作者:张尼 刘镝 张云勇 李正 陈豪 等编著
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
云计算安全技术与应用试读:
前言
Preface近几年,云计算技术、应用、市场发展非常迅速,各国政府高度重视云计算发展。其中,美国政府机构正在大力推动云服务和自行构建云服务的计划,美国国防信息系统部(DISA)着手在其数据中心内部搭建云环境,美国宇航局艾姆斯研究中心推出名为“星云”(Nebula)的云环境。在欧盟及欧洲其他国家,越来越多的政府部门、企业、金融部门、医院、服务机构开始采用云计算技术,接受云计算服务。日本政府积极推进云计算的发展,提出了“有效利用信息技术,开创云计算新产业”的发展战略。韩国知识经济部、行政安全部和韩国广播通讯委员会于2011年联合公布了《搞活云计算综合计划》。新加坡政府明确提出,要在原来“智慧城市”的基础上,以云计算技术和方法推动智慧国家的建设。在中国市场,云计算逐步被越来越多的企业和机构采用,市场规模也从2009年的92.23亿元增长到2012年的606.78亿元,年均复合增长率达87.4%。
云计算已经普及并成为IT行业主流技术,其实质是在计算量越来越大、数据越来越多、越来越动态、越来越实时的需求背景下催生出来的一种基础架构和商业模式。如同其他新技术或新业务模式一样,云计算会创造新的机遇,同时也带来了新的风险。云计算的发展对传统计算模式和商业服务模式带来了巨大冲击,因此也带来了互联网网络资源、业务资源、用户资源在应用模式上的重大变化。与此同时,在云环境下,多租户、资源共享、数据存储的非本地化、承载业务类型的多元化以及网络带宽的快速增长也对传统安全提出巨大挑战。
云计算环境下既包括一些通用的安全需求,如租户的接入控制、认证等,也包括随着虚拟化、分布式业务数据存取及多租户业务等引入而产生的一些特殊安全需求,如数据隔离、业务隔离、隐私策略及安全分配的业务安全策略等。此外,云计算服务滥用也会引发特殊的安全问题,如云计算所提供的弹性、可扩展的资源有可能被当作恶意的网络攻击工具,或被当作垃圾和有害信息的传播渠道。
对于各行各业的用户而言,无论是结合自身需求构建内部私有云,还是构建提供对外服务的公有云,都需要考虑云计算环境下的安全威胁,并在云中使用完善的安全措施,否则,云中的特性及云提供的服务不仅无法控制,而且还将对国家、企业、用户带来严重的安全威胁。
本书以此为背景,从云计算安全的基本定义和含义说起,归纳云计算技术面临的安全威胁,分析云计算技术的安全需求,提出云计算服务安全体系架构,并分析了云计算服务安全相关的关键技术、标准现状、平台安全运营、产业应用现状等。最后,结合信息产业发展现状对云计算安全发展趋势进行展望。本书内容可以为私有云及公有云的部署提供有益参考,对于完善云计算技术体系,保障云计算技术推广应用具有重要的意义。
本书结构如下:全书共8章:第1章介绍了云计算的核心概念和基础知识,包括云计算的定义、特征、服务模式、部署方式、行业应用等;第2章对云计算安全进行解读与剖析,并将云计算安全分成云计算服务安全与云计算技术在安全领域的应用两个类别,并以后者为重点开展下文;第3章讨论了云计算发展过程中具有代表性的安全事件,同时归纳出云计算面临的安全威胁及安全需求;第4章介绍国内外主流标准组织中的云计算安全工作的进展;第5章从运营商的视角出发,构建云计算安全体系架构,并从云服务域、云终端域、云监管域3个维度阐述如何保证云计算服务的安全;第6章探讨了云计算服务在运营过程中应该注意的安全问题及其解决措施;第7章从政府部门、厂商、云服务商角度介绍云计算安全实践工作;第8章对云计算安全的后续发展进行展望。
本书适合各水平层次的云计算用户,尤其适合云服务商职员、网络信息安全领域研究人员,以及希望了解更多云计算安全知识的从业者和学生参考阅读。
本书具有如下3大特色。
1)通俗性
本书介绍了云计算安全的基本知识,涵盖了从相关的技术到实际案例部署相关的知识,读者只需具备基础的IT领域知识即可。每章的标题就是对该章内容的高度概括,在接下来的内容中对其进行的解释已尽可能做到了准确、翔实。
2)完整性
本书从云安全架构、云安全技术细节到具体安全应用场景、应用案例等方面都进行了周详的论述。
3)实用性
本书紧密结合实际,对云安全的背景、需求、技术、运营、部署应用等各方面进行分析和论述。
本书由丛书编委会负责策划和统稿。第1章、第3章由张云勇、李正、王笑帝编著,第2章、第5章由刘镝、李正、陈豪编著,第4章、第8章由张尼、陈豪编著,第6章、第7章由张尼、刘镝、申珉宇编著。
参加研究和写作的成员还有:胡坤、宫雪、刘明辉、陶冶、童博、房秉毅、陈清金、魏进武、郭志斌、程莹、雷磊、王智明、邓浩、陈晓明、贾智宇、杨绍光、刘露、毋涛、李璐颖、黄存兰、马元英、郭玉华、熊微。
本书能够出版,需要感谢中国联通研究院刘诚明院长、陈赤航副院长、信息室孙兆欣主任、匡斌副主任、范云杰编辑,中国联通集团技术部裴小燕经理、王明会经理、彭久生经理、贾川、周晓霞、张文钺、石谊娜,中国联通集团网络公司运行维护部孙志光经理、万玉海经理、王翔、吕东芳,中国联通集团信息化事业部娄瑜经理、卢浩洋、刘险峰,北京邮电大学黄韬、姚海鹏、郭达副教授、四川大学计算机学院彭舰院长的帮助。
