域 1 云计算概念与架构

• 定义云计算
  – 服务模型
  – 部署模型
  – 参考架构模型 – 逻辑模型

• 云安全范围, 责任和模型

• 云安全关键领域

 

一、什么是云计算

1.1 源起

亚马逊的故事

亚马逊想更有效的帮助开发者，使他们不必面对硬件的困难、运维的复杂，以更好的人力、更专注在业务实现。云计算使得开发者们不必拥有每种系统的资源和容量，只需要从资源池中获得需要的资源即可。

为了保留业务峰值的整体容量，大量硬件设备不需要每天使用，仍需投入采购费用和维护人力。于是将EC2的空闲资源出租，获得利润。【注】财 显示2017年AWS（亚马逊 络服务）实现运营利润43亿 [搜狐财经 2018-02-22]

 

1.2 定义

现阶段对云计算的定义有多种说法，对于到底什么是云计算，至少可以找到100种解释。 广为接受的说法是美国国家标准与技术研究院（NTSI）信息技术实验室的定义：

云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的 络访问，进入可配置的计算资源共享池（资源包括 络，服务器，存储，应用软件，服务），这些资源可以被迅速提供并发布，同时最小化管理成本或服务提供商的干涉。

标准原文：(http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-def-v15.doc)

1.3 云计算的几个重要概念

1.3.1 资源池化

 

1.3.2 多租户

 

1.3.1 云计算与虚拟化

虚拟化：是指将资源抽象化，也就是单一物理资源的多逻辑表现，或多个物理资源的单一逻辑表现。

一般来说云计算平台是虚拟化的平台，而虚拟化是实现云平台的一种技术实现手段，但不是唯一技术手段。

在IaaS（基础设施即服务中）云计算软件组织和管理着虚拟化。

【注】假如客户采购了私有云部署，一定期限内100%自用的物理主机，也可能不涉及虚拟化技术。

【注】一般公有云服务商提供的EC2、VMM、CVM主机都是指可以通过标准技术快速创建的虚拟化主机。

二、SPI 云计算架构

云计算模型由五个基本特征、三个服务模型和四个发布模型组成，如此使以上成为可能。

 

1、基本特征 :

1.1 广泛的 络访问。

具有通过规范机制 络访问的能力，这种机制可以使用各种各样的瘦和胖客户端平台（例如，携带电话、笔记本电脑以及PDA）。

可以通过各种 络接入。

1.2快速的可伸缩性。

具有快速地可伸缩性地提供服务的能力。在一些中，所提供的服务可以自动地，快速地横向扩展，在某种条件下迅速释放、以及快速横向收缩。对于客户来讲，这种能力用于使所提供的服务看起来好象是无限的，并且可以在任何时间、购买任何数量。

1.3可度量的服务。

云系统通过一种可计量的能力杠杆在某些抽象层上自动地控制并优化资源以达到某种服务类型（例如，存储、处理、带宽以及活动用户帐 ）。

按用量计费：客户只需要为所使用的服务付费。

资源的使用可以被监视和控制，通过向供应商和用户提供这些被使用服务 告以达到透明化。

1.4按需自助服务。

视客户需要，可以从每个服务提供商那里单方面地向客户提供计算能力，譬如，服务器时间和 络存储，而这些是自动进行，无需与供应商进行人工交互，按需自服务。

1.5 资源池化

提供商提供的计算资源被集中起来（资源池化）通过一个多客户共享模型（多租户模型）来为多个客户提供服务，并根据客户的需求，动态地分配或再分配不同的物理和虚拟资源。
位置独立性，就是客户通常不需要控制或者需要知道被提供的资源的确切的位置，但是可能会在更高一层的抽象（例如，国家、省市或者数据中心）上指定资源的位置。资源的例子包括存储设备、内存、 络带宽和虚拟机等。

2、服务模型

提个问题 阿里云官 上 提供的这些产品属于哪种服务模式/p>

2.1软件即服务 (SaaS)   Soft as a Service

客户所使用的服务商提供的这些应用程序运行在云基础设施上。这些应用程序可以通过各种各样的客户端设备所访问，通过瘦客户端界面像WEB浏览器（例如，基于WEB的电子邮件）。客户不管理或者控制底层的云基础架构，包括 络、服务器、操作系统、存储设备，甚至独立的应用程序机能，在可能异常的情况下，限制用户可配置的应用程序设置。

