云計(jì)算架構(gòu)培訓(xùn)課件

1、CCSK課程背景介紹云計(jì)算架構(gòu)第1頁3CCSK認(rèn)證介紹Certification of Cloud Security Knowledge云計(jì)算安全知識(shí)認(rèn)證中國(guó)CCSK認(rèn)證及考試 CCSKC-CCSKCertification of Cloud Security Professional云計(jì)算安全教授認(rèn)證CCSP進(jìn)階CSA正式推出，經(jīng)過5年發(fā)展，已經(jīng)成為云安全人才領(lǐng)域最權(quán)威認(rèn)證之一由CSA和ISC2(國(guó)際信息安全認(rèn)證聯(lián)盟)聯(lián)合推出，是CCSK進(jìn)階認(rèn)證CSA授權(quán)“北京愛思索科技有限企業(yè)”組織推出云計(jì)算架構(gòu)第2頁4CSA : Security Guidance For Critical Areas

2、Of Focus In Cloud Computing CSA云計(jì)算關(guān)鍵領(lǐng)域安全指南ENISA: Benefits, risks and recommendations for information securityENISA風(fēng)險(xiǎn)匯報(bào)課程介紹云計(jì)算架構(gòu)第3頁課程結(jié)構(gòu)5云計(jì)算架構(gòu)第4頁CSA介紹全稱：Cloud Security Alliance，云安全聯(lián)盟成立：年，RSA大會(huì)上宣告成立一個(gè)非盈利性組織，致力于研究云計(jì)算環(huán)境下安全問題，意在提供云計(jì)算環(huán)境下最正確安全處理方案。研究結(jié)果：公布云安全系列研究匯報(bào)，對(duì)業(yè)界有著主動(dòng)影響，取得廣泛認(rèn)可。時(shí)間研究項(xiàng)目或結(jié)果至云計(jì)算關(guān)鍵領(lǐng)域安全指南V1.0，

3、之后陸續(xù)更新至第三版至今GRC Stack 項(xiàng)目：云控制矩陣（Cloud Control Matrix，簡(jiǎn)稱CCM）一致性評(píng)定調(diào)查（Consensus Assessments Initiative，簡(jiǎn)稱CAI）云審計(jì)Cloud Audit 云信托協(xié)議（Cloud Trust Protocol，簡(jiǎn)稱CTP）至今安全信任和確保注冊(cè)項(xiàng)目(Security，Trust & Assurance Registry，簡(jiǎn)稱STAR)云計(jì)算主要威脅調(diào)研結(jié)果九大云計(jì)算安全威脅CSA主要研究結(jié)果列表云計(jì)算架構(gòu)第5頁7云計(jì)算關(guān)鍵領(lǐng)域安全指南英文名稱：Security Guidance for Critical Are

4、as of Focus in Cloud Computing版本更替：年4月1日（CSA成立后一個(gè)月）公布v1.0 年12月17日，公布v2.1；20春節(jié)后，公布v2.1漢字版 2011月14日，公布v3.0（最新版）；205月，公布v3.0 漢字版云計(jì)算架構(gòu)第6頁模塊 1: 云架構(gòu)云計(jì)算架構(gòu)第7頁學(xué)習(xí)目標(biāo)云計(jì)算定義、相關(guān)概念、優(yōu)勢(shì)云計(jì)算關(guān)鍵特征云服務(wù)交付模型云布署模型云安全特殊問題9云計(jì)算架構(gòu)第8頁云計(jì)算：亞馬遜故事亞馬遜想更有效使用他們資源希望能夠更加好幫助開發(fā)者，使他們不用面對(duì)取得硬件困難。云計(jì)算使得開發(fā)者們無須擁有每種系統(tǒng)專門資源和容量只需要從資源池中獲取需要資源即可但仍保留應(yīng)對(duì)業(yè)務(wù)峰

5、值整體容量，大量硬件資源不需要天天都使用。將EC2空閑資源容量出租取得利潤(rùn)10云計(jì)算架構(gòu)第9頁什么是云計(jì)算云計(jì)算是一個(gè)模型，能支持用戶便捷地按需經(jīng)過網(wǎng)絡(luò)訪問一個(gè)可配置共享計(jì)算資源池（包含網(wǎng)絡(luò)、服務(wù)器、存放、應(yīng)用程序、服務(wù)），共享池中資源能夠以最少用戶管理投入或最少服務(wù)提供商介入實(shí)現(xiàn)快速供給和回收。NIST 美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所11云計(jì)算架構(gòu)第10頁云計(jì)算主要概念：資源池客戶計(jì)算網(wǎng)絡(luò)存放12云計(jì)算架構(gòu)第11頁云計(jì)算 VS. 虛擬化虛擬化:指資源抽象化，也就是單一物理資源多個(gè)邏輯表示，或者多個(gè)物理資源單一邏輯表示。 在“云”和“虛擬化”之間經(jīng)常存在混同，但它們并不是同義詞。虛擬化是實(shí)現(xiàn)云平臺(tái)一個(gè)