本书凝聚了笔者长期的安全实践经验以及研究思考的成果。在本书的编写过程中广泛收集了国内外相关材料,参考了一些最新论著,并引用了部分材料,在此向其著作人表示感谢。人民邮电出版社的邢建春编辑为此书倾注了大量的心血,在此致以诚挚的谢意。
本书内容是作者的大胆探索和思考,仅代表个人观点,与任何机构的立场无关。我们希望通过大家的共同努力,理清现阶段云安全技术的发展,为业务创新发展贡献一份力量。由于作者水平有限,加之时间仓促,书中难免有错误、不当之处,恳请广大专家、学者不吝批评指正。作者2014年2月于北京第1章 云计算概述
自云计算(cloud computing)的概念提出以来,在市场、技术和政策等因素的驱动下,云计算以令人诧异的发展速度,逐渐走向了成熟,并将成为ICT行业未来发展的一个重要方向。云计算弹性调度、资源共享、服务可扩展、按需分配4大特性及公有云、私有云、混合云3大部署方式已经彻底改变了人们的生产生活。在讨论云安全之前,为了使读者更好地了解云计算本质,为更加深刻地理解云安全做好铺垫。本章介绍了云计算的基本知识。回顾云计算的发展背景,梳理云计算的定义与特征,描述云计算的部署方式与行业应用,并总结云产业带来的机遇与挑战。1.1 云计算发展背景
21世纪以来,云计算逐渐兴起,Amazon、Sun、IBM、Google等公司纷纷宣布云计算计划,并在云计算的商业应用方面走在了世界前列。2008年以来,在经济危机的刺激下,全球企业努力寻求节省成本、降低开支的良方妙计。云计算的理念和模式满足了当下IT服务提供者和服务使用者的主要需求。对于服务提供者,云计算满足了其对IT资源的高效管理需求,并利于其开拓新的业务和商业模式;对于服务使用者,可以按需获取IT资源,节省开支、降低企业运行成本。
云计算从提出概念,到逐渐成熟,再到现在这样达到比较成熟的水平,依次经历了4个阶段:电厂模式、效用计算、网格计算(grid computing)和云计算。
1)电厂模式阶段。每当一个新的行业诞生时,发展的捷径就是利用其他行业的成功模式,而电厂模式对IT行业影响比较深远。电厂模式利用了规模经济的效应,不但降低了电力的价格,而且既不需要用户购买任何发电设备,也不需要用户具备任何的知识和能力去维护设备,使得用户使用电力更加方便。
2)效用计算阶段。在1960年左右,由于当时的计算机设备非常昂贵,以至于大多数普通的企业、机构和学校根本负担不起相关费用,一些IT人士萌生了共享计算机资源的想法。1961年,人工智能之父、麻省理工大学教授约翰麦肯锡在一次会议中提出了效用计算的概念,其核心是借鉴了电厂模式,目标是将分散在各地的服务器、存储系统整合在一起,供所有用户使用,减轻独立用户对计算机设备的高额投入,使用户享受到即插即用的计算机资源,并且根据其使用量付费。但由于当时IT行业的发展才刚刚起步,很多关键技术还没有诞生,如互联网等,而且在计算或存储方面的需求也远远没有现在这么强烈,所以虽然想法很先进,但由于当时种种社会条件的限制,并没有实现。
3)网格计算阶段。随着计算机的普及,越来越多的计算机被人们使用,但人们对计算机CPU的利用率却远远达不到计算机的潜能,造成资源和能源的浪费,而互联网的出现使网格计算成为了现实。网格计算的主旨是研究如何把一个需要非常巨大的计算能力才能解决的问题分成若干小部分,再把这些部分分配给计算机网络中的若干低性能计算机来处理,最后把这些计算结果综合起来完成复杂问题的计算。但是由于在商业模式、技术和安全性方面还存在很多不足,使得其并没有在工程界和商业界取得预期的成功。
4)云计算阶段。云计算是从效用计算与网格计算发展过来的,它希望IT技术能够像使用电力那样方便,并且成本低廉。但是不同点在于需求方面已经有了一定规模,同时在技术方面也基本成熟。因此,云计算相比效用计算和网格计算已经具备可以发展的基础,使其更为脚踏实地。
回望云计算的发展历程,其驱动力主要来自以下3个方面。
1)需求驱动。随着经济、社会信息化的大发展,尤其是移动互联网和物联网应用的兴起,海量信息处理的需求激增;同时,现代应用需要满足普适化、智能化等一系列要求。因此,从客观上需要云计算技术来满足上述需求。
2)技术驱动。宽带通信与互联网技术、分布式计算、分布式数据库的快速发展,推动了虚拟化和分布式处理技术的发展,为云计算发展奠定了技术基础。
3)经济与环境保护驱动。经济危机与哥本哈根国际气候大会推动了全球产业升级、调整和节能减排时代的快速到来。由于云计算具有低成本、高效能、绿色环保等特点,因而受到各国政府的重视。
以上3种驱动力极大地推动了传统技术发展融合,最终演进为云计算,其涉及网格计算、分布式计算(distributed computing)、并行计算(parallel computing)、效用计算(utility computing)、网络存储技术(network storage technologies)、虚拟化(virtualization)、负载均衡(load balance)等传统技术。也就是说,云计算是传统技术发展融合的产物。
