云计算架构培训课件

1、CCSK课程背景介绍云计算架构第1页3CCSK认证介绍Certification of Cloud Security Knowledge云计算安全知识认证中国CCSK认证及考试 CCSKC-CCSKCertification of Cloud Security Professional云计算安全教授认证CCSP进阶CSA正式推出，经过5年发展，已经成为云安全人才领域最权威认证之一由CSA和ISC2(国际信息安全认证联盟)联合推出，是CCSK进阶认证CSA授权“北京爱思索科技有限企业”组织推出云计算架构第2页4CSA : Security Guidance For Critical Areas

2、Of Focus In Cloud Computing CSA云计算关键领域安全指南ENISA: Benefits, risks and recommendations for information securityENISA风险汇报课程介绍云计算架构第3页课程结构5云计算架构第4页CSA介绍全称：Cloud Security Alliance，云安全联盟成立：年，RSA大会上宣告成立一个非盈利性组织，致力于研究云计算环境下安全问题，意在提供云计算环境下最正确安全处理方案。研究结果：公布云安全系列研究汇报，对业界有着主动影响，取得广泛认可。时间研究项目或结果至云计算关键领域安全指南V1.0，

3、之后陆续更新至第三版至今GRC Stack 项目：云控制矩阵（Cloud Control Matrix，简称CCM）一致性评定调查（Consensus Assessments Initiative，简称CAI）云审计Cloud Audit 云信托协议（Cloud Trust Protocol，简称CTP）至今安全信任和确保注册项目(Security，Trust & Assurance Registry，简称STAR)云计算主要威胁调研结果九大云计算安全威胁CSA主要研究结果列表云计算架构第5页7云计算关键领域安全指南英文名称：Security Guidance for Critical Are

4、as of Focus in Cloud Computing版本更替：年4月1日（CSA成立后一个月）公布v1.0 年12月17日，公布v2.1；20春节后，公布v2.1汉字版 2011月14日，公布v3.0（最新版）；205月，公布v3.0 汉字版云计算架构第6页模块 1: 云架构云计算架构第7页学习目标云计算定义、相关概念、优势云计算关键特征云服务交付模型云布署模型云安全特殊问题9云计算架构第8页云计算：亚马逊故事亚马逊想更有效使用他们资源希望能够更加好帮助开发者，使他们不用面对取得硬件困难。云计算使得开发者们无须拥有每种系统专门资源和容量只需要从资源池中获取需要资源即可但仍保留应对业务峰

5、值整体容量，大量硬件资源不需要天天都使用。将EC2空闲资源容量出租取得利润10云计算架构第9页什么是云计算云计算是一个模型，能支持用户便捷地按需经过网络访问一个可配置共享计算资源池（包含网络、服务器、存放、应用程序、服务），共享池中资源能够以最少用户管理投入或最少服务提供商介入实现快速供给和回收。NIST 美国国家标准技术研究所11云计算架构第10页云计算主要概念：资源池客户计算网络存放12云计算架构第11页云计算 VS. 虚拟化虚拟化:指资源抽象化，也就是单一物理资源多个逻辑表示，或者多个物理资源单一逻辑表示。 在“云”和“虚拟化”之间经常存在混同，但它们并不是同义词。虚拟化是实现云平台一个

6、技术伎俩，但不是唯一技术伎俩。云计算平台是提供虚拟化平台IaaS（基础设施即服务）中：云计算软件组织和管理着虚拟化13云计算架构第12页云计算好处无基础设施建设投资（公共云情况下）更大灵活性近乎无限规模更高资源利用率便捷系统迁移方案弹性仅为使用资源付费14云计算架构第13页多租户15指服务器上运行单一应用同时服务于多个用户。将应用本身作为共享资源，而不是每一个用户独享一台服务器或者一套服务器上运作单一应用工作模式。云计算架构第14页云计算模型16NIST云计算参考架构云计算架构第15页云计算关键特征广泛网络访问经过标准客户端接入计算机（桌面机、笔记本）移动设备经过各种网络接入17云计算架构第1

7、6页迅捷可伸缩服务能够快速、可伸缩提供，在一些情况下甚至可自动提供以扩大规模，也能够快速释放资源以缩减规模18云计算关键特征云计算架构第17页可测量服务资源使用能够被监视和控制提供一定抽象程度测量能力使用量计算：用户只需为所使用服务付费19云计算关键特征云计算架构第18页按需自服务用户可按需自行取得计算能力如服务器时间、网络资源等，不需要与服务提供商进行人工交互20云计算关键特征云计算架构第19页资源池化资源被池化，并以多租户模型向多个用户提供服务位置独立性：用户无法获知或控制资源详细位置。21云计算关键特征云计算架构第20页云服务交付模型Software as a Service (SaaS

8、)软件即服务Platform as a Service (PaaS)平台即服务Infrastructure as a Service (IaaS)基础设施即服务22云计算架构第21页Infrastructure as a Service (IaaS)基础设施即服务提供处理器、存放、网络和其它基础计算资源客户布署并运行任意软件能够包含操作系统和应用软件23云计算架构第22页Platform as a Service (PaaS)平台即服务将用户创建或已经有应用布署在云基础设施上使用云提供商支持程序语言和工具创建24云计算架构第23页Software as a Service (SaaS)软件即服

