<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 35279-2017 信息安全技術 云計算安全參考架構
    展開或關閉
    前言
    前言
    引言
    引言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 概述
    4.1 云計算的相關概念 4.2 云計算的參與角色 4.3 云計算的安全挑戰 4.4 云計算參與角色的安全職責
    5 云計算安全參考架構
    5.1 概述 5.2 云服務客戶 5.3 云服務商 5.4 云代理者 5.5 云審計者 5.6 云基礎網絡運營者
    附錄A(資料性附錄)云計算的安全風險
    附錄A(資料性附錄)云計算的安全風險

    5.3 云服務商

    GB/T 35279-2017 信息安全技術 云計算安全參考架構 /

    5.3 云服務商

    根據云服務商的服務范圍與實施的活動,云服務商的架構組件為:服務部署、服務編排、云服務管理、云服務安全與隱私保護。由于安全與隱私保護、數據內容管理、服務級別協議(SLA)等是跨組件的,安全參考架構模型將云服務商的安全活動交錯分布到所有的組件層,覆蓋云服務商負責的全部領域,并且將安全性嵌入到與云服務商有關的全部架構組件中。另外,云部署作為云服務的一部分,直接與云服務商提供的服務相關。因此,安全參考架構為云服務商定義了下列框架組件與子組件:
    ——安全云服務管理
    ? 安全供應與配置
    ? 安全可移植性與互操作性
    ? 安全業務支持
    ——安全云服務協同
    ? 安全物理資源層(硬件與設施)-僅主服務商
    ? 安全資源抽象與控制層(硬件與設施)-僅主服務商
    ? 安全部署與服務層

    5.3.1 安全云服務協同

    本標準描述一個3層模型,代表云服務商交付服務需提供的3種類型的系統組件,這三層是:
    ——服務層:代表云服務商提供的3類服務(IaaS, PaaS與SaaS);
    ——資源抽象與控制層:包含通過軟件抽象,云服務商用于提供與管理訪問物理計算資源的系統組件;
    ——物理資源層:包括所有的物理計算資源,例如硬件資源(CPU與內存)、網絡設備與軟件(路由器、防火墻、交換機、網絡鏈接與接口)、存儲組件(硬盤)以及其他物理計算基礎設施元素。
    安全參考體系架構組件由下述三層構成:
    ——安全部署與服務層
    ——安全資源抽象與控制層

    5.3.1.1 安全部署與服務層

    基于所提供的云服務類型(例如SaaS, PaaS或Iaas)與云部署模型(例如公有云或私有云),云服務商實施保障服務層安全的安全組件集。對于云服務中的每一個實例,云服務商負責實施的安全組件集都與其他云參與者實施的安全組件集密切相關。
    對于IaaS云服務,云服務商提供與物理計算資源相關的服務,包括服務器、網絡、存儲與主機基礎設施。云服務商運行所需的云軟件,通過一套服務接口與計算資源抽象(例如虛擬機與虛擬網絡接口),將計算資源提供給IaaS云服務客戶。不管采用哪種云服務,云服務商始終控制物理硬件與云軟件,因此能夠提供這些基礎設施服務(例如,物理服務器、網絡設備、存儲設備、主機操作系統、虛擬監控器等)。
    對于PaaS云服務,云服務商管理平臺的計算基礎設施,并運行提供平臺組件能力的云軟件,例如運行時軟件執行棧、數據庫與其他中間件組件。通常,提供PaaS服務的云服務商也為云服務客戶提供開發、部署與管理的工具。這些工具可集成到開發環境(IDEs)、云軟件開發版本、軟件開發套件(SDKs)或部署與管理工具中。

    5.3.1.2 安全資源抽象與控制層

    安全資源抽象與控制層是包含云服務商實現的安全組件的架構組件,通過軟件抽象提供安全訪問與管理物理計算資源的功能。資源抽象組件的例子包括虛擬監控器、虛擬機、虛擬數據存儲這樣的軟件元素。資源抽象組件應確保相關物理資源有效、安全與可靠的使用。虛擬機技術通常在本層使用,但提供必要軟件抽象的其他方法也可以使用。本層的控制部分系指負責資源分配、訪問控制與使用監控的安全軟件組件。這是將多種物理資源及其軟件抽象進行綁定,實現資源池化、動態分配與測量服務的軟件架構。

    5.3.1.3安全物理資源層

    安全物理資源層是架構子組件,包含需要確保物理計算資源安全的安全組件。本層包括硬件資源,例如計算機(CPU與內存)、網絡(路由、防火墻、交換機、網絡連接與接口)、存儲部件(硬盤)與其他物理計算基礎設施元素。它還包括設施資源,例如:供暖、通風與空調(HVAC)、電力、通訊及其他物理設備。

    5.3.2 安全云服務管理

    云服務管理可以如下描述:
    ——供應與配置需求
    ——可移植性與互操作性需求
    ——業務支持需求

    5.3.2.1 安全供應與配置

    安全供應與配置架構子組件包含確保云資源安全配置與供應的所有安全組件(例如,能力、工具或策略),并應符合相應的安全標準、法規與規范。安全配置云資源的準則也包含云服務客戶與云服務商在服務級別協議(SLA)中確定的專用措施。

    5.3.2.2 安全可移植性與互操作性

    云服務客戶、云供應商與云代理者均應滿足的安全可移植性與互操作性要求,參見5.2.1.3。

    5.3.2.3安全業務支持

    安全業務支持架構子組件包含運行面向客戶的業務操作所用的所有安全組件,使云服務商以安全方式對云服務客戶、云代理者及其他云服務商進行業務支持。
    中介云服務商應確保下游服務商適當地實施了他們自己負責的安全組件與控制措施,且風險與責任已經明確。
    與云服務客戶簽署合同并明確責任后,業務支持的責任由主服務商與中介服務商共同承擔。云服務商業務支持的職責包括:
    ——云服務客戶管理:管理云服務客戶賬戶、打開/關閉/終止賬戶、管理用戶配置文件、管理云服務客戶關系、基于云服務客戶的安全策略解決云服務客戶的問題等。
    ——合同管理:管理服務合同,包括建立/協商/關閉/終止合同等;提供云服務客戶安全審計與報告所需的信息。
    ——備品備件管理:以安全方式建立與管理服務目錄等。
    ——記帳與計費:管理云服務客戶的計費信息、發送計費狀態、處理收到的支付、追蹤發票等,確保有效跟蹤與糾正欺詐活動。
    ——報告與審計:監控用戶操作、生成報告等,支持云服務客戶的安全審計與監控需求。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类