总之,云计算是ICT产业的一个重大变革,如同当初的电力革命和通信网的变革。100 多年前,在没有电力公用设施时,每个农场和企业都用各自的发电机单独发电,生产及维护的成本很高;电网建成后,农场和企业改为从大型的发电厂购买价格低廉、可靠性高的电力。在过去,企业或部门多采取自建电信专用网的方式。然而,随着通信技术的发展,公用电信网的通信质量和效率得到极大提升,运营成本不断下降,新兴企业或部门转而采用公众网来实现专用网功能,原有的专用通信网也逐渐淡出电信市场。同样,当云计算服务承诺的通用访问、7× 24 h的可靠性、高安全可信性、99.999%的SLA(service level agreement,服务等级协议)和无处不在的协作真正兑现时,今日主流的以企业或个人私有 IT 资源为中心的计算方式注定走向没落,云计算服务必将在后电信时代的IT产业大行其道。
然而,云计算的意义不仅限于此,其意义还在于:① 促进业务创新,云计算使得企业更专注于业务,更快、更灵活地满足和交付客户需求,为业务创新提供坚实且灵活的支撑;② 增加业务收益,云计算具有显著的网络经济特征,随着服务增加,边际成本递减,边际收益递增,总体实现收入递增。1.2 云计算定义
由于云计算涉及技术的多个方面和产业发展的多个环节,不同的组织和企业从各自的角度给出了云计算的定义。维基百科认为:“云计算是一种将规模可动态扩展的虚拟化资源通过 Internet 提供对外按需使用服务的计算模式,用户无需了解提供这种服务的底层基础设施,也无需去拥有和控制。云形象地代表了Internet网络,即提供服务的基础设施。”美国国家标准技术研究所(NIST)提出的云计算的定义为:“云计算模型能以按需方式,通过网络方便地访问云系统中可配置的计算资源共享池(如网络、服务器、存储、应用程序和服务)”。同时它以最少的管理开销及最少地与供应商的交互,迅速配置、获取或释放资源。中国云计算专家委员会的专家认为:“云计算是一种新兴的商业计算模型。它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和各种软件服务。”
本书认为:“云计算”是一种新的计算方法和商业模式。通过虚拟化等技术按照“即插即用”的方式,自助管理运算、存储等资源能力形成高效资源池,以按需分配的服务形式提供计算能力;且可通过公众通信网络整合IT资源和业务,向用户提供新型的业务产品和新的交付模式。
云计算作为一种技术手段和实现模式,使得计算资源成为向大众提供服务的社会基础设施,将对信息技术本身及其应用产生深远影响,软件工程方法、网络和终端设备的资源配置、获取信息和知识的方式等,无不因云计算而产生重要变化。与此同时,云计算也深刻改变着信息产业现有业态,催生了新型的产业和服务。云计算带来社会计算资源利用率的提高和计算资源获得的便利性,推动以互联网为基础的物联网迅速发展,将更加有效地提升人类感知世界、认识世界的能力,促进经济发展和社会进步。1.3 云计算特征
云计算具备以下几种特征,包括资源共享、弹性调度、服务可扩展与按需分配。(1)资源共享
云计算业务向云用户提供了对计算、存储、网络、软件等多种IT基础设施资源租用的服务,而用户不需要自己拥有和维护这些基础设施资源。(2)弹性调度
云用户能够按需获得和调用IT基础设施资源,也能够按需撤销和缩减资源。云计算平台可以按云用户的需求快速部署和调度资源。(3)服务可扩展
云计算可以根据用户的规模、使用量、需求增加云中相应的资源,使得资源的规模可以根据需要扩大,满足应用和用户规模变化的需要。(4)按需分配
用户按需使用云中的资源,按实际的使用量付费。云计算能够兼容不同硬件厂商的产品,从而保护云业务提供商的原有投资。另外,由于云的特殊容错措施,可采用大量廉价设备来构建云,降低成本。1.4 云计算的服务类型
云计算按服务类型大致可以分为3类:基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS),如图1-1所示。图1-1 云计算业务模式
1)基础设施即服务位于3种服务类型的最底端,也是最基础的、最接近云计算基本定义的服务。云业务提供商把多台服务器组成的“云”基础设施作为服务租给用户,可以根据用户的购买量或实际使用量计费。它提供给用户计算、存储、网络及其他基础设施资源,使得用户在基础设施上配置和运行操作系统、应用软件等。用户不需要管理或者控制云的基础设施,只需要支配操作系统、存储、部署应用程序和有限地选择网络组件,例如主机防火墙等。具有代表性的公司及业务有Amazon的EC2和Verizon的Terremark等。
Amazon有大量的IT资源和存储资源闲置,为了充分利用闲置的IT资源,Amazon将弹性计算云对外提供效能计算和存储租用服务,包括存储空间、带宽、CPU资源。Amazon对存储空间、带宽按容量收费,CPU根据运算量时长收费。例如,弹性计算云EC2让用户自行选择服务器配置来按需付费计算机处理任务;每个月10亿字节S3存储服务收费15美分。由于是按需付费,比企业自己部署IT硬件资源及软件资源更为便宜。因此,Amazon成为了成功的IaaS服务商之一。