6、技術(shù)伎倆，但不是唯一技術(shù)伎倆。云計(jì)算平臺(tái)是提供虛擬化平臺(tái)IaaS（基礎(chǔ)設(shè)施即服務(wù)）中：云計(jì)算軟件組織和管理著虛擬化13云計(jì)算架構(gòu)第12頁云計(jì)算好處無基礎(chǔ)設(shè)施建設(shè)投資（公共云情況下）更大靈活性近乎無限規(guī)模更高資源利用率便捷系統(tǒng)遷移方案彈性僅為使用資源付費(fèi)14云計(jì)算架構(gòu)第13頁多租戶15指服務(wù)器上運(yùn)行單一應(yīng)用同時(shí)服務(wù)于多個(gè)用戶。將應(yīng)用本身作為共享資源，而不是每一個(gè)用戶獨(dú)享一臺(tái)服務(wù)器或者一套服務(wù)器上運(yùn)作單一應(yīng)用工作模式。云計(jì)算架構(gòu)第14頁云計(jì)算模型16NIST云計(jì)算參考架構(gòu)云計(jì)算架構(gòu)第15頁云計(jì)算關(guān)鍵特征廣泛網(wǎng)絡(luò)訪問經(jīng)過標(biāo)準(zhǔn)客戶端接入計(jì)算機(jī)（桌面機(jī)、筆記本）移動(dòng)設(shè)備經(jīng)過各種網(wǎng)絡(luò)接入17云計(jì)算架構(gòu)第1

7、6頁迅捷可伸縮服務(wù)能夠快速、可伸縮提供，在一些情況下甚至可自動(dòng)提供以擴(kuò)大規(guī)模，也能夠快速釋放資源以縮減規(guī)模18云計(jì)算關(guān)鍵特征云計(jì)算架構(gòu)第17頁可測(cè)量服務(wù)資源使用能夠被監(jiān)視和控制提供一定抽象程度測(cè)量能力使用量計(jì)算：用戶只需為所使用服務(wù)付費(fèi)19云計(jì)算關(guān)鍵特征云計(jì)算架構(gòu)第18頁按需自服務(wù)用戶可按需自行取得計(jì)算能力如服務(wù)器時(shí)間、網(wǎng)絡(luò)資源等，不需要與服務(wù)提供商進(jìn)行人工交互20云計(jì)算關(guān)鍵特征云計(jì)算架構(gòu)第19頁資源池化資源被池化，并以多租戶模型向多個(gè)用戶提供服務(wù)位置獨(dú)立性：用戶無法獲知或控制資源詳細(xì)位置。21云計(jì)算關(guān)鍵特征云計(jì)算架構(gòu)第20頁云服務(wù)交付模型Software as a Service (SaaS

8、)軟件即服務(wù)Platform as a Service (PaaS)平臺(tái)即服務(wù)Infrastructure as a Service (IaaS)基礎(chǔ)設(shè)施即服務(wù)22云計(jì)算架構(gòu)第21頁Infrastructure as a Service (IaaS)基礎(chǔ)設(shè)施即服務(wù)提供處理器、存放、網(wǎng)絡(luò)和其它基礎(chǔ)計(jì)算資源客戶布署并運(yùn)行任意軟件能夠包含操作系統(tǒng)和應(yīng)用軟件23云計(jì)算架構(gòu)第22頁P(yáng)latform as a Service (PaaS)平臺(tái)即服務(wù)將用戶創(chuàng)建或已經(jīng)有應(yīng)用布署在云基礎(chǔ)設(shè)施上使用云提供商支持程序語言和工具創(chuàng)建24云計(jì)算架構(gòu)第23頁Software as a Service (SaaS)軟件即服

