Skip to content

云概念、架构和设计

理解云计算概念

1.1 云计算的定义

​ NIST SP 800-145 中对云计算 (cloud computing) 的定义:一种实现对可配置计算资源共享池的无处不在的、方便的、按需的网络访问的模型,可以通过最小的管理努力或服务提供商的互动来快速的配置和释放。

1.2 云计算的角色和共享责任

1.角色

  • 云服务客户(cloud service customer):购买云服务的实体,也称云消费者(cloud consumer)
  • 云服务提供商(cloud service provider,CSP):提供云服务的实体,例如AWS,Azure。
  • 云服务合作伙伴 (cloud service partner):使用 CSP 合作伙伴的服务为客户提供各种云服务的第三方实体。
  • 云服务代理商(cloud service broker):整合来自多方的服务、将服务与公司现有基础设施集成以及定制 CSP 无法或不会提供的服务来增加客户价值的代理商。
  • 云审计者(cloud auditor):对 CSP 控制措施进行独立检查和评估的实体,通常负责发布有关这些控制措施有效性的报告。
  • 云载体(cloud carrier):提供允许交付和使用云服务的网络和电信连接的实体,通常来说就是互联网服务提供商(ISP),例如移动联通电信。
  • 监管机构(regulator):确保组织满足合规要求的机构。

2.共享责任模型

​ 根据服务模型的不同,云客户和 CSP 的责任有很大差异。简单记忆:laas 环境客户负责 OS、 APP、 Date, Paas 环境客户负责 APP、 Date,Saas 环境客户负责 Date(实际要复杂一些,具体看书)。云客户应根据所选择的 CSP 提供的共享责任模型来确定最终的责任分配,需注意的是云客户对其数据安全负有最终责任。

1.3 关键的云计算特征

1.按需自助服务 (on-demand self-service)

用户能够简单且容易地配置所需要的服务。伴随该易用性而来的风险是影子 IT(shadow IT),即某实体能够绕过公司处理 IT 服务配置和控制的策略和程序,这将导致公司成本支持的增长。

2.广泛的网络访问 (broad network access)

云服务是需要网络访问的服务,没有广泛的网络访问,云服务将没有价值。必须要注意网络访问的安全性,特别是公有云环境。

3.快速弹性和可扩展性(rapid elasticity and scalability)

弹性基础设施允许服务根据需要增长或收缩,以支持客户的需求。该特征允许云客户按需付费,以此节约成本。但这对 CSP 是一个巨大挑战,CSP 必须维护过剩的容量来满足客户需求避免出现资源挤兑的情况出现。

4.资源池化(resource pooling)

将硬件资源池化后,云客户能够按需使用资源,不会出现资源浪费。在公有云环境中,CSP将为多个云客户服务,即多租户(multitenancy)模型。不同的云客户可能共用同一个物理资源,如果配置不当导致隔离失效,则会出现数据暴露的风险。

5.计量服务(measured service)

计量服务允许 CSP 对云客户使用的资源收费,可将 IT 支出从资本支出转变成运营支出,并为未来的容量规划提供参考指标

1.4 构件技术

1.虚拟化(virtualization)

虚拟化允许在多个虚拟服务器之间共享物理服务器的资源

2.存储(storage)

CSP 可以选择不同的存储技术以透明的方式供云客户使用。

  • 存储区域网络(SAN):使用块级(block-level)存储,其中存储的数据被分解为统大小的块,并将这些块分别存储在不同的位置,是一种跨网络工作的共享存储类型。
  • 网络附属存储 (NAS):使用 TCP/IP 和文件级(file-level)存储,在客户看来是一个与工作站中的硬盘驱动器类似的单个文件系统.

3.网络 (networking)

为厂泛的网络访问提供支持,并提供相关安全控制

4.数据库 (database)

云客户能够存储数据,降低成本,转移管理职责

5.编排(orchestration)

云编排是指使用编排工具,将本地环境、不同的云环境组成一个无缝的环境,以此降低成本、提高效率以及支持整个员工队伍。

2 描述云参考架构

2.1 云服务模型

1.基础设施即服务(IaaS)

适合需要对云环境拥有最大控制的客户,将基础设施虚拟化

2.平台即服务 (PaaS)

适合具有开发、测试、部署等需求的客户,能够控制代码的运行环境。

3.软件即服务(Saas)

适合不希望参与过多管理、拿来就用的客户,通过 Web 或其他途径获得功能,例如电子邮件。

4.一切即服务 (XaaS)

还有一些其他类型的云服务模式,如存储即服务(STaaS)、数据库即服务(DBaaS)、渗透测试即服务 (PTaaS)等。

2.2 云部署模型

1.公有云(public cloud)

通过订阅服务为能够访问互联网的任何实体提供云计算服务,通常是多租户环境,资源被所有租户共享。

2.私有云(private cloud)