AT&T提供使用量付费的公用运算服务,供企业弹性使用IT资源并能够随时取得所需的计算、处理和储存能力。
NTTDoCoMo与OpSource 合作推出了基于安全的数据中心及可靠的可扩展网络的云计算解决方案,利用公有云为用户提供虚拟化私有云,使用户在虚拟化私有环境中完成计算和应用服务,可实现在线购买,目前提供按小时计费的模式。
2)平台即服务位于 3 种服务类型的中间层,是经过云业务提供商封装的 IT资源,通常按照用户或用户登录情况计费。它提供给用户编程语言环境,把用户创建或购得的应用程序部署在云基础设施之上,提供应用从创建到运行整个生命周期的软硬件资源环境和工具。用户不需要管理或控制包括网络、服务器、操作系统、存储等云基础设施,仅需支配部署的应用和应用程序主机环境的配置。以下是具有代表性的PaaS案例。
Google 的云计算平台主要采用 PaaS 商业模式,提供云计算服务按需收费。Google APP Engine根据中央处理器租用情况收费,大约每个CPU核每小时收费10~12美元,存储方面每10亿字节存储空间收费15~18美元。
Salesforce的PaaS平台 Force.com运行在Internet上,采用以登录次数为基础的完全即时请求收费模式。独立软件提供商作为其平台的客户,开发出基于他们平台的多种 SaaS 应用,使其成为多元化软件服务供货商(multi-application vendor),扩展其业务范围。
3)软件即服务位于3种服务类型的最顶端,它可以使用户在不使用客户端的情况下,通过Web浏览器享受基于网络的软件服务,并以免费或按需付费的方式向用户提供服务。SaaS为用户提供运行在云基础设施上的应用程序。这些应用程序在各种终端设备上均能运行,通过Web浏览器或瘦客户端访问应用,用户不需要管理或者控制云基础设施。具有代表性的公司及业务有:阿里云软件、Saleforces、Microsoft的邮件等。
阿里云软件向中小企业用户提供“先尝试后购买,用多少付多少,无需安装,即插即用”的软件服务,以实现低成本在线软件模式,可根据行业、区域为中小企业提供定制服务。
Salesforce.com让客户透过云端执行商业服务,而不用购买或部署软件,并按照订户数和使用时间对企业进行收费。
微软提供公有云的SaaS应用服务,同时向个人消费者和企业客户提供SaaS云服务。例如,微软向用户提供的Online Services 和Windows Live 等服务均属于SaaS服务。1.5 云计算部署方式
根据服务面向的对象,云计算系统的部署方式可分为3类:公有云、私有云和混合云,下面将逐一介绍。(1)公有云
公有云是由云业务提供商构建并所有,部署在公司内部的安全域内,通过外部接口与外界公共互联网、移动互联网相连接,向外部用户(公众或某个很大的业界群组)提供云服务或提供对外开放能力等。公有云所有业务供外界用户使用,用户只需为公有云提供业务资源付费即可。云用户所使用的程序、服务及相关数据都存放在公有云中,自己无需做相关投资和建设。云业务供应商负责为软件、应用程序基础架构、物理硬件基础设施的安装、管理、供给和维护。公有云的缺点是在提供业务时可能会跨越国界,触及国家或地区安全法规合规性问题,从而限制其业务正常开展。公有云代表实例如下。
亚马逊的 AWS 产品线是最具代表性且用户数量最多的公有云之一,它以提供IaaS服务为主,提供S3(一种简单的存储服务)、EC2(弹性可扩展的云计算服务器)、Simple Queuing Service(一种简单的消息队列)及仍处在测试阶段的Simple DB(简单的数据库管理)等多种云计算服务。S3可以提供无限制的存储空间,让用户存放文档、照片、视频和其他数据。使用EC2服务的用户可以选择不同的服务器配置,对实际用到的计算处理量进行付费。(2)私有云
私有云是由云业务提供商(企业或某个组织)构建并所有,部署在自身内部安全域内、专供企业内部人员或系统内分支机构使用的云架构体系,其所有服务均不提供给外部用户使用。私有云的基础设施是专为企业或组织内部为实现内部业务所设计的,由企业自身负责配置、运维、托管、管理等任务,可以提供场内服务(on-premises),也可以提供场外服务(off-premises)。
私有云的部署比较适合具备众多分支机构的大型企业或政府部门。私有云的一大特点就是具备细粒度的资源可控性、安全性。随着这些大型企业数据中心的集中化,私有云将会成为IT部署系统的主流模式。根据2012中国云安全调查结果,发现目前已有22.8%的受访用户正在使用私有云,另有50%的用户考虑使用私有云,两者之和达到了七成以上,私有云成为此次调查中用户最认可且安全的云模式。私有云的缺点是其持续运营成本可能会超出使用公共云的成本。私有云代表实例如下。
