模块1：云计算架构

CCSK课程背景介绍©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.讲师简介陈驰：博士，CISSP中科院信工所信息安全国家重点实验室研究员2003年开始从事信息安全领域的科研工作，在云计算安全、数据库管理系统、信息系统安全性测评和国内外信息安全标准体系等方面具有丰富的经验。先后主持或参与中国科学院战略性先导专项、中宣部广播云专项、国家863计划、国家自然科学基金和国家标准制修订项目等省部级项目十余项。在TPDS、JNCA、Infocom、Milcom、软件学报、电子学报等国内外知名期刊会议上发表科研论文二十余篇；获得国家发明专利十余项；主持制定国家标准3项，参与编制国家标准7项。代表作：1.专著：《云计算安全体系》，陈驰、于晶著，科学出版社，2014.62.ChiChen,etc：AnEfficientPrivacy-PreservingRankedKeywordSearchMethod,IEEETransactionsonParallelandDistributed(CCFRankA)3.ChiChen,etc:CloudSecurityAssessmentSystemBasedonClassifyingandGrading，IEEEcloudcomputermagazine.2015.4©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.3CCSK认证简介CertificationofCloudSecurityKnowledge云计算安全知识认证中国CCSK认证及考试CCSKC-CCSKCertificationofCloudSecurityProfessional云计算安全专家认证CCSP进阶2011年CSA正式推出，经过5年发展，已经成为云安全人才领域最权威的认证之一由CSA和ISC2(国际信息安全认证联盟)2015年联合推出，是CCSK的进阶认证CSA授权“北京爱思考科技有限公司”组织推出©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.4CSA:SecurityGuidanceForCriticalAreasOfFocusInCloudComputingCSA云计算关键领域安全指南ENISA:Benefits,risksandrecommendationsforinformationsecurityENISA风险报告课程介绍©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.课程结构5CSA简介全称：CloudSecurityAlliance，云安全联盟成立：2009年，RSA大会上宣布成立的一个非盈利性组织，致力于研究云计算环境下的安全问题，旨在提供云计算环境下的最佳安全解决方案。研究成果：发布的云安全系列研究报告，对业界有着积极影响，获得广泛认可。时间研究项目或成果2009年至2011年《云计算关键领域的安全指南》V1.0，之后陆续更新至第三版2010年至今GRCStack项目：云控制矩阵（CloudControlMatrix，简称CCM）一致性评估调查（ConsensusAssessmentsInitiative，简称CAI）云审计CloudAudit云信托协议（CloudTrustProtocol，简称CTP）2011年至今安全信任和保证注册项目(Security，Trust&AssuranceRegistry，简称STAR)2012年《2012年云计算主要威胁调研结果》2013年《2013年九大云计算安全威胁》CSA主要研究成果列表©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.7《云计算关键领域的安全指南》英文名称：SecurityGuidanceforCriticalAreasofFocusinCloudComputing版本更替：2009年4月1日（CSA成立后一个月）发布v1.02009年12月17日，发布v2.1；2010年春节后，发布v2.1中文版2011年11月14日，发布v3.0（最新版）；2013年5月，发布v3.0中文版模块1:云架构©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.学习目标•云计算的定义、相关概念、优势•云计算的关键特性•云的服务交付模型•云的部署模型•云安全的特殊问题9©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云计算：亚马逊的故事•亚马逊想更有效的使用他们的资源–希望能够更好的帮助开发者，使他们不用面对获得硬件的困难。•云计算使得开发者们不必拥有每种系统的专门的资源和容量–只需要从资源池中获取需要的资源即可–但仍保留应对业务峰值的整体容量，大量硬件资源不需要每天都使用。•将EC2的空闲资源容量出租–获得利润10©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.什么是云计算云计算是一种模型，能支持用户便捷地按需通过网络访问一个可配置的共享计算资源池（包括网络、服务器、存储、应用程序、服务），共享池中的资源能够以最少的用户管理投入或最少的服务提供商介入实现快速供给和回收。——NIST美国国家标准技术研究所11©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云计算重要概念：资源池客户计算网络存储12©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云计算VS.虚拟化•虚拟化:–指资源的抽象化，也就是单一物理资源的多个逻辑表示，或者多个物理资源的单一逻辑表示。•在“云”和“虚拟化”之间经常存在混淆，但它们并不是同义词。–虚拟化是实现云平台的一种技术手段，但不是唯一的技术手段。–云计算平台是提供虚拟化的平台–IaaS（基础设施即服务）中：云计算软件组织和管理着虚拟化13©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云计算的好处•无基础设施建设投资（公共云情况下）•更大的灵活性•近乎无限的规模•更高的资源利用率•便捷的系统迁移•方案弹性•仅为使用的资源付费14©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.多租户15指服务器上运行的单一应用同时服务于多个用户。将应用本身作为共享资源，而不是每一个用户独享一台服务器或者一套服务器上运作的单一应用的工作模式。©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云计算模型16NIST云计算参考架构©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云计算核心特征•广泛的网络访问–通过标准客户端接入•计算机（桌面机、笔记本）•移动设备–通过各种网络接入17©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.•迅捷可伸缩–服务能够迅速、可伸缩的提供，在某些情况下甚至可自动提供以扩大规模，也可以迅速释放资源以缩减规模18云计算核心特征©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.•可测量的服务–资源的使用可以被监视和控制–提供一定抽象程度的测量能力–使用量计算：用户只需为所使用的服务付费19云计算核心特征©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.•按需自服务–用户可按需自行获得计算能力如服务器时间、网络资源等，不需要与服务提供商进行人工交互20云计算核心特征©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.•资源池化–资源被池化，并以多租户模型向多个用户提供服务–位置独立性：用户无法获知或控制资源的具体位置。21云计算核心特征©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.云服务交付模型•SoftwareasaService(SaaS)软件即服务•PlatformasaService(PaaS)平台即服务•InfrastructureasaService(IaaS)基础设施即服务22©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.InfrastructureasaService(IaaS)基础设施即服务•提供处理器、存储、网络和其它的基础计算资源•客户部署并运行任意的软件–可以包含操作系统和应用软件23©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.PlatformasaService(PaaS)平台即服务•将用户创建的或已有的应用部署在云基础设施上•使用云提供商支持的程序语言和工具创建24©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.SoftwareasaService(SaaS)软件即服务•用户使用云服务商部署在云基础设施上的应用•用户不管理和控制底层的云基础设施，包括网络、服务器、操作系统、存储，以及单独的应用能力。25©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.SPI（SaaS/PaaS/IaaS）混合与匹配AmazonEC2Salesforce.comCRMMicrosoftAzureDatabase.comWordpress.comDropBoxSaaSIaaSPaaSWhy?26©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.服务模式与安全责任的关系•云服务商提供的服务在SPI栈中越底层，用户在系统实施和管理中需要负责的管理和安全工作就越多。SaaSIaaSPaaS安全责任服务商客户27©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.IaaS28©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.PaaS29©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.SaaS30©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.31©2011SecurosisLLCandCloudSecurityAllianceAllRightsReserved.社区云32云基础设施为几个组织所共享，为一个具有相同需求（比如任务、安全需求、策略、监管要求等）的社区提供支持。有许多紧密的集团（按上下级关系、地理、规模等组织起来的）具有十分相似的计算需求。社区云可以为这样的计算环境提供便利和规模经济性，降低IT服务建设的成本并提高系统能力。社区云可以由组织自行运营或者由第三方运营，可以运行在本地或者远端。例如：某汽