5.4 云代理者

5.4 云代理者

云代理者系指管理云服務的使用、性能與交付，并協調云服務商與云服務客戶之間關系的實體。云計算安全參考架構模型中強調了兩種類型的云代理者：技術代理者與業務代理者。
通常，云代理者提供的服務組合可以分為五種架構組件：安全服務聚合、安全服務仲裁、安全服務中介、安全云服務管理和安全云服務協同。其中，前四個組件分別對應云代理者所提供的服務，第五個組件則對應云代理者的責任，即作為安全云服務協同的一部分保障云服務的安全性。五個架構組件的詳細定義如下：
——安全服務聚合：該架構組件包含將多個獨立服務融合與集成到一個或多個新服務的安全組件。云代理者提供數據集成功能，并確保基于云服務客戶的安全策略數據在云服務客戶與多個云服務商間之間安全遷移。安全服務聚合可從如下描述：
? 可移植性與互操作性的技術需求
? 供應與配置的技術需求
——安全服務仲裁：該架構組件類似于安全服務聚合組件，只是所聚合的服務是不固定的。服務仲裁意味著云代理者可以從多個云服務商靈活地選擇服務。例如，云代理者可使用信用評分服務選擇一個具有最高分數的云服務商。
——安全服務中介：該架構組件包含的安全組件，可使云代理者為云服務客戶改進某些服務，或提供增值服務增強原有的服務，同時確保云服務客戶的安全策略正確實施。增強原有云服務的例子包括：訪問云服務的管理、身份管理、性能報告、增強的安全性等。
——安全云服務管理：該架構組件包含云代理者提供運營服務所必須的，支持全部服務功能（技術與業務）管理的所有安全組件。安全云服務管理可以如下描述：
? 業務支持需求
? 供應與配置的業務需求
? 可移植性與互操作性的業務需求
——安全云服務協同：該架構組件包含的安全組件，可使技術代理者基于云部署模型（例如私有云和公有云）與服務模式（例如IaaS、PaaS和SaaS），確保所提供服務及附加服務的安全。

5.4.1　技術代理者

在安全云服務協同與安全云服務管理方面，技術代理者與中介服務商的職責是類似的。
通過從多個云服務商聚集服務、增加一個新的技術功能層、處理互操作性問題等，技術代理者與云服務客戶的操作過程、云組件和/或客戶數據進行交互。在安全參考架構模型中，云代理者與技術代理者架構組件的設計方式是強調云參與者的主要角色。例如，安全可移植性/互操作性架構子組件延伸到安全云服務管理與安全服務聚合組件中，說明云代理者職責的兩個方面：安全云服務管理下的業務及管理方面與安全服務聚合下的技術方面。中介服務商并不聚合服務，而是嵌入主服務商提供的服務。技術代理者與中介服務商提供類似安全服務所需的安全組件集是相同的。
技術代理者的架構組件與子組件如下：
——安全云服務協同
? 安全服務層 （技術方面）
——安全服務聚合
? 安全供應與配置（技術方面）
? 安全可移植性與互操作性（技術方面）
——安全服務管理
? 安全供應與配置（管理方面）
? 安全可移植性與互操作性（管理方面）
? 安全業務支持
——安全服務中介
? 安全供應與配置（技術方面）
——安全服務仲裁

5.4.2　業務代理者

業務代理者提供業務與關系支持服務（仲裁與業務中介）。與技術代理者相反，業務代理者不接觸任何云服務客戶在云中的數據、操作過程與其他組件（例如，鏡像、卷或防火墻）。
業務代理者的架構組件與子組件包括：
——安全服務管理
? 安全業務支持
——安全服務中介
? 安全供應與配置（業務方面）
——安全服務仲裁
? 安全供應與配置（業務方面）