私有云目前的发展趋势是集合硬件、软件和服务于一体的整体解决方案,IBM推出的“蓝云”计算平台就是其中之一,它为客户带来即买即用的云计算服务。IBM 的“蓝云”计算平台是一套软、硬件平台,将Internet上使用的技术扩展到企业平台上,使得数据中心使用类似于互联网的计算环境。“蓝云”大量使用了IBM的大规模计算技术,结合IBM自身的软、硬件系统及服务技术,支持开放标准与开放源代码软件。(3)混合云
根据美国国家标准技术研究所(NIST)SP 800-145中的定义,混合云是“两个或两个以上保持各自实体独立性的不同云基础设施(私有云或公共云)形成的一个组合,该组合采用的标准或专用技术可实现数据和应用程序的可移植性。”混合云是公共云和私有云的混合。实际上,它是公有云与私有云之间的一个妥协产物,可提供各种最佳特性。例如,公有云聚集资源的灵活性和可用性,以及私有云的定制服务与内部安全性。
混合云一般由企业创建,而管理职责由企业和云服务提供商共同分担。混合云既提供公共互联网对外服务,又提供企业内部服务。当企业或机构需要同时使用公、私有云服务时,混合云是一种较为理想的方案。混合云可以为某些关键业务流程(如接收客户支付)及辅助业务流程(如员工工资单流程)提供服务。混合云的主要缺陷是很难有效创建和管理此类解决方案,公有和私有云组件之间的交互会使实际部署更为复杂。由于这是云计算中一个相对新颖的体系结构概念,在未了解清楚其架构体系之前,一般企业、机构都不太愿意采用此种云部署方式。混合云代表实例如下。
NetApp和Amazon Web Services (AWS)的组合即为混合云的一个典型实例。其中,AWS的NetApp Private Storage可让企业构建一个平衡专用资源和云资源的云基础设施。1.6 云计算行业应用
近几年来,云计算的概念被越来越多的人所熟悉,云计算的应用领域也越来越广泛,云计算已成为当前信息技术领域的热门话题之一。它体现了“网络就是计算机”的思想,将大量计算资源、存储资源与软件资源链接在一起,形成巨大规模的共享虚拟IT资源池。基于云计算的IT基础设施建设模式为产业带来了节省成本、拓展应用及更加充分利用资源的全新思路,推动了IT产业向绿色环保和资源节约型方向发展,这符合产业发展中控制成本、节省资源、减少排放、保护环境等多方面的需求趋势。云计算也为涉及IT服务、互联网和移动互联网的多种应用行业开拓了全新的商业模式和建设思路,成为信息服务业发展的重要方向。(1)政府及公共事业
政府行业将云计算技术逐步转化为实际应用,一方面是面向政府工作人员,成为政府办公、计算平台的“政务云”,另一方面是面向普通公众,成为“公共服务云”。
具体而言,“政务云”是政务信息化和业务协同的平台,可提供统一政府电子邮件、数据的存储处理、城市应急指挥、人口管理、城市减灾和风险管理、食品安全等多种政务功能。下面举一个电子政务云实例:2011年,北京市海淀区信息办主导的海淀区电子政务网络系统信息安全工程全面启动,该项目通过采用集中部署分布式服务的IaaS“云安全”服务模式,在海淀区电子政务网络系统中加装部署20台基于全程全网协同管控管理模式的CTM设备,以面向接入层的云安全服务的方式实现对海淀区重点政务网络中的信息事无巨细地24 h全过程录像,落实全面监测和感知网络威胁和违法违规实时发现预警、安全事件事后追查的网络秩序化管理手段和措施,避免了传统上基于已知特征“被动防御”式的网络安全防御的局限性。“公共服务云”可面向公众提供统一税收、缴费、信息发布、意见征询等涉及民生的多种服务。下面举一个“公共服务云”的实例:2012年,北京市海淀区启动了社会组织公共服务“云平台”建设项目,并开展意见征集和需求调研工作。“公共服务云平台”通过云计算及网络技术,实现海淀区社会组织的信息展示、项目征集与管理、行业信息共享等,实现社会组织的资源整合,使社会组织中的人、财、物都得到切实合理的利用,发挥其最大的效能,真正做到资源共享服务于社会、政府服务与管理社会组织并举。
由于政府云计算中心可提供对海量数据存储、分享、挖掘、搜索、分析和服务的能力,使得数据能够作为无形资产进行统一有效的管理,通过对数据集成和融合技术,打破政府部门间的数据堡垒,实现部门间的信息共享和业务协同。“政务云”和“公共服务云”将极大地提高政府信息化水平和办公效率,并大幅节约政府IT建设开支,实现绿色办公。(2)制造业:云计算发力制造业运营模式创新
面向制造业的专业服务运营商将提供基于 PaaS、SaaS 模式的软件开发和服务,为制造业企业提供包括产品、技术、平台和运维管理在内的全面支持,使制造业企业将更多的精力放在制造的业务层面上,而非IT基础设施的建设与运维。在PaaS模式下,用户首先采用云计算运营商支持的编程语言和工具编写相应的应用程序,然后放到云计算平台上运行;在 SaaS 模式下,用户既可以获得低廉的ERP、CRM等企业信息化解决方案及服务,又可以进行快速有效的仿真模拟。通过这种购买服务的方式,企业可以降低设计与制造成本,大幅缩短企业产品升级换代周期,提高产品性能,提升企业信息化能力,大幅提升工业企业的自主创新效率,并推动企业核心竞争优势的提升。(3)电信:借势发力,对内对外双重“整合”
