云安全技术(二)之云计算参考架构

云计算参考架构

1.1 描述云计算参考架构 Describe Cloud Reference Architecture

多个主要组件组合在一起形成云架构(Cloud Architecture)和云实现的全貌。涉及的组件包括管理和运营云环境的活动(Activity)、角色(Role)和能力(Capability)，以及基于云托管和服务交付方式的实际云服务类别和云部署模型。云参考架构包括所有云环境的通用特性和组件，而不必考虑服务类别或部署模型。

1.2 云计算活动 Cloud computing activities

1.2.1 云服务客户（Cloud Service Customer）

• 云服务用户（Cloud service user）使用云服务
• 云服务管理员（Cloud service administrator）测试云服务，监控云服务，管理云服务的安全，提供云服务使用情况报告，及说明报告中的问题
• 云服务业务经理（Cloud service business manager）监督业务和计费管理、购买云服务，并在必要时请求审计报告
• 云服务集成商（Cloud service integrator）将现有系统和服务连接并集成到云中

1.2.2 云服务提供商（Cloud Service Provider）

• 云服务运营经理（Cloud service operationsmanager）为云准备系统、管理服务、监视服务，在需要或需要时提供审核数据以及管理库存和资产
• 云服务部署经理（Cloud service deployment manager）收集有关云服务的指标，管理部署步骤和流程，并定义环境和流程
• 云服务经理（loud service manager）提供、配置和管理云服务
• 云服务业务经理（Cloud service business manager）监督业务计划和客户关系，以及处理财务交易
• 客户支持和关怀代表（Customer support and care representative）提供客户服务，并响应客户要求
• 云间提供商（Inter-cloud provider）负责与其他云服务和提供商进行对接，以及监督和管理联合身份验证和联合服务
• 云服务安全和风险经理（Cloud service security and risk manager）管理安全和风险，并监督安全合规性
• 网络提供商（Network provider）负责网络连接、网络服务交付和网络服务管理

1.2.3 云服务合作伙伴（Cloud Service Partner）

• 云服务开发人员（Cloud service developer）开发云组件和服务，并执行服务的测试和验证
• 云审计员（Cloud auditor）执行审计以及准备和编写审计报告
• 云服务经纪人（Cloud service broker）获取新客户，分析市场并确保合同和协议的安全

1.3 云服务能力 Cloud service capabilities

有三种主要的云服务能力：

• 基础架构服务能力（Infrastructure service capability）云客户可以对计算、存储和网络资源进行配置，并对其进行实质性的配置控制。
• 平台服务能力（Infrastructure service capability）云客户可以使用由云提供商维护和控制的编程语言和库来部署代码和应用程序。
• 软件服务能力（Software service capability）云客户使用提供完全成熟的应用程序

1.4 云服务类别 Cloud service categories

根据云计算服务提供商提供的服务和云客户的需求，以及服务合同中双方的责任，云计算服务通常使用三种通用模型。这三种模型包括：

• 基础架构即服务(Infrastructure as a Service,IaaS)。IaaS模型是最基本的云服务产品，允许云客户在云服务提供商所管理和连接的硬件上安装所有软件，包括操作系统(OS)。
• 平台即服务(Platform as a Service，PaaS)。PaaS模型包含IaaS模型中的所有内容，加上操作系统或应用平台系统。
• 软件即服务(Software as a Service，SaaS)。SaaS模型包括前两个模型中列出的所有内容，额外添加了软件程序。

1.5 云部署模型 Cloud deployment models

• 公有云(PublicCloud)是资源(包括硬件、软件、设施和工作人员)都由云服务提供商拥有和经营，并出售或租赁给任何人。
• 私有云(Private Cloud)是由组织独立拥有和运营的，是专供组织自己的云客户和云用户使用的云计算私有环境。
• 社区云(CommunityCloud)是由追求共同目的或利益的多个组织拥有和运营的基础架构和处理能力；不同的部分可能由不同的个体或组织拥有或控制，但这些部分以某种方式聚集在一起，以执行联合的任务和功能。
• 混合云(HybridCloud)显然包含其他模型的各项元

1.6 云共享相关考虑 Cloud shared considerations

1、互操作性：
互操作性(Interoperability)指组织可轻松地移动/重用云应用程序或服务的组件。

2、性能、可用性和韧性：
由于云基础架构和模型的本质，性能(Performance)、可用性(Availability)和韧性(Resiliency)概念应视为所有云环境实际存在的固有特性。

3、可移植性：
可移植性(Portability)是允许数据在不同云提供商之间轻松实现无缝移动的关键特性。

4、服务水平协议(SLA)：
合同将详细阐明服务的一般条款和成本，而SLA 则对业务关系和具体需求真正发挥效用。SLA明确规定了正常运行时间、可用性、流程、客户服务和支持、安全控制措施和要求.审计和报告的最低要求，以及可能定义业务关系及其成功的其他许多领域。

5、法律法规和监管合规要求：
法律法规和监管合规要求指法律、法规、策略或标准和指南对组织及其运营施加的要求。这些要求特定于组织或应用程序所基于的物理位置，或特定于所处理的数据和事务。

6、安全性：
在云环境中管理层和利益相关方可能对使用最新技术感到不安，而且许多利益相关方会对组织和敏感数据不受内部IT员工和硬件的直接控制，或不在私有数据中心中的想法感到不安。

7、隐私性：
云环境中的隐私需要特别注意，因为大量的法律法规和监管合规要求可能因为使用场景和物理位置的不同而存在巨大差异。另外，法律法规可能因数据存储位置(静态数据)或数据暴露和使用位置(传输中的数据)而有所不同。

8、可审计性：
云环境的可审计性是云安全专家需要特别注意的一个领域，因为云客户不能像在私有和传统数据中心模型中那样能完全控制环境要素。云提供商应该向云客户公开审计、日志和报告，并展示云提供商正在捕获其环境中的所有事件，以及正确报告这些事件的责任和证据。

9、治理：
治理的核心是分配工作、任务、角色和责任，并确保它们得到令人满意的执行效果。无论是在传统数据中心还是云模型中，治理基本上都是相同的，采用类似的工作方法。

10、维护和版本控制：
由于云服务类别不同，合同和SLA 必须明确规定维护责任

11、可逆性：
可逆性(Reversibility)是云客户将其所有系统和数据从云提供商处完全取回的能力，并从云提供商处获得保证，即所有数据都已在约定的时间内全面、彻底地删除

1.7 相关技术影响 Impact of related technologies

尽管没有明确属于云计算的一部分，但有许多技术已在云环境中广泛使用。包括：

• 人工智能 Artificial Intelligence
• 机器学习 Machine Learning
• 区块链 Blockchain
• 移动设备管理Mobile Device Management
• 物联网（IoT）Internet of Things
• 容器 Containers
• 量子计算 Quantum Computing