1、ICS点击此处添加ICS号点击此处添加中国标准文献分类号中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 云计算安全参考架构Information Security technology - Security Reference Architecture of Cloud Computing (2016-07-01)XXXX - XX - XX发布 - XX - XX实施GB/T XXXXXXXXX目次前言2引言31 范围42 规范性引用文件43 术语和定义44 概述54.1 云计算的相关概念54.2 云计算的参与角色54.3 云计算的安全挑战54.4 云计算参与角色的安全职责6
2、4.4.1 云服务客户64.4.2 云服务商74.4.3 云代理者74.4.4 云审计者84.4.5 云基础网络运营者85 云计算安全参考架构85.1 概述95.2 云服务客户105.2.1 云服务管理安全105.2.2 安全云服务协同115.3 云服务商125.3.1 安全云服务协同125.3.2 安全云服务管理135.4 云代理者145.4.1 技术代理者155.4.2 业务代理者165.4.3 安全云服务协同165.4.4 安全服务聚合175.4.5 安全云服务管理175.4.6 安全服务中介185.4.7 安全服务仲裁185.5 云审计者185.6 云基础网络运营者19附录A (资料性
3、附录) 云计算的安全风险20前言本标准按照GB/T 1.1-2009标准化工作导则 第1部分 标准结构与编写给出的规则起草。本标准由全国信息安全标准化技术委员会提出。本标准由全国信息安全标准化技术委员会归口。本标准主要起草单位:北京大学软件与微电子学院、中国电子技术标准化研究院、中国科学院信息工程研究所信息安全国家重点实验室、中国科学院软件研究所、韶关学院、北京鼎普科技股份有限公司、北京时代新威信息技术有限公司、中国移动通信研究院、华为技术有限公司、中国电信北京研究院、成都大学、中金数据系统有限公司、中国银联电子商务与电子支付国家工程实验室、阿里云计算有限公司、浪潮(北京)电子信息有限公司、东
4、莞中国科学院云计算产业技术创新与育成中心、上海众人网络安全技术有限公司、东软集团股份有限公司、北京天融信网络安全技术有限公司、杭州华三通信技术有限公司、黑龙江省电子信息产品监督检验院、百度在线网络技术(北京)有限公司、汉柏科技有限公司、中国信息安全研究院、中国信息安全测评中心、中国电子科技集团第30研究所、西安电子科技大学、成都电子科技大学、西安未来国际有限公司本标准主要起草人:卿斯汉、王惠莅、刘贤刚、陈驰、谢垂益、季统凯、谈剑峰、李雪莹、王海洋、王新杰、陈雪秀、杨晨、罗锋盈、柏洪涛、葛小宇、唐洪玉、万国根、崔玲、杨阳、赵江、崔进、龚一斌、史翔宇、方舟、马杰、王智民、刘冬梅、都婧、王强、周启明
5、、陈晓峰、田玲、冯超、路娜、王希忠、沈晴霓、文伟平、徐菲、邹琪、孙松儿、李彦宾引言云计算是一种以服务为特征的计算模式,它通过对各种信息技术(IT)资源进行抽象,以新的业务模式提供高性能、低成本的持续计算、存储空间及各种软件服务,支撑各类信息化应用,能够合理配置计算资源,提高计算资源的利用率,降低成本,促进节能减排,实现真正的理想的绿色计算。云计算带来诸多便利与优势的同时也给信息安全带来了多个层面的冲击与挑战。云计算的服务计算模式、动态虚拟化管理方式以及多层服务模式等引发了新的信息安全问题;云服务级别协议所具有的动态性及多方参与的特点,对责任认定及现有的信息安全体系带来了新的冲击;云计算的强大计
6、算与存储能力被非法利用时,将对现有的安全管理体系产生巨大影响等。在一种云服务中,信息与业务的安全性涉及所有参与该服务的云计算角色。为了清晰地描述云服务中各种参与角色的安全责任,需要构建云计算安全参考架构,提出云计算角色、角色安全职责、安全功能组件以及它们之间的关系。本标准适用于指导所有云计算参与者在进行云计算系统规划时对安全的考量与设计。云计算安全参考架构1 范围本标准规范了云计算安全参考架构,包括云计算角色、安全职责、安全功能组件以及它们之间的关系。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(