5.4.3　安全云服務協同

云代理者用于確保安全云服務協同的安全組件依賴于云服務類型與部署模型。云代理者實施的安全組件與其他云參與者的安全組件密切相關。

安全服務層
云代理者為保證服務層安全采用的安全組件集依賴于服務類型（例如PaaS或SaaS）。可能在多個云服務商提供的PaaS組件上聚合SaaS應用，或在云服務商提供的IaaS組件上聚合PaaS組件。但是，這不是必須的，且依賴關系是可選的。每種服務都可以單獨提供。技術代理者實施額外功能層的安全需求依賴于所使用的云服務層類型。
對于SaaS云服務，云技術代理者可聚合多個云服務商的服務，并能夠配置、維護、更新部署到這些聚合服務中的軟件應用，使云服務以期望的服務級別提供給云服務客戶，并滿足客戶所有的安全需求。提供SaaS云服務的技術代理者承擔管理與控制應用程序安全的主要責任。
對于PaaS云服務，云技術代理者可安全聚合多個云服務商的服務，并為云服務客戶提供開發、部署與管理遷移到云的工具。這些工具可以是開發環境（IDEs）、云軟件開發版本、軟件開發套件（SDKs）或部署與管理工具。

5.4.4　安全服務聚合

云代理者整合與集成多個服務為一個或多個新服務，提供數據集成功能，并確保數據在云服務客戶與多個云服務商之間的安全遷移。
安全服務聚合架構組件說明了技術代理者的責任，即保證所有數據的安全性，對云服務商的服務請求及云服務商的響應均需達到所需的保密性、完整性與可用性級別。該組件還涉及云代理者的責任，即根據用戶合同與服務級別協議（SLA）中的安全需求，保證達到規定的安全級別。作為服務聚合者，技術代理者僅支持傳輸中的云服務客戶數據，因此靜止數據的安全性與技術代理者提供的聚合服務無關。
云代理者安全服務聚合架構組件所包含的安全組件集類似于中介服務商，其技術差異在于云代理者對下層云服務商提供的透明性。云代理者應向下層云服務商暴露報告、儀表板與所有計劃的信息，但對中介服務商，這不是必要工作。
介于云服務客戶與多個聚合的云服務商之間的技術代理者，應提供雙向功能棧安全服務，即向上面向云服務客戶，向下面向下層云服務商。相應地，所有的報告與計劃應考慮云代理者－云服務客戶接口與云代理者－云服務商接口。
安全服務聚合相關的兩個架構子組件是：
——安全供應與配置
——安全可移植性與互操作性

5.4.5　安全云服務管理

安全云服務管理架構組件包含所有與服務相關的功能，這些功能對云服務客戶所需服務的運維管理是必不可少的。云服務管理可以如下描述：
——可移植性與互操作性需求
——供應與配置需求
——業務支持需求
基于云服務的結構，云服務商或云代理者可以實施安全云服務不同方面的管理。這些架構組件可由云服務客戶的安全云服務管理架構組件補充。
安全云服務管理的子組件如下：
——安全可移植性與互操作性
——安全供應與配置

安全可移植性與互操作性

5.4.5.2安全供應與配置

安全供應與配置架構子組件包含諸如能力、工具或策略的所有安全組件，確保云資源的安全配置與供應符合相應的安全標準、法規與規范。

5.4.5.3安全業務支持

云代理者可通過改進特定的面向客戶的業務運營，以及向云服務客戶提供增值服務提供與業務相關的服務。例如定價與評級、合同管理、記賬與計費。
安全業務支持架構子組件是一組支持云服務客戶的業務相關服務。該子組件包含用于支持云代理者以服務商或以代理角色進行業務操作的安全組件。

5.4.6　安全服務中介

云代理者可通過改進特定的功能，以及向云服務客戶提供增值服務增強給定的服務。這些功能改進包括：管理云服務的訪問、身份管理、性能報告與增強的安全性等。
安全服務中介架構組件表明云代理者的職責是，確保新增加的所有功能都保持所要求的機密性、完整性與可用性級別，并滿足云服務客戶在合同與服務級別協議（SLA）中規定的安全需求。

5.4.7　安全服務仲裁

安全服務仲裁架構組件本質上類似于安全服務聚合組件，不同之處是仲裁期間云代理者組合與集成的服務不固定。亦即，云代理者具有從多個云服務商為云服務客戶動態選擇服務的靈活性。