淺談雲計算的概念和體系架構

一.雲計算的概念

1.1 雲計算的定義

NIST定義：

雲計算是一個模式，是一種無處不在的，便捷的，按需的，共享的，基于網絡通路的可配置計算資源，可以通過web界面進行管理工作

ISO/IEC定義：

通過自服務置備和按需管理，實作網絡可通路，可擴充的，彈性的共享實體或者虛拟資源池的範式

1.2 雲計算的組成

雲計算一般是由雲服務提供商+客戶/消費者+雲服務合作夥伴/雲代理+運作商+審計人員組成

1.3 雲的核心關鍵技術

建立雲的關鍵技術是抽象和調配（編排）

從底層的實體基礎設施中抽象出 資源來建立資源池，并使用調配(和自動化)來協調從池分割和分發各種資源到使用者。

1.4 NIST雲基本特征

• 資源池化

資源池是最基本的特征，雲提供商對資源進行抽象，并将其聚集到一個池中，其中的一部分可以配置設定給不同的使用者（通常基于政策）

• 按需服務

使用者可以自己按需自動配置資源，自己管理自己的資源

• 廣泛網絡通路

所有的資源都可以通過網絡進行通路

• 快速彈性

允許使用者從池中按需使用資源（置備和釋放），通常完全自動

• 可測量的服務

提供可測量的服務，以確定使用者隻使用他們所配置設定的東西

ISO/IEC----增加了一個多租戶

1.5雲服務模式

SAAS 軟體及服務

由服務商管理和托管的完整應用軟體，使用者可以通過web浏覽器，輕量級用戶端去通路它.

PAAS 平台及服務

抽象并提供開發或者應用平台，如資料庫，應用平台 （使用PAAS，不需要管理底層伺服器，網絡或其他基礎設施

IAAS 基礎設施即服務

提供基礎性的計算資源，如計算，網絡，存儲 ，IAAS由裝置，硬體，抽象層，編排層組成，将抽象資源綁定在一起，通過APIs遠端管理資源并将特悶傳遞給客戶

1.6 雲部署模型

公共雲

私有雲

社群雲

混合雲

1.7 邏輯模型

雲計算和傳統計算都遵循一種邏輯模型，可以基于功能識别不同層次，有助于闡明不同計算模型之間的差異

基礎設施

包括計算系統的核心元件：計算機，網絡，存儲…

元結構

提供基礎設施與其他層之間接口的協定和機制，是一種将多種技術緊密聯系起來，實作管理與配置的粘合劑,可網絡接入且遠端通路的管理平台元件

資訊結構

資料和資訊，如資料庫中的内容，檔案存儲

應用結構

部署在雲端的應用程式和用于建構它們的底層應用程式服務，例如，Paas的功能特性如消息隊列，人工智能分析或通知服務

關鍵差別

1.雲計算和傳統計算的關鍵差別在于元結構

2.公有雲中，雲提供上提供管理實體基礎設施，消費者管理其他部分虛拟基礎架構

3.在私有雲中，同一個組織可能需要同時管理基礎設施以及虛拟基礎架構

1.8 雲平台責任模型

雲平台責任模型講究的是共享責任模型，依賴與特定的雲提供商和功能/産品，服務模型和部署模型的責任矩陣

• 服務模型的責任劃分

Saas軟體即服務

雲服務商負責幾乎所有的安全性，因為雲消費者隻能通路和管理其具體的應用程式，并無法更改應用程式，Saas提供商負責周邊安全，日志/監控/審計和應用安全性，而消費者隻能管理授權

Paas平台及服務

雲服務商負責平台的安全性，雲使用者/消費者負責它們在平台上所部署的應用，所有的安全配置，是以兩者的責任是平均配置設定的

Iaas基礎設施服務

類似Paas，雲服務提供商負責基本的安全，雲使用者和消費者負責它們建立在該基礎設施上的其他安全。Iaas 提供商監視它們網絡邊界所收到的攻擊，但消費者在服務商提供的工具基礎之上，全權負責如何定義實作自己的虛拟網路安全

1.9 共享安全責任模式建議

雲服務商應清楚的記錄其内部安全控制和客戶的安全功能，

無論是什麼項目，雲消費者應該建立一個責任矩陣，确認由誰及如何實施控制，要與所必要的合規标準項一緻

雲安全聯盟提供了兩個工具

共識評估問卷（CAIQ）

為服務提供商提供的标準模版以記錄他們的安全與合規控制

雲控制矩陣 （ CCM）

列出了雲計算的安全控制，并将它們映射到多個安全和合規标準，該矩陣還可以記錄安全責任

1.10 雲安全模型

雲安全模型是一個協助指導安全決策的工具，其有如下分類：

概念模型或架構

用于解釋雲安全概念和原理的可視化效果和描述

控制模型或架構

對特定的雲安全控制或控制類别進行分類和細化，如CSA CCM

參考架構

雲安全的模版

設計模式

針對特定問題的可重複使用的解決方案