各位戰友
今天我們開始來攻克第一章的基本觀念
雲端概念、架構與設計
(NIST)(SP) 800-145
雲端運算定義:雲端運算因為透過網路達到快速便捷、按照自己的需求進行快速配置的電腦資源(例如網路、伺服器、儲存、應用程式和服務)並且僅需少量的管理工作或透過雲端服務提供者進行設定。
ISO/IEC 17788,「雲端運算 」
• 雲端應用程式-不在使用者裝置上駐留或執行的應用程式而是透過網路存取。
• 雲端應用程式可攜性-從雲端應用程式遷移雲端應用程式的能力一個雲端提供者到另一個雲端提供者。
• 雲端運算-透過網路存取的平台,透過網路提供服務大型且可擴展的系統池,而不是專用的實體硬體和配置。
• 雲端資料可攜性-在雲端供應商之間移動資料的能力。
• 雲端部署模型 雲端運算如何透過一組交付虛擬資源的特定配置和特性。 有公共、私有、混合和社區。
• 雲端服務-透過雲端提供者提供並透過用戶端存取的功能。
• 雲端服務類別-一組具有共同的雲端服務特點或品質。
• 社區雲 一種雲端服務模型,租戶僅限於存在共同的關係,有共同的需求,並且由至少一名社區成員控制。(如電玩社群)
• 資料可攜性-無需任何操作即可從一個系統或另一個系統移動資料的能力。
• 混合雲 結合了其他兩種雲端類型的雲端服務模型部署模型。
• 基礎設施即服務 (IaaS) 一種雲端服務類別,其中基礎架構級服務(例如處理、儲存和網路)由雲端提供服務提供者。
• 計量服務 雲端服務以計量方式提供和計費。
• 多租戶擁有多個客戶和應用程式在其中運行相同的環境,但在某種程度上彼此隔離通常彼此不可見,但共享相同
的資源。
• 按需自助服務 雲端客戶可以自動提供服務需要時,不須CSP參與。
• 平台即服務 (PaaS) 一種雲端服務類別,其中平台服務、例如Azure或AWS,提供給雲端客戶,且雲端提供者負責系統直至實際應用程式的層級。
• 私有雲 擁有與控制雲端的雲端服務模型由單一實體出於自身目的而實施。
• 公有雲 雲端服務模型,其中雲端被維護和由雲端提供者控制,但服務可供任何潛在的雲端客戶使用。
• 資源池-分配給雲端客戶的資源的聚合由雲端提供者。
• 可逆性-雲端客戶刪除雲端環境中所有資料和應用程式的能力以及以最小的影響進入新環境的能力到操作。
• 軟體即服務 (SaaS) 一種雲端服務類別,其中完整的應用程式提供給雲端客戶,雲端提供者維護負責整個基礎設施、平台和應用程式。
• 租戶 一個或多個雲端客戶共享
ISO/IEC 17788雲端運算角色
• 雲端審核 cloud auditor -專門負責進行審核的審核員雲端系統和雲端應用程式。
• 雲端服務代理 cloud service broker -充當雲端之間中介的合作夥伴。服務客戶和雲端服務提供者。
• 雲端服務客戶 cloud service customer -與雲端服務供應商保持服務業務關係的客戶
• 雲端服務合作夥伴 cloud service partners -與雲端服務商合作協助雲端服務及其服務的服務供應商。
• 雲端服務供應商 向雲端服務客戶提供雲端服務的提供者。
• 雲端服務使用者 與雲端服務互動並使用雲端服務提供的服務的使用者。
雲端運算的五個基本特徵。
• 按需自助服務 (快速記憶如 Web API) Pay AS you go
• 廣泛的網路存取 (如BYOD)
• 資源池 (請想到 預約 限制 分享這三者的不同)
• 快速彈性
• 測量服務 (如儲存、網路、記憶體、處理、節點、虛擬機器的數量、用戶數量)。請記得與SLA連結
三種服務模式分別是軟體即服務(SaaS)、平台即服務(PaaS)和基礎設施即服務 (IaaS)。
雲端服務有四種部署模式:公有、私有、社群和混合雲。
