模块1云计算架构.ppt

1、CCSK课程背景介绍,讲师简介,陈驰：博士，CISSP 中科院信工所 信息安全国家重点实验室 研究员 2003年开始从事信息安全领域的科研工作，在云计算安全、数据库管理系统、信息系统安全性测评和国内外信息安全标准体系等方面具有丰富的经验。 先后主持或参与中国科学院战略性先导专项、中宣部广播云专项、国家863计划、国家自然科学基金和国家标准制修订项目等省部级项目十余项。在TPDS、JNCA、Infocom、Milcom、软件学报、电子学报等国内外知名期刊会议上发表科研论文二十余篇；获得国家发明专利十余项；主持制定国家标准3项，参与编制国家标准7项。 代表作： 专著：云计算安全体系 ，陈驰、于晶著

2、，科学出版社，2014.6 Chi Chen, etc ：An Efficient Privacy-Preserving Ranked Keyword Search Method, IEEE Transactions on Parallel and Distributed (CCF Rank A) Chi Chen, etc: Cloud Security Assessment System Based on Classifying and Grading，IEEE cloud computer magazine.2015.4,3,CCSK认证简介,Certification of Cloud

3、 Security Knowledge 云计算安全知识认证,中国CCSK认证及考试,CCSK,C-CCSK,Certification of Cloud Security Professional 云计算安全专家认证,CCSP,进阶,2011年CSA正式推出，经过5年发展，已经成为云安全人才领域最权威的认证之一,由CSA和ISC2(国际信息安全认证联盟)2015年联合推出，是CCSK的进阶认证,CSA授权“北京爱思考科技有限公司”组织推出,4,CSA : Security Guidance For Critical Areas Of Focus In Cloud Computing CSA云计

4、算关键领域安全指南,ENISA: Benefits, risks and recommendations for information security ENISA风险报告,课程介绍,课程结构,5,CSA简介,全称：Cloud Security Alliance，云安全联盟 成立：2009年，RSA大会上宣布成立的一个非盈利性组织，致力于研究云计算环境下的安全问题，旨在提供云计算环境下的最佳安全解决方案。 研究成果：发布的云安全系列研究报告，对业界有着积极影响，获得广泛认可。,CSA主要研究成果列表,7,云计算关键领域的安全指南,英文名称：Security Guidance for Crit

5、ical Areas of Focus in Cloud Computing 版本更替：2009年4月1日（CSA成立后一个月）发布v1.0 2009年12月17日，发布v2.1；2010年春节后，发布v2.1中文版 2011年11月14日，发布v3.0（最新版）；2013年5月，发布v3.0 中文版,模块 1: 云架构,学习目标,云计算的定义、相关概念、优势 云计算的关键特性 云的服务交付模型 云的部署模型 云安全的特殊问题,9,云计算：亚马逊的故事,亚马逊想更有效的使用他们的资源 希望能够更好的帮助开发者，使他们不用面对获得硬件的困难。 云计算使得开发者们不必拥有每种系统的专门的资源和容量

6、 只需要从资源池中获取需要的资源即可 但仍保留应对业务峰值的整体容量，大量硬件资源不需要每天都使用。 将EC2的空闲资源容量出租 获得利润,10,什么是云计算,云计算是一种模型，能支持用户便捷地按需通过网络访问一个可配置的共享计算资源池（包括网络、服务器、存储、应用程序、服务），共享池中的资源能够以最少的用户管理投入或最少的服务提供商介入实现快速供给和回收。 NIST 美国国家标准技术研究所,11,云计算重要概念：资源池,客户,计算,网络,存储,12,云计算 VS. 虚拟化,虚拟化: 指资源的抽象化，也就是单一物理资源的多个逻辑表示，或者多个物理资源的单一逻辑表示。 在“云”和“虚拟化”之间经

7、常存在混淆，但它们并不是同义词。 虚拟化是实现云平台的一种技术手段，但不是唯一的技术手段。 云计算平台是提供虚拟化的平台 IaaS（基础设施即服务）中：云计算软件组织和管理着虚拟化,13,云计算的好处,无基础设施建设投资（公共云情况下） 更大的灵活性 近乎无限的规模 更高的资源利用率 便捷的系统迁移 方案弹性 仅为使用的资源付费,14,多租户,15,指服务器上运行的单一应用同时服务于多个用户。将应用本身作为共享资源，而不是每一个用户独享一台服务器或者一套服务器上运作的单一应用的工作模式。,云计算模型,16,NIST云计算参考架构,云计算核心特征,广泛的网络访问 通过标准客户端接入 计算机（桌面

8、机、笔记本） 移动设备 通过各种网络接入,17,迅捷可伸缩 服务能够迅速、可伸缩的提供，在某些情况下甚至可自动提供以扩大规模，也可以迅速释放资源以缩减规模,18,云计算核心特征,可测量的服务 资源的使用可以被监视和控制 提供一定抽象程度的测量能力 使用量计算：用户只需为所使用的服务付费,19,云计算核心特征,按需自服务 用户可按需自行获得计算能力如服务器时间、网络资源等，不需要与服务提供商进行人工交互,20,云计算核心特征,资源池化 资源被池化，并以多租户模型向多个用户提供服务 位置独立性：用户无法获知或控制资源的具体位置。,21,云计算核心特征,云服务交付模型,Software as a S

9、ervice (SaaS)软件即服务 Platform as a Service (PaaS)平台即服务 Infrastructure as a Service (IaaS)基础设施即服务,22,Infrastructure as a Service (IaaS)基础设施即服务,提供处理器、存储、网络和其它的基础计算资源 客户部署并运行任意的软件 可以包含操作系统和应用软件,23,Platform as a Service (PaaS)平台即服务,将用户创建的或已有的应用部署在云基础设施上 使用云提供商支持的程序语言和工具创建,24,Software as a Service (SaaS)软件