9、务用户使用云服务商布署在云基础设施上应用用户不论理和控制底层云基础设施，包含网络、服务器、操作系统、存放，以及单独应用能力。25云计算架构第24页SPI （SaaS/PaaS/IaaS）混合与匹配Amazon EC2S CRMMicrosoft AzureDWDropBoxSaaSIaaSPaaSWhy?26云计算架构第25页服务模式与安全责任关系云服务商提供服务在SPI栈中越底层，用户在系统实施和管理中需要负责管理和安全工作就越多。SaaSIaaSPaaS安全责任服务商客户27云计算架构第26页IaaS28云计算架构第27页PaaS29云计算架构第28页SaaS30云计算架构第29页31云计

10、算架构第30页小区云32 云基础设施为几个组织所共享，为一个具有相同需求（比如任务、安全需求、策略、监管要求等）社区提供支持。 有许多紧密集团（按上下级关系、地理、规模等组织起来）具有十分相似计算需求。社区云可认为这么计算环境提供便利和规模经济性，降低IT服务建设成本并提高系统能力。社区云可以由组织自行运行或者由第三方运行，可以运行在本地或者远端。比如：某汽车企业建立云中心，为本身和其它配件厂提供服务。云计算架构第31页混合云33 由上面两种或各种云基础设施组合而成，各自实体是独立，但经过标准或私有技术集成在一起，并提供数据和应用便利。比如：铁路售票系统云计算架构第32页云布署模型和职责基础设

11、施管理方1基础设施拥有方2基础设施位置3访问和使用方4公有云第三方提供商第三方提供商远端非信任方私有云/小区云组织第三方提供商组织第三方提供商当地远端信任方混合云组织 & 第三方提供商组织 & 第三方提供商当地& 远端信任方 & 非信任方或33云计算架构第33页多租户私有云vs.公有云34云计算架构第34页多租户公有云视图35云计算架构第35页云世界中安全边界云计算使得传统边界定义失效什么是内部？什么是外部？影响是什么？现在边界在哪里？37云计算架构第36页云安全安全考虑包含：谁将消费和使用资产、资源、信息？谁对资源控制、安全、合规负责？38云计算架构第37页总结云描述了计算、网络、信息、存放

12、等资源池使用。云服务特征包含：广泛网络访问、迅捷可伸缩性、可测量服务、按需自服务、资源池化。云服务通常以基础设施即服务（IaaS）、平台即服务（PaaS）或软件即服务（SaaS）方式提供，即使它们之间区分在变得日益含糊。云服务能够以公有云、私有云、混合云和小区云方式提供，详细取决于应用安全及共享等方面需求。39云计算架构第38页测试题：多租户安全后果是什么？减慢响应时间与其它用户排队等候缺乏对每个租户个性化加密密钥残余信息、数据或操作踪迹对其它用户或租户可见性必须单独地为每个客户更新病毒库在IaaS或者PaaS情况下，管理应用安全责任属于谁？云客户系统管理员互联网服务提供商软件即服务（SaaS

13、）提供商服务商系统管理员政府40云计算架构第39页测试题：多租户安全后果是什么？减慢响应时间与其它用户排队等候缺乏对每个租户个性化加密密钥残余信息、数据或操作踪迹对其它用户或租户可见性必须单独地为每个客户更新病毒库在IaaS或者PaaS情况下，管理应用安全责任属于谁？云客户系统管理员互联网服务提供商软件即服务（SaaS）提供商服务商系统管理员政府41云计算架构第40页测试题：云服务含有5种本质特征展示了他们与传统计算方式关系和不一样。其中哪种特征被描述为：能力能够以快速扩展和快速释放方式供给。按需自服务迅捷可伸缩广泛网络访问可计量服务资源池化下面哪个不是NIST定义云服务模型？平台即服务（Pa

14、aS）基础设施即服务(IaaS)安全即服务(SECaaS)软件即服务(SaaS)以上都不是42云计算架构第41页测试题：云服务含有5种本质特征展示了他们与传统计算方式关系和不一样。其中哪种特征被描述为：能力能够以快速扩展和快速释放方式供给。按需自服务迅捷可伸缩广泛网络访问可计量服务资源池化下面哪个不是NIST定义云服务模型？平台即服务（PaaS）基础设施即服务(IaaS)安全即服务(SECaaS)软件即服务(SaaS)以上都不是43云计算架构第42页测试题：一个云布署为两个或多个独立云布署方式被称作：基础设施即服务一个小区云一个混合云一个私有云云立方模型存放即服务（Storage as a S

15、ervice）可视作什么子产品？Hadoop软件即服务安全即服务平台即服务基础设施即服务44云计算架构第43页测试题：一个云布署为两个或多个独立云布署方式被称作：基础设施即服务一个小区云一个混合云一个私有云云立方模型存放即服务（Storage as a Service）可视作什么子产品？Hadoop软件即服务安全即服务平台即服务基础设施即服务45云计算架构第44页测试题：什么是资源池化？服务商计算资源被池化以向更多客户提供服务基于互联网CPU被池化以支持多线程。每个客户专有计算资源被池化放置在一个共同机房设施中。 将物联网（云）数据中心放置在多能源源头附近，比如水电站等。以上都不是全部云服务都使用虚拟化技术。TRUEFALSE48云计算架构第45页测试题：什么是资源池化？服务商计算资源被池化以向更多客户提供服务基于互联网CPU被池化以支持多线程。每个客户专有计算资源被池化放置在一个共同机房设施中。 将物联网（云）数据中心放置在多能源源头附近，比如水电站等。以上都不是全部云服务都使用