雲端服務客戶cloud service customer (CSC) 是購買雲端服務的公司或個人,或是指使用雲端服務的員工。
CSP 是提供雲端服務的公司或其他實體。
雲端服務合作夥伴是使用關聯的 CSP 提供各種基於雲端的服務(基礎設施、儲存和應用程式服務以及平台服務)的第三方。CSP 全權負責營運問題,例如區域內的環境控制資料中心,以及實體存取控制等安全問題。
雲端服務經紀人與任何行業的經紀人類似。公司透過經紀人來尋找滿足他們的雲端運算需求的解決方案。
雲端的構建技術包含CPU、RAM、網路、儲存和設定編排。
雲端服務能力
• 基礎設施服務能力-雲端客戶可以配置並擁有對處理、儲存和網路資源的大量配置控制。
• 平台服務能力-雲端客戶可以部署程式碼和應用程式使用由以下人員維護和控制的程式語言和函式庫雲端提供者。
• 軟體服務能力-雲端客戶使用成熟的軟體服務能力雲端提供者提供的應用程序,用戶配置最少允許的選項。
IaaS基礎設施服務能力:
提供給消費者的能力是在消費者能夠的情況下提供處理、儲存、網路和其他基本運算資源部署和運行任意軟體,其中可以包括作業系統和應用程式. 消費者無法管理或控制底層雲基礎設施,但可以控製作業系統、儲存和部署的應用程式; 並且可能對選定的網路組件進行有限的控制(例如,主機防火牆)
優點
• 可擴充性
• 實體硬體的擁有成本
• 高可用性
• 實體安全需求
• 位置和存取獨立性
• 計量使用
• 「綠色」資料中心的潛力
PaaS平台服務能力
讓客戶透過軟體完全專注於其核心業務功能和應用程式級別,無論是在開發還是生產環境中,而不必擔心典型資料中心營運級別的資源。消費者創建或購買的使用程式語言創建的應用程序,提供者支援的庫、服務和工具。客戶不管理或控制底層雲端基礎設施,包括網路、伺服器、作業系統或存儲,但可以控制已部署的應用程式和應用程式託管環境的可能配置設定
優點
• 自動縮放
• 多主機環境
• 環境的選擇
• 靈活性為開發團隊提供了極大的測試和維護便利性在平台甚至雲端提供者之間移動。
• 易於升級底層作業系統與平台
• 成本效益
• 易於存取 但雲端安全專業人員需要了解任何潛在的合約或監管要求。 例如,對於許多政府合同,可能是開發團隊或系統和資料託管的要求受到某些地理或政治邊界的限制。
• 授權由CSP負責
SaaS軟體服務能力
是一個功能齊全的軟體應用程序,供客戶使用,其中維護系統、補丁和操作的所有底層責任和操作都由CSP負責
雲端服務提供者向客戶提供的功能是使用提供者在雲端基礎架構上運行的應用程式。 可以從各種客戶端存取這些應用程式透過瘦客戶端介面(例如網頁瀏覽器(例如基於網路的電子郵件))或程式介面來連接設備。 消費者無法管理或控制雲端底層基礎設施,包括網路、伺服器、作業系統、存儲,甚至單一應用程式功能,除了有限的用戶特定應用程式設定。
優點
• 支援成本與工作量
• 降低整體成本
• 授授權成本為雲端提供者的責任
• 標準化 修補和版本控制以及配置基線和要求都由雲端供應商處理
公有雲
NIS SP 800-145 的定義:雲端基礎設施供公眾開放使用。 可能是由商業、學術或政府組織或其某種組合擁有、管理和營運。 它存在於雲端提供者的本地。
優點和特點
• 設定 對於客戶來說,設定非常簡單且成本低。
• 可擴展性
• 合理調整資源規模 客戶只需為隨時使用且需要的資源付費
私有雲
私有雲由其所服務的組織運作並僅限於其服務的組織。 私有雲模型也可以向其他實體開放,向外擴展,包括開發商、員工、承包商和分包商作為潛在的合作者和其他可能提供補充服務或子組件的公司。
NIS SP 800-145 的定義:
雲端基礎設施由單一組織獨家使用包括多個消費者(例如業務單位)。 它可以被擁有、被管理、並由組織、第三方或它們的某種組合運營,並且它可能存在於場所內或場所外。
主要優點和特點
•所有權保留
• 控制系統
• 專有資料和軟體控製
社群雲
社群雲是類似組織之間的協作,結合了提供私有雲的資源。 它與私有雲相當,但私有雲的多重所有權和/或控制權與單一所有權不同。
NIST SP 800-145 定義:
雲端基礎設施供特定社區專用來自具有共同關注點(例如使命、安全)的組織的消費者要求、政策和合規性考量)。 它可以被擁有、被管理、由社區中的一個或多個組織、第三方經營,或它們的某種組合,並且可能存在於場所內或場所外。
混合雲
顧名思義,混合雲結合了私有雲和公有雲的使用完全滿足組織需求的模型。
NIST SP 800-145定義:
雲端基礎設施是兩個或多個不同的雲端基礎設施(私有、社群或公有)的組合,這些基礎設施仍然是唯一的實體,但受到約束透過標準化或專有技術結合在一起,實現資料和應用程式的可移植性(例如,雲端破壞或雲端之間的負載平衡)。基於關鍵特性的混合雲模型的主要優點和特性以及公有雲和私有雲模型的優勢,這些都是該雲的關鍵特性混合模型:
• 拆分系統進行最佳化
• 在內部保留關鍵系統
• 災難復原
• 可擴充性
雲端共享注意事項
Interoperability互通性
是指人們可以輕鬆地移動或重複使用應用程式或服務的元件。
SLA 將確定和測試雲端服務所需的效能、可用性和彈性。
Portability可(便)攜性
它允許資料在不同的環境之間輕鬆、無縫地移動。
服務等級協定 (SLA)
合約會詳細說明服務的一般條款和成本,而 SLA 是
業務關係和具體要求的真正實質所在。 SLA 明確規定了正常運作時間、可用性、流程、客戶服務和支援、安全控制和要求、審核的最低要求和報告,以及可能定義業務關係的許多其他領域以及它的成功。
監管要求
是對企業及其營運施加的要求法律、法規、政策或標準和指南。
安全
根據公司政策和任何法規或合約要求,不同的應用程式和系統將有自己的
特定的安全要求和控制。透過在合約談判中得到緩解,雲端提供者實現安全性的主要方式是設定基準和最低標準,同時提供一套通常需要支付額外費用的安全附加元件或擴充套件。
隱私
雲端提供者通常會制定適當的機制來將系統託管在根據客戶的要求和法規確定地理位置,但雲端安全專業人員有責任驗證並確保這些機制運作正常。 合約要求需要在雙方之間明確闡明客戶和雲端供應商,嚴格的 SLA 和審計合規性的能力同樣重要。
可審計性
大多數領先的雲端供應商為其客戶提供大量的審計、包括顯示使用者活動、控制合規性和運行的法規、系統和流程以及它們的作用的解釋如資訊、資料存取和修改記錄。雲端環境的可審計性是雲端安全專業人員需要特別關注的領域
因為客戶無法像現實中那樣完全控制環境專有的傳統資料中心模型。由雲端提供者來公開向客戶進行審核、記錄和報告,並盡職調查並提供證據證明它們是
捕獲其環境中的所有事件並正確報告它們。
治理
治理的核心涉及分配工作、任務、角色和責任,並確保它們得到令人滿意的履行。大多數雲端提供者都提供廣泛且定期的報告和指標,無論是從門戶網站即時獲取或以定期報告的形式。
維護和版本控制
由於雲端服務類別的類型不同,合約和協議非常重要。SLA 明確規定維護責任。 透過 SaaS 實施,雲端供應商基本上負責所有升級、修補和維護,而對於 PaaS,當然還有 IaaS,有些職責屬於雲端客戶,而其餘的由雲端提供者保留。
Reversibility可逆性
是指雲端客戶將其所有系統和資料撤出的能力可逆性也包括平穩過渡到的能力
不同的雲端供應商,對營運影響最小。
外包
就是僱用外部實體來完成公司需要完成的工作或組織通常會透過自己的員工來完成。