7、包括所有的修改单)适用于本文件。GB/T 250692010 信息安全技术 术语GB/T 311672014信息安全技术云计算服务安全指南GB/T 311682014信息安全技术云计算服务安全能力要求GB/T 323992015 信息技术云计算参考架构3 术语和定义3.1 云计算 cloud computing通过网络访问可扩展的、灵活的物理或虚拟资源池,并可按需自助获取与管理资源的模式。注:资源实例包括服务器、操作系统、网络、软件、应用与存储设备等。GB/T 311672014,定义3.13.2 云服务商 cloud service provider云计算服务的供应方。注:云服务商管理、运营
8、、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。GB/T 311672014,定义3.33.3 云服务客户 cloud service consumer为使用云计算服务同云服务商建立业务关系的参与方。GB/T 311672014,定义3.43.4云计算环境 cloud computing environment云服务商提供的云计算平台,及客户在云计算平台之上部署的软件及相关组件的集合。GB/T 311672014,定义3.83.5 云审计者 cloud auditor一般为独立的第三方审计机构,负责审计云服务的供应与使用,覆盖运营、性能与安全。4 概述云计算由一个可配置的共享资源池
9、组成,该资源池提供网络、服务器、存储、应用与服务等多种硬件与软件资源。资源池具备自我管理能力,用户只需少量参与就可以方便快捷地按需获取资源。云计算提高了资源可用性,具有五个基本特征、三种服务模式和四种部署模型。4.1 云计算的相关概念云计算的五个基本特征为按需自助服务、泛在接入、资源池化、快速伸缩性与服务可计量。具体内容参见GB/T 31167-2014。云计算的三种服务模式为软件即服务(SaaS)、平台即服务(PaaS)与基础设施即服务(IaaS)。具体内容参见GB/T 31167-2014。云计算的四种部署模型为私有云、公有云、社区云与混合云。具体内容参见GB/T 31167-2014。4
10、.2 云计算的参与角色在云计算的业务执行流程中,主要有五类角色:云服务商、云服务客户、云审计者、云代理者、云基础网络运营者,每个角色可以由一个或多个实体(个人或机构)担任,针对不同的云计算服务模式与部署模型上述角色中的某几个角色也可以由同一实体担任,各类角色具体描述如下:云服务商是负责为云服务客户直接或间接提供服务的实体,云服务商的相关活动主要包括云服务资源的部署、编排、运营、监控与管理等。云服务客户是为使用云计算服务同云服务商建立业务关系的参与方,云服务客户可以直接作为用户使用云服务,云服务客户也可为保证用户使用云服务的运行稳定而提供服务计量、计费与资源购买等运营管理服务。云代理者是管理云服
11、务使用、性能与交付的实体,并在云服务商与云服务客户之间进行协商。一般来说,云代理者提供下述三类服务:聚合、仲裁与中介。云审计者负责对云服务进行独立评估、审计,负责审计云服务的供应与使用。云审计通常覆盖运营、性能与安全,检查一组特定的审计准则是否得到满足。云基础网络运营者是云服务连接与传输的执行者,主要提供跨地域的基础网络通信服务。4.3 云计算的安全挑战对于云服务客户,最适合其业务与安全需求的云计算安全方案与云服务模式与部署模型密切相关。每个迁移到云的应用都具有不同的安全需求,应根据这些需求部署相应的安全措施。云计算安全参考架构在理论与实践上继承了传统的网络安全与信息安全知识,同时也增加了基于
