云计算安全:关键技术、原理及应用
上QQ阅读APP看书,第一时间看更新

1.1 云计算概述

云计算是集成了计算机技术、信息技术、软件技术、互联网技术等相关技术的一种服务模式。云计算把许多计算资源、存储资源以及软件服务集合起来,作为服务资源池,以不同的服务模式,通过网络提供给用户,利用软件实现自动化管理,并能实现资源的弹性扩展和收缩,满足用户对不同环境及资源的要求。云计算使得计算、存储、软件服务等能力作为一种商品,通过互联网提供,价格较为低廉,使用非常方便。

1.1.1 云计算的概念

传统信息化的业务应用正在变得越来越复杂笨重,业务间关联越来越强。随着用户数量的急剧增加,对计算能力、数据存储能力、稳定性和安全性带来了巨大挑战。为了适应不断增长的业务需求,企业不得不去购买各种软件(应用软件、数据库,中间件等)和硬件设备(存储、服务器、负载均衡等),还必须组建一支技术团队来支持这些设备、软件的正常运作。随着企事业单位业务的不断增加和变化,支持这些应用的开销变得非常巨大,而且维护成本也会随着信息系统数量或规模的增加而呈几何级数增加。

利用云计算,用户能以按需购买服务的方式,通过网络获得可配置的共享资源池(包括计算、存储、软件、应用服务等不同类型的资源),用户仅需较少的代价即可获得优质的IT资源和服务,避免了前期基础设施建设的大量投入,同时,用户只需要投入管理工作,即可完成信息化的快速扩展,而且与服务供应商的交互较少。

云计算是一种以服务为特征的计算模式,它通过对各种计算资源进行抽象,以新的业务模式提供高性能、低成本的持续计算、存储空间及各种软件服务,支撑各类信息化应用,能够根据需求弹性合理配置计算资源,提高计算资源的利用率,降低成本,促进节能减排,实现真正理想的绿色计算。

云计算由一个可配置的共享资源池组成,该资源池提供网络、服务器、存储、应用与服务等多种硬件与软件资源。资源池具备自我管理能力,用户只需少量参与就可以方便、快捷地按需获取资源。云计算提高了资源可用性,具有按需自助服务、泛在接入、资源池化、快速伸缩性与服务可度量等5个基本特征,提供了软件即服务(SaaS)、平台即服务(PaaS)与基础设施即服务(IaaS)等3种服务模式,以及私有云、公有云、社区云和混合云等4种部署模式,能够满足绝大多数应用需求。

1.1.2 云计算主要特征

根据NIST给出的定义,云计算有五个基本特性。

· 按需自助服务:消费者能够根据自己的具体需求按需调配计算资源,如服务器时间、网络带宽存储容量、网络流量的多少等。

· 泛在接入:利用各种客户端(移动电话、平板计算机、便携式计算机和工作站)使用标准机制通过网络访问资源。

· 资源池化:通过多租户模型,供应商的计算资源池可服务多位消费者,根据用户需求动态或重新分配不同的物理和虚拟资源。资源与位置无关,用户通常无法控制或知道资源的精确位置,但可以在更高层抽象(如国家、洲或数据中心)上指定位置。资源主要包括存储资源、计算资源、内存资源和网络带宽等。

· 快速伸缩性:资源能被弹性配置和发布,在有些场景下,可按需自动而快速地横向扩展和收缩。对于消费者而言,可调配的资源总量是无限的,可在任何时候使用任意数量的资源。

· 服务可度量:云计算系统能够自动控制并优化资源的使用,通过适用于服务类型的某些抽象层级的度量机制(如存储、处理器、带宽以及活动的用户账户等),能够监测、控制和报告资源使用率,为服务提供商和消费者提供透明的服务使用情况。

1.1.3 云计算服务模式

根据NIST给出的定义,云计算有如下三种服务模式。

· 软件即服务(Software-as-a-Service,SaaS):提供给消费者的资源是运行在云计算基础架构上的应用程序。各种客户端通过接口访问该应用程序,如Web浏览器或程序接口。消费者并不管理或控制底层的云计算基础架构,包括网络、服务器、操作系统、存储,甚至应用程序本身的功能,只允许部分有权限的用户修改特定的应用程序设置。

