云计算安全和标准及发展问题与建议世纪互联云快线刘黎明.ppt

云计算安全和标准及发展问题与建议 世纪互联云快线 刘黎明,提 纲,云计算概念 云计算产业链 安全问题 标准问题 监管问题 Q&A,云计算概念,云计算关键特征： 通过互联网提供自助式服务 快速获得服务 按需扩展和使用 按使用量付费,从专业化角度讲，云计算体现了专业的服务由专业的组织和人员提供更为高效的原理。 从规模化角度讲，云计算体现了规模化采购减低采购成本，规模化运营降低人力成本，规模化服务提高峰值复用水平。 从服务模式角度讲，云计算体现了用户自助和按需付费的趋势。传统那个的连看一样商品都要柜台服务员参与的供销社模式与后来的超市模式，与云计算的产生有共同之处。 从精细化角度讲，云计算体现了按需使用、按实际使用量付费的趋势。这个特点就比如水电的趋势，量化到一定的精细度，比如水用立方米，电用度，就能保证所有用户都是按实际使用付费的。这一特点区别于按峰值计费和包月包年制。,云计算产业链,基础设施制造商,基础软件供应商,服务器制造商,网络设备制造商,通风设备制造商,制冷设备制造商,存储设备制造商,处理器制造商,操作系统供应商,基础设施管理系统供应商,分布式存储系供应商,虚拟化管理器供应商,基础设施即服务,平台即服务,一切皆服务,计算服务,非结构化存储服务,结构化存储服务,开发平台,运营平台,测试平台,软件即服务,安全即服务,集成即服务,云计算安全问题概述,安全是信息产业领域永恒的主题 安全是相对的和有前提的 云计算的安全问题80%是传统IT就存在的安全问题 剩下20%的安全问题来自于：新技术的使用带来的新的管理问题；老技术的新用法带来的老安全问题的扩大化；新的服务模式带来的潜在问题。 传统的信息安全理论仍旧对解决云计算安全适用 SaaS，IaaS计算服务，IaaS存储服务，PaaS，私有云等，不同的云计算服务应用场景面临的安全问题是不一样的。,云计算安全问题举例,数据泄漏 数据所有权 数据物理定位 数据传输通道,服务器虚拟化管理器可靠性维护 虚拟服务器故障隔离性 虚拟服务器组成文件的权限控制 审计数据来源与配合,Dos攻击，恶意代码，ARP攻击，内部人员越权，设备故障。,云计算安全建议,单点登录双因素认证 加密数据 数据校验 安全传输 最小权限控制 推进可行的安全认证,不要对外暴露服务器虚拟化管理器 增强对虚拟服务器的监控和处理 虚拟服务器的组成文件进行权限授权和控制 系统管理、物理机与虚拟机操作日志进行管理和存档,警惕传统IT企业以FUD（Fear, Uncertainty, Doubt，即惧、惑、疑）方法 暂时阻碍云计算产业发展,云计算标准,“三流企业卖产品，二流企业卖技术，一流企业卖标准”容易引起误解，有本末倒置之嫌。 没做过好的产品，就没有过硬的技术。没有过硬的技术和相当的技术经验积累，就不能有效参与制定合理的标准。 云计算并不是一项单纯的技术，而是一场信息产业变革，设计广泛的产业链和众多的企业，所以其标准形成过程必将是漫长而艰难的。 标准不是做出来的或制定出来的。标准是在良好的法治环境下，市场充分竞争和公平竞争，博弈与妥协的结果。 标准可能领先或者落后于市场，但都有一个被市场检验的过程。