12、云特性的安全需求。这些云特性包括:宽带网络接入降低云服务客户对数据中心的可视性及控制力度动态的系统边界多租户数据驻留在云服务商自动部署与弹性扩展这些云计算自身的特性给云服务客户带来了与传统信息技术解决方案不同的安全风险,影响整个系统的安全。为保持迁移到云后的数据的安全级别,云服务客户应提前确定所有云特有的风险及调整后的安全措施,并通过商业合同或服务级别协议(SLA)要求云服务商识别、控制并正确部署所有的安全组件。云服务客户应基于风险分析确定应部署的安全措施,确保迁移到云中的数据与应用安全。云服务客户应根据不同情形明确云服务商与云代理者各自的安全职责及应采取的安全措施。所有的云参与者都有职责保障
13、云服务安全,确保能够满足云服务客户的安全需求,包括但不限于:风险分析、风险评估、脆弱性评估、业务持续性规划与灾难备份规划; 物理与环境安全策略、用户帐户终止程序、持续规划,包括:测试协议、事件报告与应急响应规划、设备布局等;符合国家、行业、企业等相关信息安全标准;供应商设施、安全基础设施、人力资源管理、物理安全与环境安全;将服务的恢复计划纳入量化的恢复点目标(RPO)与恢复时间目标(RTO);云服务商与云代理者的安全现状。4.4 云计算参与角色的安全职责如图1所示,云服务客户实施安全组件的责任在IaaS服务中较多,在PaaS服务中降低,在SaaS服务中最少,而云服务商与云代理者共同负责实施的安
14、全组件,责任从IaaS、PaaS到SaaS分别增多。图1 不同服务模式下不同参与者的安全职责4.4.1 云服务客户云服务客户是与云服务商、云代理者与云基础网络运营者保持业务关系并使用其服务的个人或机构。云服务客户浏览来自云服务商或云代理者的服务目录,请求适当的服务,并对使用的服务付费。云服务客户在有效使用服务前,应与云服务商或云代理者签署服务合同或云服务级别协议。云服务客户使用云服务级别协议(SLA),明确云服务商与/或云代理者需要满足的技术与安全要求。云服务客户最终为云服务商代表他们所持有的数据安全与隐私负责,并应确定保护数据需要采用的安全措施集。任何代表组织(例如政府)处理组织信息或运行信
15、息系统的云服务客户、云服务商与云代理者应满足与原组织相同的安全需求。安全需求也适用于在外部子系统上存储、处理或传输的政府信息,以及子系统或相关系统所提供的任何服务。当政府机构(作为云服务客户)选购云服务时,云服务客户负责确定保护数据迁移到云所需的安全组件集与相关控制措施,并确定与/或认可所选择的组件与控制措施实施的方式。 一般情况下,所选择的安全组件与控制措施由云服务客户、云服务商与云代理者共同实施,并承担各自的安全责任。4.4.2 云服务商云服务商是负责为云服务客户直接或间接提供服务的实体,获取并管理用于提供服务的云基础架构,运行为SaaS、PaaS提供基本服务的云软件,通过网络向云服务客户
16、交付云服务。云服务商的活动可以分类为:服务部署、服务编排、服务管理、安全与隐私。从技术角度,云服务商既可以直接向云服务客户提供服务,也可以面向技术代理者提供服务。技术代理者可以加入透明的功能层改进与扩展云服务商的服务(详见5.4)。目前,主要有两种类型的云服务商:主服务商与中介服务商。 主服务商。主服务商通过其自有的基础设施为用户提供服务。虽然主服务商可以通过第三方(如代理者、中介服务商等)向云服务客户提供服务,但主服务商与其他角色的根本不同点在于它不会提供源自其他提供商的服务。 中介服务商。中介服务商具有与其他云服务商交互的能力,并可使主服务商不可见且对云服务用户透明(如图2所示)。从安全角
17、度,所有要求主服务商提供的安全服务与组件,中介服务商也同样需要提供。 图2 中介云服务商4.4.3 云代理者云代理者是管理云服务使用、性能与交付的实体,并在云服务商与云服务客户之间进行协商。随着云计算的演进,由云服务客户完成云服务的集成可能过于复杂。这种情况下,云服务客户可以向云代理者请求服务,而不是直接与云服务商签署合同。云代理者提供一个单一的入口点管理多个云服务。云代理者与云中介服务商的主要区别有两点:一是云代理者有能力为多个不同的云服务商提供一个单独的一致性接口;二是对客户的透明可见性:客户明确知道谁在后台提供服务;而中介云服务商则不提供这种透明可见性。一般来说,云代理者提供下列3类服务