9、務(wù)用戶使用云服務(wù)商布署在云基礎(chǔ)設(shè)施上應(yīng)用用戶不論理和控制底層云基礎(chǔ)設(shè)施，包含網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存放，以及單獨(dú)應(yīng)用能力。25云計(jì)算架構(gòu)第24頁SPI （SaaS/PaaS/IaaS）混合與匹配Amazon EC2S CRMMicrosoft AzureDWDropBoxSaaSIaaSPaaSWhy?26云計(jì)算架構(gòu)第25頁服務(wù)模式與安全責(zé)任關(guān)系云服務(wù)商提供服務(wù)在SPI棧中越底層，用戶在系統(tǒng)實(shí)施和管理中需要負(fù)責(zé)管理和安全工作就越多。SaaSIaaSPaaS安全責(zé)任服務(wù)商客戶27云計(jì)算架構(gòu)第26頁IaaS28云計(jì)算架構(gòu)第27頁P(yáng)aaS29云計(jì)算架構(gòu)第28頁SaaS30云計(jì)算架構(gòu)第29頁31云計(jì)

10、算架構(gòu)第30頁小區(qū)云32 云基礎(chǔ)設(shè)施為幾個(gè)組織所共享，為一個(gè)具有相同需求（比如任務(wù)、安全需求、策略、監(jiān)管要求等）社區(qū)提供支持。 有許多緊密集團(tuán)（按上下級(jí)關(guān)系、地理、規(guī)模等組織起來）具有十分相似計(jì)算需求。社區(qū)云可認(rèn)為這么計(jì)算環(huán)境提供便利和規(guī)模經(jīng)濟(jì)性，降低IT服務(wù)建設(shè)成本并提高系統(tǒng)能力。社區(qū)云可以由組織自行運(yùn)行或者由第三方運(yùn)行，可以運(yùn)行在本地或者遠(yuǎn)端。比如：某汽車企業(yè)建立云中心，為本身和其它配件廠提供服務(wù)。云計(jì)算架構(gòu)第31頁混合云33 由上面兩種或各種云基礎(chǔ)設(shè)施組合而成，各自實(shí)體是獨(dú)立，但經(jīng)過標(biāo)準(zhǔn)或私有技術(shù)集成在一起，并提供數(shù)據(jù)和應(yīng)用便利。比如：鐵路售票系統(tǒng)云計(jì)算架構(gòu)第32頁云布署模型和職責(zé)基礎(chǔ)設(shè)

11、施管理方1基礎(chǔ)設(shè)施擁有方2基礎(chǔ)設(shè)施位置3訪問和使用方4公有云第三方提供商第三方提供商遠(yuǎn)端非信任方私有云/小區(qū)云組織第三方提供商組織第三方提供商當(dāng)?shù)剡h(yuǎn)端信任方混合云組織 & 第三方提供商組織 & 第三方提供商當(dāng)?shù)? 遠(yuǎn)端信任方 & 非信任方或33云計(jì)算架構(gòu)第33頁多租戶私有云vs.公有云34云計(jì)算架構(gòu)第34頁多租戶公有云視圖35云計(jì)算架構(gòu)第35頁云世界中安全邊界云計(jì)算使得傳統(tǒng)邊界定義失效什么是內(nèi)部？什么是外部？影響是什么？現(xiàn)在邊界在哪里？37云計(jì)算架構(gòu)第36頁云安全安全考慮包含：誰將消費(fèi)和使用資產(chǎn)、資源、信息？誰對(duì)資源控制、安全、合規(guī)負(fù)責(zé)？38云計(jì)算架構(gòu)第37頁總結(jié)云描述了計(jì)算、網(wǎng)絡(luò)、信息、存放

12、等資源池使用。云服務(wù)特征包含：廣泛網(wǎng)絡(luò)訪問、迅捷可伸縮性、可測(cè)量服務(wù)、按需自服務(wù)、資源池化。云服務(wù)通常以基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺(tái)即服務(wù)（PaaS）或軟件即服務(wù)（SaaS）方式提供，即使它們之間區(qū)分在變得日益含糊。云服務(wù)能夠以公有云、私有云、混合云和小區(qū)云方式提供，詳細(xì)取決于應(yīng)用安全及共享等方面需求。39云計(jì)算架構(gòu)第38頁測(cè)試題：多租戶安全后果是什么？減慢響應(yīng)時(shí)間與其它用戶排隊(duì)等候缺乏對(duì)每個(gè)租戶個(gè)性化加密密鑰殘余信息、數(shù)據(jù)或操作蹤跡對(duì)其它用戶或租戶可見性必須單獨(dú)地為每個(gè)客戶更新病毒庫在IaaS或者PaaS情況下，管理應(yīng)用安全責(zé)任屬于誰？云客戶系統(tǒng)管理員互聯(lián)網(wǎng)服務(wù)提供商軟件即服務(wù)（SaaS