10、即服务,用户使用云服务商部署在云基础设施上的应用 用户不管理和控制底层的云基础设施，包括网络、服务器、操作系统、存储，以及单独的应用能力。,25,SPI （SaaS/PaaS/IaaS）混合与匹配,Amazon EC2,S CRM,Microsoft Azure,D,W,DropBox,SaaS,IaaS,PaaS,Why?,26,服务模式与安全责任的关系,云服务商提供的服务在SPI栈中越底层，用户在系统实施和管理中需要负责的管理和安全工作就越多。,SaaS,IaaS,PaaS,安全责任,服务商,客户,27,IaaS,28,PaaS,29,SaaS,30,31,社区云,32,云基础设施为几个组

11、织所共享，为一个具有相同需求（比如任务、安全需求、策略、监管要求等）的社区提供支持。 有许多紧密的集团（按上下级关系、地理、规模等组织起来的）具有十分相似的计算需求。社区云可以为这样的计算环境提供便利和规模经济性，降低IT服务建设的成本并提高系统能力。社区云可以由组织自行运营或者由第三方运营，可以运行在本地或者远端。,例如：某汽车公司建立的云中心，为自身和其它配件厂提供服务。,混合云,33,由上面的两种或多种云基础设施组合而成，各自的实体是独立的，但通过标准或私有的技术集成在一起，并提供数据和应用的便利。 例如：铁路售票系统,云部署模型和职责,或,33,多租户私有云vs.公有云,34,多租户公

12、有云视图,35,云世界中的安全边界,云计算使得传统的边界定义失效 什么是内部？ 什么是外部？ 影响是什么？,现在的边界在哪里？,37,云安全,安全考虑包括： 谁将消费和使用资产、资源、信息？ 谁对资源的控制、安全、合规负责？,38,总结,云描述了计算、网络、信息、存储等资源池的使用。 云服务的特征包括：广泛的网络访问、迅捷可伸缩性、可测量的服务、按需自服务、资源池化。 云服务通常以基础设施即服务（IaaS）、平台即服务（PaaS）或软件即服务（SaaS）的方式提供，虽然它们之间的区别在变得日益模糊。 云服务可以以公有云、私有云、混合云和社区云的方式提供，具体取决于应用的安全及共享等方面的需求。

13、,39,测试题：,多租户的安全后果是什么？ 减慢的响应时间 与其它用户排队等候 缺少对每个租户的个性化的加密密钥 残余信息、数据或操作踪迹对其它用户或租户的可见性 必须单独地为每个客户更新病毒库 在IaaS或者PaaS情况下，管理应用安全的责任属于谁？ 云客户的系统管理员 互联网服务提供商 软件即服务（SaaS）提供商 服务商系统的管理员 政府,40,测试题：,多租户的安全后果是什么？ 减慢的响应时间 与其它用户排队等候 缺少对每个租户的个性化的加密密钥 残余信息、数据或操作踪迹对其它用户或租户的可见性 必须单独地为每个客户更新病毒库 在IaaS或者PaaS情况下，管理应用安全的责任属于谁？

14、云客户的系统管理员 互联网服务提供商 软件即服务（SaaS）提供商 服务商系统的管理员 政府,41,测试题：,云服务具有5种本质特征展示了他们与传统计算方式的关系和不同。其中哪种特征被描述为：能力能够以快速扩展和快速释放的方式供应。 按需自服务 迅捷可伸缩 广泛的网络访问 可计量的服务 资源池化 下面哪个不是NIST定义的云服务模型？ 平台即服务（PaaS） 基础设施即服务(IaaS) 安全即服务(SECaaS) 软件即服务(SaaS) 以上都不是,42,测试题：,云服务具有5种本质特征展示了他们与传统计算方式的关系和不同。其中哪种特征被描述为：能力能够以快速扩展和快速释放的方式供应。 按需自

15、服务 迅捷可伸缩 广泛的网络访问 可计量的服务 资源池化 下面哪个不是NIST定义的云服务模型？ 平台即服务（PaaS） 基础设施即服务(IaaS) 安全即服务(SECaaS) 软件即服务(SaaS) 以上都不是,43,测试题：,一个云部署为两个或多个独立的云的部署方式被称作： 基础设施即服务 一个社区云 一个混合云 一个私有云 云立方模型 存储即服务（Storage as a Service）可视作什么的子产品？ Hadoop 软件即服务 安全即服务 平台即服务 基础设施即服务,44,测试题：,一个云部署为两个或多个独立的云的部署方式被称作： 基础设施即服务 一个社区云 一个混合云 一个私有

16、云 云立方模型 存储即服务（Storage as a Service）可视作什么的子产品？ Hadoop 软件即服务 安全即服务 平台即服务 基础设施即服务,45,测试题：,什么是资源池化？ 服务商的计算资源被池化以向更多的客户提供服务 基于互联网的CPU被池化以支持多线程。 每个客户专有的计算资源被池化放置在一个共同的机房设施中。 将物联网（云）数据中心放置在多能源源头附近，比如水电站等。 以上都不是 所有云服务都使用虚拟化技术。 TRUE FALSE,48,测试题：,什么是资源池化？ 服务商的计算资源被池化以向更多的客户提供服务 基于互联网的CPU被池化以支持多线程。 每个客户专有的计算资源被池化放置在一个共同的机房设施中。 将物联网（云）数据中心放置在多能源源头附近，比如水电站等。 以上都不是 所有云服务都使用虚拟化