18、:承担云代理者角色的组织可能提供下列服务: 聚合:云代理者聚合与集成多个服务到一个或多个新服务中。云代理者提供数据集成,并确保数据在云服务客户与多个云服务商之间安全移动;仲裁:服务仲裁与服务聚合相似,只是被聚合的服务不固定。服务仲裁说明云代理者可以根据数据或服务上下文的特点,从多个云服务商灵活地选择服务。 中介:云代理者为云服务客户改进某些服务,或提供增值服务增强原有的服务。例如:访问云服务的管理、身份管理、性能报告、增强的安全性等。作为云代理者的组织可以提供下述一种或两种服务: 业务与关系支持服务(例如,计费与合同中介、仲裁与聚合);技术支持服务(例如,服务聚合、仲裁与技术中介);主要的工作
19、是处理多个云服务商之间的互操作性。云业务代理者只提供业务与关系服务,不处理云服务客户在云中的任何数据、操作或组件(例如图像、卷、防火墙)。相反,云技术代理者与云服务客户的资产进行交互:云技术代理者从多个云服务商处聚合服务,并通过处理单点入口与互操作性增加一个技术功能层。这两种云代理者角色不是相互排斥的。例如,一个特定实体可以在一个场景下作为云业务代理者,在另一个场景下作为云技术代理者,并在第三种场景下同时作为云业务代理者与云技术代理者。云业务代理者也可以提供增值中介服务,例如服务目录查询、订购处理、客户关系管理、统一计费等。云技术代理者可以提供跨云服务商的技术服务,如云服务协同、负荷管理与业务
20、激增管理,统一的身份识别与授权管理、安全管理、度量检索、成本与使用情况报告等。4.4.4 云审计者云审计者是对云服务进行独立评估的一方,对云服务商提供的服务在安全控制、隐私影响、性能等方面进行评估。云审计者应对信息系统的安全措施与已接受的审计标准的一致性进行评估,确定安全措施是否正确实施,判断产生的结果是否符合系统的安全需求。安全审计也应包括与法规与安全策略的一致性验证。云审计者应确保审计记录未被修改,法律与业务数据已按需求归档。由于审计过程的重要性、审计的复杂性与被审计目标的多变性,本标准对云审计的分析仅从安全角度出发,只考虑云审计者在审计过程、评估过程与审计报告中对保护访问与收集数据的安全
21、组件的责任。4.4.5 云基础网络运营者云基础网络运营者作为中介机构,通过网络、通信与其他访问设备为云服务客户与云服务商之间提供云服务的连接与传输。例如,云服务客户可以通过网络设备(例如计算机、笔记本电脑、移动电话、移动互联网设备(MIDs)等)获得云服务。云服务的分配一般由网络与电信运营商或传输代理提供,传输代理是指提供存储介质(如高容量的硬盘驱动器)物理传输的商业组织。云服务商与云基础网络运营者应签署服务级别协议(SLA),提供与SLAs级别一致的服务,并可要求云基础网络运营者提供云服务客户与云服务商之间专用、安全的连接。 云基础网络运营者还应关注数据进出云时可能面临的安全风险与威胁,负责
22、维护跨越其管理系统的安全措施,并进行安全测试与风险管理。云基础网络运营者还应能提供专用线路,包括国际专用线路。云基础网络运营者的安全责任不随云服务所选择的服务模型而改变。5 云计算安全参考架构5.1 概述基于云计算的特性、三种服务模式与五类角色建立的云计算安全参考架构如图3所示。图3 云计算安全参考架构图3中的云计算安全参考架构是基于角色的分层描述,其中包括下述组件与子组件:云服务客户 安全云服务管理 业务支持安全需求 服务提供与配置安全需求 可移植性与互操作安全需求 安全组织支持 安全云服务协同 安全功能层云服务商 安全云服务协同 安全部署与服务层 安全资源抽象与控制层(硬件与设施)仅主服务
23、商 安全物理资源层(硬件与设施)仅主服务商 安全云服务管理 安全供应与配置 安全可移植性与互操作性 安全业务支持云代理者 安全云服务协同仅技术代理者 安全服务层 安全服务聚合 安全聚合与配置(技术方面的配合)仅技术代理者 安全可移植性与互操作性(技术方面的配合)仅技术代理者 安全云服务管理 安全供应与配置仅技术代理者 安全可移植性与互操作性仅技术代理者 安全业务支持 安全服务中介 安全供应与配置 安全服务仲裁 安全供应与配置云审计者 安全审计环境云基础网络运营者 安全传输支持 安全可移植性与互操作性5.2 云服务客户5.2.1 云服务管理安全云服务管理安全包含支撑用户业务运行与管理所需的安全功