2.2平台即服务 (PaaS)  Platform as a Service

客户使用云供应商支持的开发语言和工具，开发出应用程序，发布到云基础架构上。客户不管理或者控制底层的云基础架构，包括 络、服务器、操作系统或者存储设备，但是能控制发布应用程序和可能的应用程序运行环境配置。

2.3架构即服务 (IaaS)  Infrasturcture as a Service

向客户提供处理、存储、 络以及其他基础计算资源，客户可以在上运行任意软件，包括操作系统和应用程序。用户不管理或者控制底层的云基础架构，但是可以控制操作系统、存储、发布应用程序，以及可能限度的控制选择的 络组件（例如，防火墙）。

3、发布模型

3.1私有云

云基础架构被一个组织独立地操作，可能被这个组织或者第三方机构所管理，可能存在于某种条件下或者无条件存在。

3.2公有云

云基础架构被做成一般公共或者一个大的工业群体所使用，被某个组织所拥有，并出售云服务。 

目前国内各大云服务厂商均提供公有云服务，以至于相当一部分情况下提起云计算，人们默认理解的是公有云概念。

3.3混合云

云基础架构是由两个或者两个以上的云组成，这些云保持着唯一的实体但是通过标准或者特有的技术结合在一起。这些技术使得数据或者应用程序具有可移植性。（例如，在云之间进行负载平衡的Cloud Bursting技术）  

[注]国内目前很多政府及大型企业均是自有 络机房，对混合云的需求，有时也指客户自有机房资产与云上资产的混合统一管理诉求。

3.4 区云

云基础架构被几个组织所共享，并且支持一个互相分享概念（例如，任务、安全需求、策略和切合的决策）的特别的 区。可能被这些组织或者第三方机构所管理，可能存在于某种条件下或者无条件存在。 

三、服务模式与安全责任的关系

云服务商提供的服务在SPI栈中越底层，用户在系统实施和管理中所需要负责的管理和安全工作就越多。

【笔者注】从某种意义来说云计算服务模式与安全责任的关系，类似房东与租客的关系，假如选择精装修，就只需要负责对个人物品负责；如果动手能力强，可以选择毛坯房自行装修。不管是哪种类型的租房，房东都应该确保房子基础建设良好，可以满足租客需求；租客在自行租住期间，应注意防火防盗保管好个人财物，不损害房屋主体（房东的权益物）。

当前，各云厂商大体采用《安全责任共担模型》来清晰定义云服务商与客户各自承担的安全职责。参考链接如下：

AWS 责任共担模式 https://aws.amazon.com/cn/compliance/shared-responsibility-model/[AWS官 截止发文时间]

阿里云：https://yq.aliyun.com/articles/57662 [云栖 区 2016-07-13]

腾讯云：https://cloud.tencent.com/developer/article/1340083 [云+ 区 2018-09-19]

 

权利越大 责任越大， 控制越强，责任越大。

 

（模块2：云基础设置安全）

章节学习目标：

1. 理解云计算基础设施的组件
2. 评估虚拟 络和工作负载的安全性影响
3. 基于虚拟基础设施工作的安全优点和缺点
4. 评估如何保护云管理平面的安全
5. 学习如何管理云计算的业务连续性

不同服务模型的安全基本知识

 

1、底层基础设施及架构

云基础设施安全需要考虑基础设施组件、虚拟机管理程序、管理平面和 络几个主要部分。

 

1.1 云计算的基础设施构成及关系

 

如果仅仅采购公有云服务，那么能够控制的只有VM虚拟主机及主机内的安全由你配置和维护；管理能力极少。

而如果采购IaaS层服务，那么所有核心组件都需要进行安全配置、更新补丁、加固和维护。【】

1.1 保护基础设置

 

 

1.2如何保护云基础安全 

 

1）加固主机【

所有云仍运行在硬件之上，因此关于数据中心的所有安全仍还适用，服务器和服务仍需进行适时的更新，建设时需要有冗余设计，使得数据库或消息服务器不会停止云的工作。

【延展阅读】

1、可用性5个9/p>

2、关于物理安全

云中心的选址：避开地震带、易洪水侵蚀的地区；考虑当地犯罪率、政治稳定情况、供电情况等。

机房的基础设施建设：防火、防水、防盗措施、

边界安全的4D手段：阻止 (deter)、检测(detect)、延缓(delay)、否决(deny)