伴随数据量和带宽增加以及移动互联的发展,要求电信运营商走向云计算,否则其运营效率和模式都不具备长期竞争力。依托云计算,国内电信企业也将借势发力,成为云计算产业的主要受益者之一,从提供的各类付费性云服务产品中得到大量收入,实现电信企业利润增长,通过对国内不同行业用户需求分析与云产品服务研发、实施,打造自主品牌的云服务体系。对内进行业务系统 IT 资源整合,提升内部 IT 资源的利用率和管理水平,降低业务的提供成本;对外通过云计算构建新兴商业模式的基础资源平台,提供公用 IT 服务,提升传统电信经济的效率,加速电信运营商平台化趋势与产业链的整合趋势,并在应用层面推动云计算的落地。(4)金融与能源:信息化整合的“关键武器”
金融、能源企业一直是国内信息化建设的“领军性”行业用户,在未来3年里,中国石化、中保、农行等行业内企业信息化建设将进入“IT资源整合集成”阶段,在此期间,需要利用“云计算”模式,搭建基于IaaS的物理集成平台,对各类服务器基础设施应用进行集成,形成能够高度复用与统一管理的IT资源池,对外提供统一硬件资源服务,同时在信息系统整合方面,需要建立基于PaaS系统的整合平台,实现各异构系统间的互联互通。因此,云计算模式将成为金融、能源等大型企业信息化整合的“关键武器”。
金融业的数据信息直接涉及到社会各个方面的经济利益,所以保障这些信息安全的重要性是不言而喻的。因此,云计算在金融行业中遇到的首要问题是如何保障信息的安全可靠,包括避免数据信息泄漏、非法使用、丢失及保证信息的真实可靠等。(5)教育:云计算为教育信息化服务
目前,云计算已经在清华大学、中国科学院等单位得到了初步应用,并取得了很好的应用效果。在未来,云计算将在我国高校与科研领域得到广泛的应用普及,各大高校将根据自身研究领域与技术需求建立云计算平台,并对原来各下属研究所的服务器与存储资源加以有机整合,提供高效可复用的云计算平台,为科研与教学工作提供强大的计算机资源,进而大大提高研发工作效率。
此外,云计算在构建网络学习环境、提高网络教育效率及整合教育资源等方面发挥重要作用。通过云平台实现教育资源的开放和共享,以用户为中心,通过云计算平台强大的计算能力、快捷的数据检索、智能的数据处理、人性化的服务,有效地提高人们的学习效率。(6)医药医疗:云计算助推新医改
医药企业与医疗单位一直是国内信息化水平较高的行业用户,在“新医改”政策推动下,医药企业与医疗单位将对自身信息化体系进行优化升级,以适应医改业务调整的要求。在此影响下,以“云信息平台”为核心的信息化集中应用模式孕育而生,逐步取代目前各系统分散为主体的应用模式,进而提高医药企业内部信息共享能力与医疗信息公共平台的整体服务能力。(7)云计算推动农业信息化建设
通过与骨干网络等基础设施建设的配合,对农业生产的各种要素进行数字化设计、智能化控制、精准化运行、科学化管理,实现云服务与农业发展紧密结合,从而推动农业信息化的建设。农业生产方面,可以指导生产者、经营者和管理者将农产品顺利进入市场,实现农业增产、农民增收;在农民生活方面借助信息传播媒体,设计并提供针对农村、农业、农民特点和使用习惯的软件与服务,以提高农民生活质量。1.7 云计算带来的机遇与挑战
云计算这一技术变革彻底改变了传统的IT产业环境,对人们的生产生活产生了深远的影响,具有极其重大的意义。云计算相关技术的部署给整个云计算产业链带来机遇的同时,也带来了众多的挑战。1.7.1 云计算带来的机遇
云计算是一场改变IT格局的划时代变革。云计算庞大的市场规模超乎想象。中国云计算产业发展路径与国外云计算以市场需求驱动企业自主发展为主的情况有很大不同。由于市场结构、技术发展阶段、投资习惯等原因,未来中国的云计算发展将首先以政府采购及企业自主购买两方面同时发展,并最终带动全社会实现云计算的普及化。中国云计算产业生态系统正在加速形成和完善,云产业发展迎来空前良机。(1)政府大力扶持,战略结构转型
云计算作为“十二五”战略性新兴产业之一,得到了政府的大力扶持。中国政府始终积极地推动云计算的发展,并将其列为未来几年IT 发展的战略重点之一。中国政府不仅是政策制定者,而且还是大买家,对IT产业有着强大的影响力,并且正在利用这种影响力推动整个ICT产业朝云的方向发展。
目前各地方政府的云计算发展如火如荼。在电子政务建设领域,“政府云”的建设可以提高设备资源利用率,推动信息资源整合,优化服务效率。通过云平台可以提高政府信息平台的安全性,同时也提升了政府数据的公开性和管理的“透明度”,带来政府管理的创新。结合“政府云”及地方信息产业发展状况,中国已有30多个地方政府公布了云计算产业发展规划,相继出台了产业发展规划、行动计划,鼓励建设示范试点工程,制定了土地、税收、资金等方面的优惠政策,以推动中国信息基础设施建设和信息化进程。(2)提升信息服务水平,深化产业改革
云计算产业具有极大的产业带动力量,在云计算的驱动下,新的业态和新的商业模式层出不穷,各种融合式创新将不断涌现。以物联网、移动互联网为代表的新一代信息技术的交叉应用市场也在快速成长,各地“智慧城市”建设逐步落地,这些领域的深化必将推动中国整体IT业产值的大幅提升。