私有云只为一个客户提供云计算服务,形式可以是在客户本地部署云环境,或者是在公有云中划分独立的资源仅提供给单客户使用。

3.社区云 (community cloud)

社区云为一个特定群体提供云计算服务,如政务云、教育云、游戏云等

4.混合云(hybrid cloud)

混合其他部署模式,如公有云部署应用程序,本地私有云部署数据库。

5.多云 (multi-cloud)

同时使用多个 CSP 的云计算服务,与混合云区别是整个系统分布在多个 CSP 上,而不是特定的子系统处于不同的云环境中。

2.3 云共享考虑因素

1.互操作性(interoperability)

跨平台、服务或系统协同工作的能力

2.可移植性(portability)

数据、应用程序或系统在传统环境和云环境之间或在不同的云服务提供商之间无损移动的能 力。

3.可逆性(reversibility)

云客户将运营环境转移到 CSP 中,是否可以再次将其移出而不会造成重大影响的能力。

4.可用性(availability)

云客户是否能够随时随地访问云服务的能力。

5.安全性(security)

综合属性,一般不选。

6.隐私(privacy)

云环境下数据不在本地保存,因此隐私保护的责任界定非常重要。

7.韧性(resiliency)

在不利或意外条件下继续运行的能力

8.性能(performance)

性能是通过 SLA 中商定的要求来衡量的

9.治理 (governance)

云治理与本地治理一样,涉及策略、程序、控制和监督等

10.维护和版本控制 (maintenance and versioning)

根据不同云服务模式,云客户和 CSP 的责任有所不同

11.服务水平协议(SLA)

将云客户和 CSP 商定的服务水平(通常是性能指标)形成协议,具备法律效力,如果 CSP 未达到要求,云客户可以要求赔款。

12.可审计性(auditability)

要求 CSP 提供对云客户数据保护的保障,通常由 SOC 报告证明。

13.监管合规 (regulatory)

根据云客户所处行业对 CSP 提出合规要求

14.外包 (outsourcing)

降低成本,但丧失控制

15.供应商锁定 (vendor 1ock-in)

由于互操作性、可移植性、可逆性、合同等因素,云客户无法更换 CSP 的风险.

16.供应商破产(vendor lock-out)

由于 CSP 某些原因造成云客户无法使用云服务的风险.

2.4 相关技术的影响

1.数据科学(data scienc)

指的是从大量数据中理解、操纵和提取有价值的信息

2.机器学习 (machine learning)

AI 的核心组件,通过学习历史数据建立模型,可用于数据科学。

3.人工智能(artificial intelligence)

创造一种具有人类能力且无法与人类区分的机器,特别是在机器未预先编程处理的情况下。

4.区块链(blockchain)

一个开放的分布式交易账本,用于匿名金融交易,提并供防篡改能力

5.物联网 (Internet of things)

随着 IoT 的快速发展,IoT 设备产生大量数据,存储于云端是最好的选择。

6.容器 (containers)

容器运行时位于主机操作系统之上,然后每个容器使用运行时访问所需的系统资源.

7.量子计算 (quantum computing)

量子计算机使用量子物理学来构建极其强大的计算机,目前在理论阶段。

8.边缘计算 (edge computing)

在收集数据的源头设备处理数据或对数据采取行动,以节约云端的计算资源

9.机密计算 (confidential computing)

在机密计算中,只有当授权程序试图访问数据时,才使用可信执行环境(TEE)来执行数据解密。TEE 充当一个安全的缓冲区,强制实施访问控制,以验证只有授权的应用程序才能调用受保护的数据

10.DevSecOps

DevOps 解决开发团队和 IT 等运营团队之间效率低下,DevSecOps 将安全控制融入该管理方法中以提高软件的安全性。

3 理解云计算相关的安全概念

3.1 密码学和密钥管理

云计算环境下的数据保护挑战:

  • 云客户和 CSP 之间的数据传输需要保护
  • 多租户环境下数据存储安全
  • 云客户无法安全擦除物理驱动器

保障密码学安全性的核心是保障密钥的安全性,依靠密钥管理来实现,CSP 也提供密钥管理服务 (KMS)来提高密管理效率。

3.2 身份和访问控制

1.物理访问

由 CSP 负责,通常不允许云客户访问物理设施

2.用户访问

根据服务模式不同,云客户和 CSP 责任各不相同

3.特权访问

对特权账号的控制要更加严苛。

4.服务访问

指的是控制 CSP 对客户(CSC)数据的访问

3.3 数据和介质净化

1.云环境下的数据净化挑战

  • 云客户无法物理访问硬盘,因此无法物理销毁
  • 数据是共享的且分布式的,定位数据是个问题

2.数据净化方法

  • 覆写 (overwriting):使用 1或 0覆写硬盘以确保删除数据,可能产生数据剩磁问题
  • 加密擦除(crytographic erase):也被称为加密粉碎(cryptoshredding),使用密钥加密数据,然后再使用另一个加密引擎加密密钥,再将新产生的密钥销毁的过程

3.4 网络安全

1.网络安全组 (network security group)

云中虚拟防火墙,提供访问控制功能。

2.零信任网络 (zero trust network)

主体对客体的访问永不信任、经常验证

3.入门和出口监控 (ingress and egress monitoring.