24、能。用户业务运行与管理的安全需求包括: 业务支持安全需求 服务提供与配置安全需求 移植与互操作安全需求 安全组织支持(包括组织处理、策略与步骤)由上述需求得出该模块的功能如下: 业务支持安全 配置安全 移植与互操作安全 组织性支持安全5.2.1.1业务支持安全云服务客户的业务支持安全架构组件涵盖用于运行业务操作的服务,包括: 管理与其他云参与者(云服务商、云代理者、云基础网络运行者与云审计者)的业务关系,提供符合最佳安全实践的协作,例如认证与授权云参与者之间的交互。 跟进业务流程,并根据安全最佳实践解决与其他云参与者之间的云相关问题,包括:安全业务处理与操作的持续性。 管理服务合同,包括:建立
25、、协商、关闭或终止合同,确保不存在安全隐患。 仅在安全隐患解决后实现服务。 付款与发票管理,确保不存在欺诈性付款并遵循网络安全最佳实践。通过云服务客户的访问控制策略、业务持续性规划与多种生产效率跟踪机制,业务支持安全架构组件也可实现对组织成员与合约商的身份与凭证管理。这些服务能够保证云计算环境中业务的日常运行安全。5.2.1.2配置安全云服务客户配置安全架构组件包括保证云资源配置安全并与现有的安全标准、规范、法规相一致,同时满足服务级别协议需求的任何能力、工具与策略。云资源配置安全准则可能还包括云服务客户与云服务商规定的专有措施。云服务客户的云资源配置安全管理应涵盖下述领域: 快速部署:基于所
26、请求的服务、资源或能力自动部署云服务。例如,安全快速部署管理确保请求来自一个已通过认证与授权的源。 资源变化:在修复、升级与新增云节点时调整配置与资源分配。例如,安全资源变化管理确保资源变化请求来自一个已通过认证与授权的源。 监测与报告:发现与监测虚拟资源,监测云的操作与事件,并生成安全报告。 度量:度量的安全管理是指云服务商实施特定的内部控制措施,确保可对存储加密、可对处理沙箱化、可报告异常带宽使用、且用户账户管理与云服务客户的安全策略一致。 服务级别协议管理:根据已确定的策略进行SLA合同定义(带有服务质量参数的基本模式)、SLA监控与SLA实施。5.2.1.3可移植性与互操作安全云服务客
27、户、云供应商与云代理者均应满足如下安全可移植性与互操作性要求: 安全可移植性与互操作性架构子组件应确保数据与应用程序可安全地转移到多个云服务中。 应保证系统维护时间与中断次数符合服务级别协议(SLA)中的最低接受等级。 应通过安全与统一的管理接口为云服务客户提供一种机制,使云服务客户可在多个云服务中进行数据与应用的互操作。 安全可移植性与互操作性的需求应根据所选择服务类型的不同而不同。对于云服务客户,映射到架构子组件的安全组件应为数据与/或应用程序转换到不同的云服务商或云技术代理者提供更大的灵活性。5.2.1.4 安全组织支持安全组织支持架构子组件覆盖了组织机构提供的策略、规程与处理过程,支持
28、整体云安全服务管理。对于云服务客户,映射到组织支持架构子组件的安全组件包含(但不限于):一致性管理;基于治理风险与合规性的审计管理;技术安全标准;最佳实践与管理的相关性;符合规范与标准的信息安全策略。5.2.2 安全云服务协同云服务协同是系统组件的一种组合,支持云服务商对计算资源进行部署、协调与管理,为云服务客户提供安全的云服务。安全服务协同是一个过程,需要所有的云参与者通力合作,基于云服务类型与部署模型不同程度地实现各自的安全职责。安全服务层涉及云服务商、云代理者与云服务客户。云服务客户仅需确保云服务接口,以及接口之上功能层的安全。根据云部署模型的不同,云服务接口可能位于IaaS、PaaS或
