoo等的“云 ”均拥有几十万台服务 器。企业私有云一般拥有数百上千台服务器。
按需服务:以按需(I\P\S)服务的方式根据不同用户的个 性化需求推出多层次的服务。云可以象自来水,电,煤气那样 计费。
高伸缩、高可靠性 :基于网络构建的云计算可以快速灵活 适应用户不断变化的需要(调整资源),同时通过网络冗余机 制实现高可靠性(分布式计算,分布式存储)。
虚拟化:云计算支持用户在任意位置、使用各种终端获取应 用服务。所请求的资源来自“云 ”,而不是固定的有形的实 体。应用在“云 ”中某处运行,但实际上用户无需了解、也 不用担心应用运行的具体位置。
高性价比:云计算模式通过物理资源复用,按需购买等方式 实现高性价比。
云计算体系结构:
基本概念——什么是云计算安全责任主体?
云服务商 cloud service provider
云计算服务的供应方。
注:云服务商管理、运营、支撑云计算的计算基础设施及 软件,通过网络交付云计算的资源。
云服务客户 cloud service customer
为使用云计算服务同云服务商建立业务关系的参与方。
注意:某些情况下“云服务商 ”与“云服务客户 ”为同一 实体机构或自然人。
安全物理环境——基础设施位置
要求:应保证云计算基础设施位于中国境内。
条款解读:核查云计算平台建设方案,云计 算服务器、存储设备、网络设备、云管理平 台、信息系统等运行业务和承载数据的软硬 件是否均位于中国境内。(定级是不应包含 海外机房)。
安全通信网络
• 网络架构
• a)应保证云计算平台不承载高于其安全保 护等级的业务应用系统;
• 条款解读:应核查云计算平台和云计算平 台承载的业务应用系统相关定级备案材料, 云计算平台安全保护等级要高于其承载的 业务应用系统安全保护等级; (定级备案表和定级报告)。
安全通信网络
• b)应实现不同云服务客户虚拟网络之间的 隔离;
• 条款解读:
• 1) 应核查云服务客户之间是否采取网络隔 离措施; (VPC或云防火墙)
• 2) 应核查云服务客户之间是否设置并启用 网络资源隔离策略;
• 3) 应测试验证不同云服务客户之间的网络 隔离措施是否有效。
安全通信网络
• VPC:虚拟私有云(Virtual Private Cloud),为弹 性云服务器构建隔离的、用户自主配置和管理
的虚拟网络环境,提升用户云中资源的安全性, 简化用户的网络部署。
• 可以在VPC中定义安全组、VPN 、IP地址段、带 宽等网络特性。用户可以通过VPC方便地管理、 配置内部网络,进行安全、快捷的网络变更。 同时,用户可以自定义安全组内与组间弹性云 服务器的访问规则,加强弹性云服务器的安全保护。
安全通信网络
• c)应具有根据云服务客户业务需求提供通
信传输、边界防护、入侵防范等安全机制
的能力;
条款解读:
• 1) 应核查云计算平台是否具备为云服务客 户提供通信传输、边界防护、入侵防范等 安全防护机制的能力;(VPC 、云防火墙、 云IDS 、云IPS等服务)
• 2) 应核查上述安全防护机制是否满足云服 务客户的业务需求。
安全通信网络
• d)应具有根据云服务客户业务需求自主设
置安全策略的能力,包括定义访问路径、
选择安全组件、配置安全策略;
条款解读:
• 1) 应核查云计算平台是否支持云服务客户 自主定义安全策略,包括定义访问路径、 选择安全组件、配置安全策略; (云管理 平台、网络管理平台、云防火墙)。
安全通信网络
• e) 测评指标:应提供开放接口或开放性安全服
务,允许云服务客户接入第三方安全产品或在
云计算平台选择第三方安全服务;
条款解读:
• 1) 应核查接口设计文档或开放性服务技术文档 是否符合开放性及安全性要求;(云安全市场、 相关开放性接口和安全服务及相关文档)
• 2) 应核查云服务客户是否可以接入第三方安全 产品或在云计算平台选择第三方安全服务。
安全区域边界——访问控制
a)应在虚拟化网络边界部署访问控制机制,并设 置访问控制规则;
b) 应在不同等级的网络区域边界部署访问控制机 制,设置访问控制规则。
条款解读:
1)应核查是否在虚拟化网络边界(不同租户之间、 不同等级网络之间)部署访问控制机制,并设置访 问控制规则;(云防火墙、VPC等);
2)查看访问控制规则和访问控制策略是否有效。