2012年的Gartner调研报告显示,与其他国家的同类企业相比,中国企业的态度令人惊讶,它们很可能是采用固态硬盘(SSD)和云计算等先进存储技术的先驱。中国云计算产业有望在2015年占到战略性新兴产业规模的15%以上。(3)实现降本增效,落地节能减排
近年来,各地信息系统不断建设,各级政府、企业均投入巨资采购大量硬件设备,建设多个应用系统,但是普遍出现设备资源利用率低、重复建设严重、信息系统运维难、人工成本和能源消耗巨大等问题,提高设备资源利用率、避免重复建设、降低维护成本成为各级数据中心迫在眉睫的需求。
云计算可以提高现有设备运行效率,并减少总体拥有成本(TCO)。同时,云计算对IT资源的集中和整合使用可以减少设备规模,及时关闭空闲资源,有效降低能源消耗,提高资源利用率,推动国家节能减排政策的落地。
随着“云生态系统”的不断发展和完善,云计算在民生、电子政务、城市管理等多个领域信息化水平提升方面发挥越来越大的作用。通过提供海量数据存储和强大的数据处理能力,云计算能够为科技创新提供坚实基础,提高科技创新能力,并缩短产品和服务进入市场的周期,提高用户业务的敏捷性和动态性。在支撑中小企业信息化升级的同时,保障国家经济平稳较快发展。1.7.2 云计算带来的挑战
云计算在带来很多便利和优势的同时,也带来了许多新的挑战。成功应用云计算,必须面对一系列的挑战,包括新IT基础设施的挑战、用户隐私的挑战、安全的挑战、数据主权的挑战及新标准的挑战。相对而言,云计算在中国起步、研发、应用、推广等环节比较晚,目前还需要解决以下几大方面的问题。(1)云数据中心部署结构不够合理,资源利用率较低
利用云计算技术进行整合升级,提升数据中心规模,发挥集约优势成为云计算发展的重要趋势。据统计,大型数据中心的节点平均能耗仅为中小数据中心的七分之一左右。然而,在规模结构方面,中国大规模数据中心比例偏低,大型数据中心发展规模甚至不足国外某一互联网公司总量,目前还没有实现集约化、规模化建设。同时,一些地方投入巨资建成了所谓的“云清洗”系统,资源利用率却不足,使得云计算中心成了给政府贴金的“形象工程”和“卖地工程”。一些地方缺乏对云计算的系统全局认识和思考,缺乏技术研究、项目建设的经验,存在一哄而上、投资过热的情况。因此,云产业建设还需要进一步的合理规划。(2)云服务能力亟待提高,配套资源缺乏
国内云计算服务能力与美国等发达国家相比仍有较大差距,公共云计算服务业的规模相对较小,业务较为单一,配套环境建设滞后。随着 Google、Amazon等企业加速在全球和中国周边布局,云计算服务向境外集中的风险将进一步加大。同时暴露出国内云计算标准规范、第三方评估认证审计等配套支持环节明显不足等问题。
从平台统一角度看,目前云计算还没有形成统一的标准,服务器商众多,不同厂商的解决方案不同,各云计算平台之间不可实现互操作,从而直接影响了云计算的大规模市场化和商业应用。
从系统管理角度看,互操作性是需要解决的首要问题。当一个云系统需要访问另一个云系统的计算资源时,必须要对云计算的接口制定合理高效的交互协议,使得不同云计算服务提供者相互合作,以便更好地发挥云计算服务的优势。
从用户体验的角度看,用户使用云计算离不开网络,稳定、高速的带宽是提供云计算服务的保障。此外,在云计算网络中完成信息的高效处理,云计算集群服务器要具备较高的性能,需要提供高性能的通信设备。(3)信息安全法律法规和监管体系不够健全
从数据安全的角度看,虽然云计算为存储数据提供了无限的空间,也为数据的处理提供了无限的计算能力,但是用户对于托管自己加密数据的云服务提供商能否确保数据的安全这一问题还存在质疑。而且在使用云计算服务时,用户往往不清楚自己数据存放的位置,这样就会导致用户对数据安全的担心,云计算架构于互联网之上,传统安全问题依然存在,如病毒、木马的入侵、隐私信息的泄露等,新的安全问题也将浮出水面。另外,身份认证、授权与访问控制、责任认定、安全与隐私等技术问题也都还处于探索阶段。
在与云计算安全相关的数据及隐私保护、安全管理、网络犯罪治理方面,中国的云计算产业生态有较大缺失。同时,由于对安全的担心和其他顾虑,云计算服务在中国的使用率相比美国等发达国家较低。(4)云人才缺口,缺乏成熟商业模式
据数据显示,中国云计算人才缺口达百万级,2012年与云计算相关的职位增长超过150%。云产业生态需要IT和CT产业融合发展,需要复合型人才梯队的培养和建设。因此,学科融合和复合型人才培养尤为重要。云计算企业的崛起,将进一步加大相关技术岗位的招聘需求,特别是那些具备软硬件知识、懂技术、懂运营、懂市场的全能型IT人才,无疑将成为中国云计算发展的核心力量。
在技术浪潮和产业热情推动下,一大批厂商进入中国云计算市场,但由于目前尚未形成有效的评价、资格认证和准入机制,云计算市场上鱼龙混杂,大型、可信赖的服务提供商和行业普遍认可的成功应用实践案例匮乏,一定程度上制约了产业规模的扩张与进一步的有序发展。
在中国,云计算作为一个新兴应用,目前依旧处于发展初期,用户对技术成熟度、系统安全性、方案有效性、建设成本等方面存在较大顾虑。企业在大规模云计算系统管理、支持虚拟化的核心芯片等一些制约云产业发展的关键产品和技术方面仍亟需突破。与此同时,成熟的商业模式、统一的标准规范及合理完善的法律法规监管体系的建设需要同步加强,通过产业链的整体提升,实现中国云计算在新一轮IT产业浪潮中立于不败之地。1.8 小结