29、SaaS层。云服务客户只能依靠云服务商或云技术代理者保障云服务接口以下服务的安全。5.2.2.1安全功能层基于使用的云服务模型(IaaS、 PaaS与SaaS),云服务客户部署安全组件集保护云功能层安全,并与其他云参与者已部署的安全组件集密切相关。在SaaS云服务中,云服务客户对其使用的应用服务具有很少的管理权限,即对云及其安全组件具有很少的控制权。在PaaS云服务中,云服务客户对应用服务具有控制权,并对主机环境设置具有部分控制权,但对平台下层的基础设施(如网络,服务器,操作系统与存储介质等)具有有限的管理权或访问权。在IaaS云服务中,云服务客户可以使用系统提供的基础设施与计算资源(例如虚拟
30、计算机)满足基本的计算需求。同时,云服务客户也可以访问更多的基础计算资源,并控制更多的应用软件,包括操作系统与网络等。例如,在IaaS云服务中,云服务客户可以在各个服务层(IaaS、PaaS与SaaS)实现基础设施保护服务(例如边界防火墙)。然而,云服务客户无法在PaaS与SaaS层部署服务器防火墙安全组件,只能依靠云服务商提供服务器防火墙服务。因此,云服务客户应在服务级别协议中明确所需的安全防护级别。5.3 云服务商根据云服务商的服务范围与实施的活动,云服务商的架构组件为:服务部署、服务编排、云服务管理、云服务安全与隐私保护。由于安全与隐私保护、数据内容管理、服务级别协议(SLA)等是跨组件
31、的,安全参考架构模型将云服务商的安全活动交错分布到所有的组件层,覆盖云服务商负责的全部领域,并且将安全性嵌入到与云服务商有关的全部架构组件中。另外,云部署作为云服务的一部分,直接与云服务商提供的服务相关。因此,安全参考架构为云服务商定义了下列框架组件与子组件: 安全云服务管理 安全供应与配置 安全可移植性与互操作性 安全业务支持 安全云服务协同 安全物理资源层(硬件与设施)仅主服务商 安全资源抽象与控制层(硬件与设施)仅主服务商 安全部署与服务层主服务商通过技术代理者直接向云服务客户提供服务,或与中介服务商等合作伙伴间接地向云服务客户提供服务。中介服务商也可将一个或多个主服务商的服务集成后向云
32、服务客户提供服务。多个云服务商之间形成依赖关系,此依赖关系通常对云服务客户不可见,即主服务商与中介服务商提供服务的方式对云服务客户没有区别。中介服务商负责的安全组件与控制措施与主服务商相同,并需在多个云服务商之间进行协调。5.3.1 安全云服务协同本标准描述一个3层模型,代表云服务商交付服务需提供的3种类型的系统组件,这三层是: 服务层:代表云服务商提供的3类服务(IaaS, PaaS与SaaS); 资源抽象与控制层:包含通过软件抽象,云服务商用于提供与管理访问物理计算资源的系统组件; 物理资源层:包括所有的物理计算资源,例如硬件资源(CPU与内存)、网络设备与软件(路由器、防火墙、交换机、网
33、络链接与接口)、存储组件(硬盘)以及其他物理计算基础设施元素。安全参考体系架构组件由下述三层构成: 安全部署与服务层 安全资源抽象与控制层 安全物理资源层5.3.1.1 安全部署与服务层基于所提供的云服务类型(例如SaaS, PaaS或Iaas)与云部署模型(例如公有云或私有云),云服务商实施保障服务层安全的安全组件集。对于云服务中的每一个实例,云服务商负责实施的安全组件集都与其他云参与者实施的安全组件集密切相关。对于IaaS云服务,云服务商提供与物理计算资源相关的服务,包括服务器、网络、存储与主机基础设施。云服务商运行所需的云软件,通过一套服务接口与计算资源抽象(例如虚拟机与虚拟网络接口),
34、将计算资源提供给IaaS云服务客户。不管采用哪种云服务,云服务商始终控制物理硬件与云软件,因此能够提供这些基础设施服务(例如,物理服务器、网络设备、存储设备、主机操作系统、虚拟监控器等)。对于PaaS云服务,云服务商管理平台的计算基础设施,并运行提供平台组件能力的云软件,例如运行时软件执行栈、数据库与其他中间件组件。通常,提供PaaS服务的云服务商也为云服务客户提供开发、部署与管理的工具。这些工具可集成到开发环境(IDEs)、云软件开发版本、软件开发套件(SDKs)或部署与管理工具中。对于SaaS云服务,云服务商部署、配置、维护与更新云基础设施上的应用软件,使服务可以按照期望的服务级别供应给云