在选择云服务之前，用户需要与服务提供商充分的沟通。了解其在物理安全上的保障能力，以及改进的能力，从而判定是否满足自身的风险偏好。

关于灾备与恢复计划；定义恢复点和恢复时间，选择云服务时要考虑云中心的位置、风险程度，以及恢复要素的记录是否与目标一致。

云备份和灾难恢复服务的目标是：降低云服务提供商为客户付出的设施、应用和总业务过程的成本。

如何加固和隔离主机上的服务/strong>

尽可能少的功能：云运行在一组服务上，并将这些服务整合在一起，每个服务都和它的服务器一样需要被保护，

如果攻击者入侵了云中的任何一个组件，就有可能控制你的整个云系统。因此应关掉不适用的任何功能，【云隔离

尽可能低的权限：有些云服务总想以不必要的较高权限来运行，比如root账 ，需要尽量让每个服务以尽可能低的权限来运行

 

2 保护 络

1

 

云计算 络架构： 虚拟 络是在物理 络之上的。

底层是物理机，每个物理机可以分成多个虚拟机，用3层 络简单示意 络结构，具体每家云计算上的实现细节不同。

《《《SDN》》》

 

3 保护计算架构负载

 

4   管理平面安全 Management Plane Security

2.2 主机的安全

2.3 虚拟 络的安全

2.4  有效的举措：

• 虚拟防火墙  【延展阅读：关于防火墙 下一代防火墙 和虚拟环境防火墙】

• 软件定义 络（SDN）

• 络安全建议

3、不同服务模型的安全

3.1 IaaS 安全

• 常见配置表【图】

• IaaS与自己部署的基础设施有什么异同

• 与传统运维部署对比的相同与不同之处

相同之处	不同之处
补丁管理	扁平 络
配置管理	没有出站防火墙
日志管理	没有基于 络的IDS、IPS
基于主机的IDS	防火墙仅能限制在4层
基于主机的防火墙	限制了Web应用防护系统（WAF）
防病毒	限制了DLP（数据防泄漏）系统使用
加密密钥管理	限制了商业SSL termination的使用
In other words,just like normal	每个虚机实例只能拥有一个IP地址

 

• 从服务供应商处获得了 VS 获得不了的

可以从供应商处获得的	从供应商处获得不了的
操作系统的选择-开源，特别是LInux	每台主机多IP（多数不支持）
操作系统的选择-access To Windows	7层防火墙
IP Address IP地址	络 IDS/IPS
SAN Access 存储 络访问	任何类型的身份管理
Basic Firewalling 基础防火墙功能	补丁或系统管理
API For provisioning and management API管理与提供	It’s all up to you!

• 如何在上述限制下构建你的安全

3.2  PaaS安全

工作原理【图】

能控制的部分 与限制

• PaaS与现有的基础设计也很相似
• PaaS安全取决于良好的应用设计和对云环境的深入理解。
• 需要知道服务商允许你做什么以及不允许你做什么
• 随着接口和产品的成熟，PaaS的安全也许会变得更好。

3.3  SaaS安全

需要问服务商的问题

SaaS =多租户的ASP 应用服务供应商，SaaS提供最少的数据控制能力，-控制（数据保护责任）交给服务提供商。

 

5 业务连续性与灾难恢复

任何系统运行都不可能是百分百稳定的，所以一定要考虑当业务因各种意外导致业务中断的时候，该如何恢复。

详情参考 ISO22301 

 

 

（模块3：管理云安全的安全性和风险）

1. 云安全治理
2. 云安全合规
3. 云安全风险管理概述
4. CMM和CAIQ概述

模块和指南 重点关注云计算应该如何影响治理、风险和符合性（GRC）,但是不包括GRC原理。

关于云安全的信息风险管理，可以参考ISO27001 ITSM 安全管理体系。

1 、云安全治理 

云治理的工具： 合同、 提供者评估（在上云企业视角 对云服务商进行服务提供者评估）、合规性 告 

风险管理：

 

风险评估： 信息的价值越大，得到风险得到恰当评估的成本越高。

云计算环境下风险的少与多：

少：减少了物理控制资产；需要管理云服务提供者接受的风险。

多：依赖SLA和合同；需要管理供应商；用评估代替测试。

如何评估一个云服务提供商/p>

2、相关法律

3、合规与审计 

 

 

 

————————————————————

说明：【注】为笔者个人理解，不确定正确，有因认知提升而不断更新。