云计算技术的兴起已经逐步改变了人们的生活方式,云计算不仅有效地提高网络、计算、存储等系统资源利用率,而且已经改变了现有的 ICT 商业运营模式。因此,云计算已成为 ICT 产业最热门话题之一。人们纷纷投入到云计算产业,争相研究云计算相关技术与业务模式,不断挖掘这一新兴市场的潜力。为了让读者更好地了解云计算相关背景,本章首先回顾了云计算的发展历程,根据业内对云计算的认知,提出了云计算的定义,并梳理了云计算具备的几大特征。随后从云计算的服务类型和部署方式阐述了云计算能够给用户提供的各种服务,并从多种行业应用的角度分析了云计算的出现对现有产业链所产生的影响。最后从多方面分析了云计算带来的机遇与挑战,并点出了安全方面的挑战,以引出后续的云安全话题。参考文献
[1]FINN A, VREDEVOORT H, LOWNDS P, FLYNN D.Microsoft Private Cloud Computing[M].John Wiley & Sons, 2012.1-11.
[2]Cloud computing[EB/OL].http://en.wikipedia.org/wiki/Cloud_computing.
[3]CHAVES D S A, URIARTE R B, WESTPHALL C B.Toward an architecture for monitoring private clouds[J].IEEE Communications Magazine, 2011, 49(12), 130-137.
[4]Getting started with AWS[EB/OL].http://docs.aws.amazon.com/gettingstarted/latest/awsgsg-intro/gsg-aws-intro.html.
[5]IBM smartcloud[EB/OL].http://www.ibm.com/cloud-computing/us/en/.
[6]National institute of standards and technology[EB/OL].http://www.nist.gov/ index.html.
[7]刘鹏.云计算(第2版)[M].北京:电子工业出版社, 2011.
[8]BAUER E, ADAMS R.Reliability and Availability of Cloud Computing[M].Wiley-IEEE Press, 2012.
[9]SHAIKH F B, HAIDER S.Security threats in cloud computing[A].Internet Technology and Secured Transactions(ICITST)International Conference[C].2011.214-219.第2章 理解云计算安全
如第1章所述,在云计算技术不断演进的过程中,频繁出现的安全问题已经成为制约云计算系统、云计算业务正常发展的“绊脚石”。为了消除安全隐患,云计算产业链成员纷纷投入到云安全解决方案、系列产品、软硬件的研发当中。但是,不同成员对云安全的理解、认知、定义不同,导致用户对云安全内涵理解不到位,认为云安全的范围模糊,不好界定。因此,本章对目前业内的云安全定义进行梳理,系统地归纳了云安全的两方面内涵:云自身安全与云计算安全应用。本书后续章节均以云自身安全为出发点,以保护政府、企业拥有的云平台、云系统安全为目标,开展后续云安全威胁、云安全标准、云安全技术、云安全实践的讨论。2.1 云计算安全定义“云安全”这一概念于2008年成为信息安全界的热点,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,被认为是网络信息安全的最新体现。云安全发展初期曾经引起不小的争议,许多人曾认为它是伪命题,现在云安全这一说法已经被广泛接受,业内安全厂商瑞星、趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360等都推出了云安全解决方案。
从另一个角度看,云安全也指通过法规政策与安全技术手段对政府、企业的云计算平台、业务应用等多层面采取预防、监控、恢复、评估等机制,以抵御来自外部网络的恶意攻击,同时防止云平台中核心资源遭到破坏、用户隐私发生泄露。
本书认为,云计算安全这个概念包括两层含义。(1)云计算技术在安全领域的应用(云安全应用)
其含义是通过云计算特性来提升安全解决方案的服务性能,属于云计算技术的安全应用。例如,安全厂商开发了基于云的防病毒技术、挂马检测技术,这些解决方案可以对大量客户端软件的异常行为进行监测,发掘互联网木马、恶意程序的最新信息,推送到云端进行自动分析和处理,再把病毒和木马的解决方案分发至每一个客户端。(2)安全技术在云环境下应用(云自身安全)
试读结束[说明:试读内容隐藏了图片]