35、服务客户。SaaS云服务商对管理和控制应用程序与基础设施负主要责任。5.3.1.2 安全资源抽象与控制层安全资源抽象与控制层是包含云服务商实现的安全组件的架构组件,通过软件抽象提供安全访问与管理物理计算资源的功能。资源抽象组件的例子包括虚拟监控器、虚拟机、虚拟数据存储这样的软件元素。资源抽象组件应确保相关物理资源有效、安全与可靠的使用。虚拟机技术通常在本层使用,但提供必要软件抽象的其他方法也可以使用。本层的控制部分系指负责资源分配、访问控制与使用监控的安全软件组件。这是将多种物理资源及其软件抽象进行绑定,实现资源池化、动态分配与测量服务的软件架构。云服务商应采用适当的安全机制,确保只有经过授权
36、的用户才能访问系统、服务与数据,且用户或租户不能未经许可访问其他租户的信息。系统应隔离系统管理功能与用户相关的功能(包括用户接口服务),不能将系统管理功能暴露给向非特权用户。安全功能应与非安全功能隔离,并可作为分层结构实施,使各层之间最少交互,并保障低层功能与高层功能的独立性。5.3.1.3安全物理资源层安全物理资源层是架构子组件,包含需要确保物理计算资源安全的安全组件。本层包括硬件资源,例如计算机(CPU与内存)、网络(路由、防火墙、交换机、网络连接与接口)、存储部件(硬盘)与其他物理计算基础设施元素。它还包括设施资源,例如:供暖、通风与空调(HVAC)、电力、通讯及其他物理设备。5.3.2
37、 安全云服务管理云服务管理可以如下描述: 供应与配置需求 可移植性与互操作性需求 业务支持需求此外,基于不同的云服务结构,安全云服务管理的不同部分可由云服务商或云代理者支持与实现。这些服务可通过云服务客户的安全云服务管理进行补充。5.3.2.1 安全供应与配置安全供应与配置架构子组件包含确保云资源安全配置与供应的所有安全组件(例如,能力、工具或策略),并应符合相应的安全标准、法规与规范。安全配置云资源的准则也包含云服务客户与云服务商在服务级别协议(SLA)中确定的专用措施。云服务商对云资源配置的安全管理与供应涉及到的领域参见5.2.1.2。 5.3.2.2 安全可移植性与互操作性云服务客户、云
38、供应商与云代理者均应满足的安全可移植性与互操作性要求,参见5.2.1.3。基于不同的云服务模型,安全可移植性与互操作性的需求也不同。例如对于云服务商,SaaS云服务可能要求在不同云上运行的多个应用之间进行数据集成;IaaS云服务可能要求迁移数据与应用到新的云上,与此同时确保应用程序仍可操作。第一个例子只需简单地将数据以标准格式提取并备份即可。第二个例子则需首先捕获虚拟机映像,然后将它们迁移到一个或多个有可能采用不同虚拟化技术的新云服务商。基于云服务客户在服务级别协议(SLA)中定义的安全策略的配置仍需保留。迁移后,需删除或记录任何云服务商特定的虚拟机映像扩展。云服务商应理解并满足云服务客户的可
39、移植性与互操作性需求。5.3.2.3安全业务支持安全业务支持架构子组件包含运行面向客户的业务操作所用的所有安全组件,使云服务商以安全方式对云服务客户、云代理者及其他云服务商进行业务支持。中介云服务商应确保下游服务商适当地实施了他们自己负责的安全组件与控制措施,且风险与责任已经明确。与云服务客户签署合同并明确责任后,业务支持的责任由主服务商与中介服务商共同承担。云服务商业务支持的职责包括: 云服务客户管理:管理云服务客户账户、打开/关闭/终止账户、管理用户配置文件、管理云服务客户关系、基于云服务客户的安全策略解决云服务客户的问题等。 合同管理:管理服务合同,包括建立/协商/关闭/终止合同等;提供
40、云服务客户安全审计与报告所需的信息。 仓储管理:以安全方式建立与管理服务目录等。 记帐与计费:管理云服务客户的计费信息、发送计费状态、处理收到的支付、追踪发票等,确保有效跟踪与纠正欺诈活动。 报告与审计:监控用户操作、生成报告等,支持云服务客户的安全审计与监控需求。 定价与评级:评估云服务并确定价格,在不违反云服务客户保护的法律下,基于用户的配置处理促销与定价规则等。5.4 云代理者云代理者系指管理云服务的使用、性能与交付,并协调云服务商与云服务客户之间关系的实体。云计算安全参考架构模型中强调了两种类型的云代理者:技术代理者与业务代理者。通常,云代理者提供的服务组合可以分为五种架构组件:安全服
