对于在云环境中工作的安全专家而言,从传统数据中心模型获得的许多知识和最佳实践仍然适用于云计算环境,但安全专家对云计算概念、不同类型的云模型和云服务的深入理解对于成功实施和监督(Overseeing)安全策略和合规性至关重要。
什么是云计算
1.1 云计算定义 Cloud computing definitions
NIST给出的,“云计算”官方定义是:“云计算是一种模式,是一种无处不在的、便捷的、按需的、基于网络访问的、共享使用的、可配置的计算资源(包括网络、服务器、存储、应用及服务),可通过最少的管理工作或与云服务提供商的互动来快速配置并发布。
ISO/IEC给出的定义与NIST给出的定义非常相似,云计算是一种允许通过网络访问的、可扩展性的、弹性的、可共享物理的或虚拟资源池,并按需提供自助服务和管理。
1.2 云计算术语和基本概念
云应用程序(Cloud Application): 不在用户设备上驻留或运行,而是可通过网络访问的应用程序
云应用程序可移植性(Cloud Application Portability) :将云应用程序从一个云提供商迁移(Migrate)到另一个云提供商的能力
云计算(Cloud Computing) :是通过网络访问的平台,能从大量可伸缩性(Scalability)系统资源池中提供服务,而不使用专用物理硬件和静态参数配置(Configuration)
云数据可移植性(Cloud Data Portability): 在云提供商之间移动(Move)数据的能力
云部署模型(Cloud Deployment Model) :通过一组虚拟资源的特定配置和特性来实现云计算的方式。云部署模型有公有云、私有云、混合云和社区云(行业云)
云服务(Cloud Service) :通过云提供商(Cloud Provider)提供的、并由客户访问的能力。云服务类别(Cloud Service Category)一组具有相同特性或质量的云服务
社区云(Community Cloud) :一种云服务模型,社区成员仅限于那些拥有共享需求和关联关系的租户(Tenant),并至少由一名社区成员维持或控制云平台
数据可移植性(Data Portability): 从一个系统向另一个系统移动数据而不必重新输入的能力
混合云(Hybrid Cloud) :一种云服务模型,结合了两种其他类型的云部署模型
基础架构即服务(Infrastructure as a Service,laaS): 云服务类别之一,云服务提供商(Cloud
Service Provider)提供基础架构级别的服务(如处理、存储和网络)
可计量服务(Measured Service) :以计量方式交付和计费云服务
多租户(Multitenancy): 允许多名云客户和应用程序在同一云环境中运行,但云租户间相互隔离,且通常彼此不可见,但可共享相同资源的技术
按需自服务(On-demand self-service): 云客户可在需要时以自动资源调配的方式获取服务,而基本不需要云提供商的参与
平台即服务(Platform as a Service,PaaS): 云服务类别之一,其中云提供商负责给云客户(如Azure和 AWS)提供平台服务,云服务商负责提供包括系统以及其上直到应用程序级别的服务
私有云(Private Cloud) :云服务模型之一,其中云计算环境由单个实体拥有和控制,用于实现自身的业务目标。
公有云(Public Cloud): 云服务模型之一,其中云计算环境由云提供商维护和控制,但云服务可用于任何潜在的云客户(Cloud Customer)。
资源池(Resource Pooling) :云提供商分配给云客户的资源集合’。
可逆性(Reversibility) :云客户可从云提供商平台删除(迁移)所有数据和应用程序,并从云提供商环境中完全删除(迁移)所有数据,同时能以最小业务影响迁移到新环境的能力。
软件即服务(Software as a Service,SaaS): 云服务类别之一,向云客户提供一套完整的应用程序,云提供商负责维护整个基础架构、平台和应用程序。
租户(Tenant): 一位或多位云客户共享资源池的访问权
1.3 云计算角色和职责 Cloud computing roles
云服务提供商(Cloud Service Provider, CSP) :是提供云计算服务的供应商。CSP将拥有数据中心、雇用员工、拥有和管理(硬件和软件)资源、提供服务和安全,并为云客户和云客户的数据及处理需求提供管理方面的帮助,例如AWS、Rackspace 和Microsoft Azure。
云客户(Cloud Customer)和云用户(Cloud User): 云客户是任何购买云服务的人,可以是个人或公司。云用户只是使用云服务的人,可能是作为云客户的公司的雇员或者只是个人。
云访问安全代理商(Cloud Access Security Broker, CASB): 是第三方的实体,通常作为一个中介为云服务提供商和云客户提供独立的身份和访问管理(Identityand Access Management, IAM)服务。CASB可采取多种服务形式,包括单点登录(SSO)、证书管理和密钥托管(Cryptographic Key
Escrow)。
监管机构(Regulator): 确保组织遵循规章制度框架。这些监管机构可以是政府机构、认证机构或合同的当事方。
数据所有者(Data Owner): 是收集或创建数据的组织。在组织中,通常会为数据指派一名特定的数据所有者,作为拥有数据权利和责任的个人;这个人通常是创建或收集特定数据集合(Dataset)的部门主管或业务单元经理。从云计算的角度看,云客户通常就是数据所有者。很多国际性条约和框架认为,数据所有者也是数据控制者(Data Controller)。
数据托管者(Data Custodian): 指代表数据所有者操作、存储或移动数据的任何组织或人员。在组织内部,数据托管者可能就是数据库管理员。但在云环境中,数据托管者通常是云服务提供商。按照国际惯例,数据托管者也称为数据处理者(Data Processor)。
1.4 关键云计算特征 Key cloud computing characteristics
广泛的网络接入意味着永远不应出现网络带宽瓶颈。这通常是通过使用先进的路由技术、负载均衡技术、多站点托管(Multisite Hosting)和其他技术实现的。
按需自助服务指这样一个模型:允许云客户和云服务提供商之间,事前或事中不进行任何沟通,在很少交互或没有云服务提供商介入的情况下,云客户就可以扩展其计算和/或存储需求。这项服务是实时生效的。
资源池这个特征允许云服务提供商既能满足云客户的各种资源需求,又保持经济可行性。云服务提供商进行资本投资(CapitalInvestment),该投资远超任何单一云客户可自行提供的资金;云服务提供商可按需分配这些资源,以免资源得不到充分利用(这意味着投资浪费)或被过度使用(这意味着服务水平的下降)。
可测量/可计量的服务,简言之,意味着云客户仅支付与实际使用的资源;相关的费用。这项服务像一家自来水公司或电力公司每月收取客户的水电费。
弹性(Elasticity): 这是一种灵活性,当需要立即使用资源时,可按需分配资源,而不是按照其他因素来购买资源。
ISO/IEC 标准不仅包括上述特性,还增加了 特性。 特性虽然是大多多租户(Multitenancy) 多租户
数云服务产品的组件,但并非云计算服务领域的必然特性。有些云服务模型不包括多租户,因为云客户可购买、租用/租赁完全独占的资源。
1.5 组件构建技术 Building block technologies
云计算构建除了CPU、内存/RAM、存储、网络、数据库和应用,还包括虚拟化、编排等技术。