,可能产生标准的方向,跨云的联合安全 云之间的元数据和数据交换 不同云平台之间迁移应用 描述资源能力和需求 云应用程序和服务的监控、审计、计费、报告、通知的标准化输出 与云资源交互的通用形式（api，协议） 独立于单个云的策略和控制的表示 开发、部署、管理可移植的云应用和服务的工具 创建跨多个云的应用的开发包 机器可识别的服务水平协议,参与云计算标准的组织,CSA（云计算安全联盟，Cloud Security Alliance） DMTF（分布式管理工作组） SNIA（存储网络行业协会） OGF（开放网格计算论坛） OCC(开放云计算联盟） OASIS（结构信息标准化促进组织) TM Forum(TM论坛) IETF（互联网工程任务组） ITU（国际电信联盟） ETSI（欧洲电信标准化协会） OMG（对象管理组织） NIST（国家标准与技术研究院）,当前可能成为标准的规范,SNIA CDMI（云数据管理接口） DMTF OVF（开放虚拟化格式） OGF OCCI（开放云计算接口）,OVF正如其名字所示，是一个开放虚拟化格式，描述了一个用来封装和分发运行在虚拟机上的软件的安全的、开放的、可移植的、有效的、可扩展的格式。主要特点如下：易于分发；简单、自动的用户体验；支持单虚拟机和多虚拟机部署；可移植的虚拟机封装；独立于供应商和平台；可扩展；易于本地化。一个OVF包含如下内容：一个OVF描述符文件，以 ovf为后缀；0或1个OVF清单文件，以mf为后缀；0或1个OVF证书文件，以cert为后缀；0或多个磁盘镜像文件；0或多个资源文件，比如iso镜像。 OCCI提供一个一扩展的Restful的API。每个资源用同一资源标识符标识。资源通过一组操作（建立、获取、更新、删除）来控制，建立操作用POST请求，获取操作用Get请求，更新或建立用Put请求，删除操作用Delete请求。此外，如下HTTP请求也被用到：COPY、HEAD、MOVE、OPTIONS。目前可管理三种资源：存储、网络、计算。将这些资源组合在一起，加上必要的属性，就形成一个虚拟机。 CDMI即云数据管理接口，提供了一个在云存储环境中具有互操作性的传输和管理数据的规范。参与制定该规范的企业包括：Bycast，Cisco，Ologic ，Qlogic，SUN，XyRatex。当然，SNIA的董事会单位不止这些企业。该模型展示了能够支持传统和新应用的多种类型的云数据存储接口。所有的接口都允许存储动态提供和获取。Data Servcies根据数据的元数据应用到单个的数据元素上。元数据则是建立在单独数据元素或多个数据元素集合基础上的数据需求。,云计算标准发展建议,标准着眼于开放性、移植性、互动性，去除强制性、准入门槛等色彩。 标准着眼于引导市场正确认识云计算，扶植新入企业，具备理解和实现上的参考价值。 标准着眼于让国内领先企业具备国际竞争力，让有兴趣的企业和个人找到方向和可参考的实现建议。 云计算同PC和互联网产业一样，是一个全球性很强的产业链，其产业布局、发展、标准制定都应从全球发展和竞争态势联系起来 标准制定与国际标准和组织相配合，用借鉴和合作的态度参与国际标准工作，避免一国标准对垒国际产业链的尴尬。,中国云计算产业面临的特殊环境,不同运营商之间的网络连接速度较慢 不同城市的带宽价格相差较大 人力成本相对较低 政府、事业单位、国有企业、国家控股企业没有严格的预算限制 国有性质单位缺乏提高资金使用效率的动力和理念 互联网创新、行为、内容受到越来越严格的管制 其他领域的垄断性企业不受限制地试图垄断互联网和云计算,给政府和监管部门的建议,建议严格审查各地兴建的云计算中心和各科研事业单位上报的云计算科研项目。 建议警惕以“中国云”“国产云”之名携民族自强自立之托词行垄断、骗取资金之实。 建议政府：1完善法制和信用建设。只有在法制健全、信用有效的环境中，云计算才能蓬勃发展。2 继续改善投资和创新环境。提供对创新的鼓励和宽容、良好的投资创业环境、好的人才政策，引导风险投资渠道的简历，倡导正常的投资理念，为云计算领域的创新和发展提供合适的土壤。3政策资金上的倾斜。比如成立云计算创新基金扶植中小创新企业，以及更合理使用973、自然科学基金，做好产学研转化和合作的支持。