41、务聚合、安全服务仲裁、安全服务中介、安全云服务管理和安全云服务协同。其中,前四个组件分别对应云代理者所提供的服务,第五个组件则对应云代理者的责任,即作为安全云服务协同的一部分保障云服务的安全性。五个架构组件的详细定义如下: 安全服务聚合:该架构组件包含将多个独立服务融合与集成到一个或多个新服务的安全组件。云代理者提供数据集成功能,并确保基于云服务客户的安全策略数据在云服务客户与多个云服务商间之间安全迁移。安全服务聚合可从如下描述: 可移植性与互操作性的技术需求 供应与配置的技术需求 安全服务仲裁:该架构组件类似于安全服务聚合组件,只是所聚合的服务是不固定的。服务仲裁意味着云代理者可以从多个云服
42、务商灵活地选择服务。例如,云代理者可使用信用评分服务选择一个具有最高分数的云服务商。安全服务中介:该架构组件包含的安全组件,可使云代理者为云服务客户改进某些服务,或提供增值服务增强原有的服务,同时确保云服务客户的安全策略正确实施。增强原有云服务的例子包括:访问云服务的管理、身份管理、性能报告、增强的安全性等。 安全云服务管理:该架构组件包含云代理者提供运营服务所必须的,支持全部服务功能(技术与业务)管理的所有安全组件。安全云服务管理可以如下描述: 业务支持需求 供应与配置的业务需求 可移植性与互操作性的业务需求 安全云服务协同:该架构组件包含的安全组件,可使技术代理者基于云部署模型(例如私有云
43、和公有云)与服务模式(例如IaaS、PaaS和SaaS),确保所提供服务及附加服务的安全。在实践中,技术代理者用于保护云服务客户的数据迁移到云的安全组件集,与提供类似服务的中介服务商所使用的安全组件集相同。有关如何提取技术代理者的安全组件集的细节参见5.4.1.5.4.1 技术代理者在安全云服务协同与安全云服务管理方面,技术代理者与中介服务商的职责是类似的。通过从多个云服务商聚集服务、增加一个新的技术功能层、处理互操作性问题等,技术代理者与云服务客户的操作过程、云组件和/或客户数据进行交互。在安全参考架构模型中,云代理者与技术代理者架构组件的设计方式是强调云参与者的主要角色。例如,安全可移植性
44、/互操作性架构子组件延伸到安全云服务管理与安全服务聚合组件中,说明云代理者职责的两个方面:安全云服务管理下的业务及管理方面与安全服务聚合下的技术方面。中介服务商并不聚合服务,而是嵌入主服务商提供的服务。技术代理者与中介服务商提供类似安全服务所需的安全组件集是相同的。技术代理者的架构组件与子组件如下: 安全云服务协同 安全服务层 (技术方面) 安全服务聚合 安全供应与配置(技术方面) 安全可移植性与互操作性(技术方面) 安全服务管理 安全供应与配置(管理方面) 安全可移植性与互操作性(管理方面) 安全业务支持 安全服务中介 安全供应与配置(技术方面) 安全服务仲裁 安全供应与配置(技术方面)5.
45、4.2 业务代理者业务代理者提供业务与关系支持服务(仲裁与业务中介)。与技术代理者相反,业务代理者不接触任何云服务客户在云中的数据、操作过程与其他组件(例如,镜像、卷或防火墙)。业务代理者的架构组件与子组件包括: 安全服务管理 安全业务支持 安全服务中介 安全供应与配置(业务方面) 安全服务仲裁 安全供应与配置(业务方面)为简单起见,接下来的章节将对两种云代理者一起讨论架构组件。5.4.3 安全云服务协同云代理者用于确保安全云服务协同的安全组件依赖于云服务类型与部署模型。云代理者实施的安全组件与其他云参与者的安全组件密切相关。如图4所示,云代理者在平台服务层或软件服务层提供服务,它们分别建立在IaaS或PaaS云服务商的基础之上。图4 安全云服务协同5.4.3.1安全服务层云代理者为保证服务层安全采用的安全组件集依赖于服务类型(例如PaaS或SaaS)。可能在多个云服务商提供的PaaS组件上聚合SaaS应用,或在云服务商提供的IaaS组件上聚合Paa
