云安全—NIST SP 500-292

0x00 前言

未经允许，禁止转载

背景

NIST云计算计划于2010年11月正式启动，旨在支持联邦政府在适当的情况下将云计算纳入传统信息系统和应用程序模型的替代或增强

主要目标

定义了包括三种基本服务模式，SaaS、PaaS、IaaS，四种部署模式，公有云，私有云，社区云，混合云，五个基本特征，按需自助服务，便捷的网络访问，资源池化，弹性灵活，服务可计量。

根本目的是以更低的成本向用户提供高质量和更快的服务

NIST云计算架构主要关注的点是云服务能提供什么，而不是如何设计解决方案和实施

0x01 架构

1.主要参与者

2.主要场景

2.1 场景一

Cloud consumer 不直接从Cloud provide处获取服务，而是通过Cloud broker来进行服务的获取

2.2 场景二

经典的使用场景，云运营商提供链接等内容，云提供商给云消费者提供具体计算需求，相互之间通过SLA协议进行相互约束。

2.3 场景三

相对于场景二，相当于多了一个审计的角色，主要来做合规和安全管理以及审计工作。

下图中的场景其实就是三种不同的服务提供方式。

3.云消费者

整个云体系的最终受益者，同时也是所有消费的尽头。

下图没来得及画，所以直接使用原图

4.云提供商

负责向相关方提供服务的个人、组织或实体。向云消费者提供基本硬件，中间件，软件服务，对应着三种不同的服务模式

5.云审计员

能够对云服务、信息系统运营、云实现的性能和安全性进行独立评估的一方。

主要针对

• 安全控制
• 隐私影响
• 合规
• 性能

6.云代理

管理云服务的使用、性能和交付，并协商云提供商和云消费者之间关系的实体。

云代理实际上就是在云提供商提供的服务商再次进行深度服务，比如管理，二开，深度利用等

服务模式：

• 服务中介，在原有的基础上提供增强服务，比如访问控制，身份管理，性能报告，安全相关
• 服务聚合，多种服务集成在一起对外提供服务
• 服务套利，就是动态灵活的服务聚合

7.云运营商

提供云服务从云提供商到云消费者的连接和传输的中介。

云运营商的范围就广了，比如基础硬件的提供，个人电脑，服务器，机房，网络服务，流量，wif，还有一些其他的基础设备或者载体都算是云运营服务里的一部分。

8.云提供者和云消费者的控制范围

他们之前的关系其实就是，谁提供谁负责，谁自主谁负责。

0x02 架构组件

1.服务部署

1.1 公有云

公有云就是通过公共网络向公众提供基础设施和计算资源的云

1.2 私有云

私有云就是单个云消费组织提供了对技术设施和计算资源的独占访问和使用，由云消费者或者第三方进行管理，也可以进行委托管理。

内部私有云

外包私有云

1.3 社区云

社区云主要针对一群具有共同关注点，如：任务目标，安全性，隐私和合规要求的云消费组织提供服务。

现场社区云

外包社区云

1.4 混合云

由两个或者多个云组合而成的云，主要体现在灵活性，和数据可移植性，并且可以根据业务适配选择

2.服务编排

服务编排是指云提供商安排，协调和管理计算资源的活动以向云服务提供云服务的组合。

模型分为三层

• 服务层
• 抽象资源层
• 物理层

服务层就是三种服务模式
模型的中间层是资源层和抽象层，包含通过软件抽象和管理计算资源的系统组件，比如虚拟机，管理程序，虚拟数据存储
物理层就是包括所有的物理资源，机房，网络设备，存储，空调，等

服务层依赖抽象层，抽象层依赖物理层，不能隔层进行资源调用，比如服务层通常是无法直接操作物理层资源的。

3.云服务管理

云服务管理包括管理和运营消费者所需或建议的服务所需的所有与服务相关的功能。

主要包括以下角度：

• 业务支持
• 供应
• 配置
• 可移植性
• 互操作性

3.1 业务支持

面向客户的业务操作

• 用户管理：管理客户账号，开设、关闭、终止，管理用户资料，提供联系和服务
• 合同管理：管理合同服务，设置、谈判、关闭，终止合同，库存管理等
• 会计和计费：管理客户订单，发送账单，处理付款，发票跟踪等
• 报告和审计：监控用户操作，生成报告
• 定价和评级：评估云服务的费用，根据用户的资料以及需求制定价格

3.2 供应和配置

• 快速配置：根据请求的服务、资源、内容快速部署
• 资源变化：调整配置，资源分配以进行维修，升级，新节点加入
• 监控和报告：发现和监控虚拟资源，监控云操作，事件生成并报告。
• 计量：在抽象资源调用中提供计量服务
• SLA管理：SLA合同，提供QoS参数的服务质量监控，修改SLA，SLA策略

3.3 可移植性和互操作性

可移植性在于云消费者想要以低成本和最小干扰进行数据移动或者应用移动，云消费者希望可以提供跨云移动的能力或者说是跨服务商的移动能力。

针对IaaS而言，需要移植的就是服务以及数据
针对SaaS提供的服务而言，最主要提供的是数据可移植。

互操作性，云消费者最关注的就是云与云之间的通信能力。

4.云安全

安全是一个贯穿所有架构的至关重要的内容，云安全归属于云提供商的责任范围内。

4.1 云服务模型视角

IaaS 和PaaS以及SaaS对应的就是不通的攻击面

4.2 云部署模型的安全性

私有云的安全性>公有云

4.3 责任制共有

安全是一项共有的责任，需要对控制权进行分析，以确定哪一方更适合实施。其实就是进行责任划分，谁提供谁负责，谁操作谁负责。

5.隐私

云服务提供商保护云中的个人信息和个人信息的可靠，适当和一致的收集、处理、使用、和处置。

0x03 总结

整体NIST SP 500-292的文档主要是总述了关于云计算的模式以及各方面提供的内容和特点。但是没有具体展开来进行细节描述，还需要进行详细的探讨。但是作为了解云计算相关内容，是已经够了的。