· 平台即服务(Platform-as-a-Service,PaaS):提供给消费者的资源是可供用户开发、运行和管理应用的平台,可以是由服务商支持的编程语言、数据库、中间件服务和工具等。消费者不需要管理或控制底层云计算基础设施,包括网络、服务器、存储等,但对部署的应用程序有控制权,还可以配置应用程序所在的宿主环境。通过PaaS这种模式,用户可以在一个提供SDK工具包、文档、测试环境和部署环境等在内的开发平台上非常方便地编写和部署应用,而且不论是在部署,还是在运行的时候,用户都无须为服务器、操作系统、网络和存储等资源的运维而操心,这些烦琐的工作都由PaaS云供应商负责。PaaS是非常经济的。PaaS主要面向的用户是开发人员。

· 基础架构即服务(Infrastructure-as-a-Service,IaaS):提供给消费者的资源是可调配的处理器、存储、网络以及其他可用于运行任意软件的基础计算资源,包括操作系统和应用程序。消费者并不管理或控制底层云计算基础架构,但可以控制操作系统、存储和部署的应用程序,可能还被允许有限制地控制底层网络组件(如主机防火墙)。通过IaaS这种模式,用户可以从供应商那里获得所需要的计算或者存储等资源来装载相关的应用,并只需为其所租用的那部分资源进行付费,而这些基础设施烦琐的管理工作则交给IaaS供应商来负责。

1.1.4 云计算部署模式

根据NIST的定义,云计算有四种部署模式。

· 私有云:云计算基础架构提供给包含多个消费者的单一组织专门使用。该云计算基础架构可以由该组织、第三方机构或它们的组合来拥有、管理和运营,基础架构可以位于组织内部或外部。

· 社区云:云计算基础架构提供给一个由多个组织的成员组成的消费者行业专门使用,这些组织有共同关注的话题(如任务、安全需求、政策、合规性考量)。该云计算基础架构可以由该社区中的一个或多个组织、第三方机构或它们的组合来拥有、管理和运营,基础架构可位于组织内部或外部。

· 公有云:云计算基础架构提供给公众使用,可以由商业机构、学术组织或政府机关,或者它们的组合来拥有、管理和运营,基础架构位于云计算服务提供商内部。

· 混合云:由两个或多个独立的不同云计算基础架构(私有云、社区云或公有云)组成,它们通过标准或私有技术绑定在一起,实现数据和应用程序的可移植性(如当云快速扩展时实现多云之间的负载均衡)。

1.1.5 云计算典型应用场景

云计算的典型应用场景主要包括以下五种。

1.测试和开发

快速搭建测试和开发环境是云计算的最佳应用场景之一。用户可根据云服务商提供的不同服务模式以及虚拟云主机的不同配置,选择最适合自己需要的服务,从而快速搭建应用的开发及测试环境,而且可支持多人远程协作,能大大提高工作效率,降低企业成本。

通过云服务提供的友好的Web界面,用户可以根据需求量身部署、管理、回收整个开发测试环境,通过预先配置好的系统、中间件、应用开发软件的虚拟镜像来快速构建开发测试环境,通过快速备份、恢复等虚拟化技术来重现问题,并利用云的强大弹性扩展功能来进行新业务的压力测试及新业务上线前的安全渗透测试。

2.数据存储

云存储服务提供了海量的存储空间,并且支持对各种存储文件的在线解压缩、检索、归类、离线下载等操作,并且可通过任意支持Web的接口访问云存储服务。通过云存储可随时随地获得高可用性、高速、高可扩展性和高安全性的服务。

此外,企业还可以根据需要搭建自己的私有云存储服务器,满足不同组织的需要。

3.容灾备份

利用云提供的存储和计算能力,可对组织的数据进行远程备份,减少企业建设备份设施的费用,而且云本身还提供了容错能力,更增强了备份数据的可靠性。也可在云上搭建备份的业务系统,实现业务容灾,减小了企业在建设灾备系统上的支出,而且可减小企业对灾备系统的运行维护费用。

4.周期性高负载计算

通过云计算的特性灵活确定高性能计算资源,用户可以根据自己的需求来改变计算资源相关的操作系统与节点规模,从而避免与其他用户的冲突。它可以成为网络计算的支撑平台,提升计算的灵活性和便捷性。其大规模数据处理能力能对周期性的海量数据进行处理,可以帮助企业快速进行数据分析,发现可能存在的商机和问题,从而做出更好、更快和更全面的决策。

5.多地点远程协同

对于云计算来说,最常见的应用场景可能就是让用户“租”服务而不是“买”软件来开展业务部署。共享式远程协同模式,使用户从原来消耗大量时间和金钱的采购设备模式变为只需接入云端应用的模式,这样可以让员工开展相应的线上协同办公业务,打破了传统用户提供特定工作环境、固定工位的模式。