13、）提供商服務(wù)商系統(tǒng)管理員政府40云計(jì)算架構(gòu)第39頁測(cè)試題：多租戶安全后果是什么？減慢響應(yīng)時(shí)間與其它用戶排隊(duì)等候缺乏對(duì)每個(gè)租戶個(gè)性化加密密鑰殘余信息、數(shù)據(jù)或操作蹤跡對(duì)其它用戶或租戶可見性必須單獨(dú)地為每個(gè)客戶更新病毒庫在IaaS或者PaaS情況下，管理應(yīng)用安全責(zé)任屬于誰？云客戶系統(tǒng)管理員互聯(lián)網(wǎng)服務(wù)提供商軟件即服務(wù)（SaaS）提供商服務(wù)商系統(tǒng)管理員政府41云計(jì)算架構(gòu)第40頁測(cè)試題：云服務(wù)含有5種本質(zhì)特征展示了他們與傳統(tǒng)計(jì)算方式關(guān)系和不一樣。其中哪種特征被描述為：能力能夠以快速擴(kuò)展和快速釋放方式供給。按需自服務(wù)迅捷可伸縮廣泛網(wǎng)絡(luò)訪問可計(jì)量服務(wù)資源池化下面哪個(gè)不是NIST定義云服務(wù)模型？平臺(tái)即服務(wù)（Pa

14、aS）基礎(chǔ)設(shè)施即服務(wù)(IaaS)安全即服務(wù)(SECaaS)軟件即服務(wù)(SaaS)以上都不是42云計(jì)算架構(gòu)第41頁測(cè)試題：云服務(wù)含有5種本質(zhì)特征展示了他們與傳統(tǒng)計(jì)算方式關(guān)系和不一樣。其中哪種特征被描述為：能力能夠以快速擴(kuò)展和快速釋放方式供給。按需自服務(wù)迅捷可伸縮廣泛網(wǎng)絡(luò)訪問可計(jì)量服務(wù)資源池化下面哪個(gè)不是NIST定義云服務(wù)模型？平臺(tái)即服務(wù)（PaaS）基礎(chǔ)設(shè)施即服務(wù)(IaaS)安全即服務(wù)(SECaaS)軟件即服務(wù)(SaaS)以上都不是43云計(jì)算架構(gòu)第42頁測(cè)試題：一個(gè)云布署為兩個(gè)或多個(gè)獨(dú)立云布署方式被稱作：基礎(chǔ)設(shè)施即服務(wù)一個(gè)小區(qū)云一個(gè)混合云一個(gè)私有云云立方模型存放即服務(wù)（Storage as a S

15、ervice）可視作什么子產(chǎn)品？Hadoop軟件即服務(wù)安全即服務(wù)平臺(tái)即服務(wù)基礎(chǔ)設(shè)施即服務(wù)44云計(jì)算架構(gòu)第43頁測(cè)試題：一個(gè)云布署為兩個(gè)或多個(gè)獨(dú)立云布署方式被稱作：基礎(chǔ)設(shè)施即服務(wù)一個(gè)小區(qū)云一個(gè)混合云一個(gè)私有云云立方模型存放即服務(wù)（Storage as a Service）可視作什么子產(chǎn)品？Hadoop軟件即服務(wù)安全即服務(wù)平臺(tái)即服務(wù)基礎(chǔ)設(shè)施即服務(wù)45云計(jì)算架構(gòu)第44頁測(cè)試題：什么是資源池化？服務(wù)商計(jì)算資源被池化以向更多客戶提供服務(wù)基于互聯(lián)網(wǎng)CPU被池化以支持多線程。每個(gè)客戶專有計(jì)算資源被池化放置在一個(gè)共同機(jī)房設(shè)施中。 將物聯(lián)網(wǎng)（云）數(shù)據(jù)中心放置在多能源源頭附近，比如水電站等。以上都不是全部云服務(wù)都使用虛擬化技術(shù)。TRUEFALSE48云計(jì)算架構(gòu)第45頁測(cè)試題：什么是資源池化？服務(wù)商計(jì)算資源被池化以向更多客戶提供服務(wù)基于互聯(lián)網(wǎng)CPU被池化以支持多線程。每個(gè)客戶專有計(jì)算資源被池化放置在一個(gè)共同機(jī)房設(shè)施中。 將物聯(lián)網(wǎng)（云）數(shù)據(jù)中心放置在多能源源頭附近，比如水電站等。以上都不是全部云服務(wù)都使用