由于云环境导致传统边界的模糊,通常只能监控进出 CSP 的边界

3.5 虚拟化安全

1.虚拟化管理程序安全(hypervisor security)

Hyper-V 负责虚拟机的创建和管理以及调度和调解虚拟机对底层物理硬件的访问。类型 1Hyper-V(如 EXSI)相较类型 2Hyper-V(如 VMware)通常更快、更安全。常见针对Hyper-的攻击是虚拟机逃逸 (VM escape)

2.容器安全(container security)

容器化的好处把包括资源效率、可移植性、更容易扩展和敏捷开发,其涉及的风险包括访问控制、软件错误、隔离失效等。

3.临时计算(Ephemeral Computing)

仅在较短的一段时间内进行计算,是按需自助服务和计量服务特征的体现

4.无服务器技术(serverless technology)

也被称为功能即服务 (FaaS),CSP 提供代码运行的标准编程语言和函数环境,而非标准操作系统环境。

3.6 常见威胁

传统环境的威胁在云环境中也需要关注

3.7 安全卫生

安全卫生(security hygiene)指的是维护系统健康和安全态势的活动,包括但不限于漏洞扫描、渗透测试、资产管理、数据备份等。

  • 补丁修复 (patching):定期开展补丁修复有利于遏制漏洞利用
  • 建立基线 (baselining):通过基础设施即代码 (IaC)确保新建实例遵循预定义的基线配置,并根据基线定期开展配置审计。

4 理解保护云计算的设计原则

4.1 基于云的业务连续性和灾难恢复计划

业务连续性计划(BCP)关注保持业务持续运行,灾难恢复计划 (DRP)关注在灾难发生后恢复业务,两个计划的区分点在于灾难发生前后。可用性区域(availability zone)指的是CSP 独立的数据中心,云客户可采用多区域部署模式,避免单个数据中心被摧毁后的业务中断,代价是成本的增长。

4.2 业务影响分析

业务影响分析 (BIA)允许组织识别关键资产和功能,为BC/DR 规划资源的优先级。

  • 成本效益分析(cost-benefit analysis):组织的业务决策应基于成本效益分析
  • 投资回报率(return on investment,ROI):衡量一个组织从投资中获得多少价值

4.3 云设计模型

1.SANS 安全原则

SANS (SysAdmin,Audit,Network,Security)是一个为安全从业者提供各种服务的组织,包括培训、模板和 CIS 控制框架。

2.良好架构框架 (well-architected framework)

每一个 CSP 都有自己的云计算架构框架,云客户根据 CSP 提供的内容按需选择

3.云安全联盟企业架构(CSA EA)

一个用于建模 IT 资源架构的框架,使其与组织内的业务需求保持一致,包含业务运营支持(BOSS)、IT 运营和支持 (ITOSS)、技术解决方案服务 (TSS)和安全及风险管理四个领域。

5 评估云服务提供商

5.1 评估组织

1.国际标准化组织/国际电工委员会 (IOS/IEC)

  • ISO 27001:信息安全管理体系 (ISMS)
  • ISO 27002:信息安全技术控制。
  • ISO 27017:针对云环境的信息安全技术控制。
  • ISO 27018:针对云环境中处理 PII 的信息安全技术控制

2.支付卡行业数据安全标准(PCI DSS)

PCI 委员会负责定期更新,适用于支付卡行业交易数据保护

3.政府云标准

  • 美国联邦风险和授权管理计划(FedRAMP):基于风险的安全控制措施,云服务商必须满足要求,美国政府机构才能购买其服务
  • 英国政府云 (G-Cloud):一个云服务市场,已根据 G-Cloud 框架实施控制,可供英国政府机构使用。

4.云安全联盟 (CSA) 的安全、可信、保障和风险 (STAR)

CSA 是一个非营利性组织,其 STAR 认证提供对 CSP 安全和隐私控制的验证.

  • Level 1:自评估,CSP 完成 CSA 云控制矩阵 (CCM) 或共识评估倡议问卷 (CAIQ),并将其提交给 STAR 注册中心。
  • Level 2:第三方审计,可独立审计或纳入 SOC 2或 ISO 27001。

5.2 评估产品

1.通用准则 CC)

通用标准 (CC) 是一套用于评估信息安全产品的国际准则和规范。

  • 保护范畴 (PP):客户对欲购产品提出的安全要求
  • 评估保障级别 (EAL):共7 级,级别越高说明测试的越严格,并不说明安全性高。

2.FIPS 140-2/3

FIPS 系列是为了保护政府机构处理的数据,FIPS 140-2 提供了一种验证加密模块强度的方案,最新版本是 FIPS 140-3。