第1章　云计算安全概述

1.1　云计算简述

云计算不仅仅是一个产品或一项新技术，还是一种生成并获取计算能力的新方法。关于“云计算”名称的由来，一个广为大众所认可的解释是：在互联网技术兴起的时期，人们习惯在文宣绘画时使用云的形象代表互联网，于是在命名这种基于互联网的新一代计算时，为了沿袭这种风格，选择了“云计算”这个术语。自2006年谷歌首次提出“云计算”概念以来，许多研究机构和相关制造商从不同的研究角度定义了云计算。

1.1.1　云计算的定义

根据美国国家标准与技术研究院（NIST）的定义：云计算是一种计算模型，允许无处不在地、方便地、按需地通过网络访问共享可配置的计算资源，如网络、服务器、存储、应用和服务等，这些资源以服务的形式快速地供应和发布，使相应的软硬件资源的管理代价或与服务提供商的互动降低到最少。

狭义云计算是指IT基础设施的交付和使用模式，通过网络以按需、易扩展的方式获得所需的资源（硬件、平台、软件）。

广义云计算是指服务的交付和使用方式，通过网络以按需、易扩展的方式获得所需的服务。这种服务可以是与软件、互联网相关的，也可以是任意其他的服务。

云计算具有五个基本特征、三种服务模式和四个部署模型。

1．云计算的五个基本特征

NIST对云计算的定义包含以下五个基本特征。

（1）按需自助服务（On-demand Self-service）。消费者可以按需部署处理能力，如服务器和网络存储，而不需要与每个服务供应商进行人工交互。

（2）广泛的网络接入（Ubiquitous Network Access）。用户通过各种客户端（移动电话、笔记本计算机等）接入互联网并通过标准方式访问和获得各种资源。

（3）无关位置的资源池（Location Independent Resource Pooling）。供应商集中计算资源，以多用户租用模式为所有客户服务，同时，不同的物理和虚拟资源可根据客户需求动态分配。这些资源包括存储、处理器、内存、网络带宽和虚拟机等。用户一般无法知晓和控制资源的确切位置。

（4）快速弹性（Rapid Elasticity）。服务供应商可以迅速、弹性地提供计算能力，能够根据突发事件需求快速扩展资源，当事件解决后快速释放资源，使用户可租用资源看起来是无限的，用户可在任何时间租用任何数量的资源。

（5）按量计费（Pay per Usage）。云服务提供商提供可计量的服务，为相应的服务（如存储、带宽或活动用户账户等）制定抽象的计量能力，用户按使用付费。云服务提供商可监视、控制和优化资源的使用，并为用户提供详细的资源使用数据分析。

云计算提供计算和存储等服务，其计算环境由一个个数据中心组成，每个数据中心承载云平台和云服务两部分。云平台主要由两层组成，底层是服务器、存储及连接它们的网络交换设备，上层是各种系统软件和支撑软件，包括操作系统、虚拟化软件、分布式和并行处理软件、分布式存储、云能力服务编程接口和各种应用服务接口等。云服务是根据各个行业的信息化需求部署和交付的应用软件，包括搜索、电子商务、存储等。云服务采用的是按需自助的商业模式，用户通过各种终端接入互联网以获得各自的服务，并按实际使用付费。

2．云计算的三种服务模式

根据NIST的权威定义以及市场上云计算的服务状况，云计算的服务模式可以划分为三种：基础设施即服务（Infrastructure as a Service, IaaS）、平台即服务（Platform as a Service, PaaS）、软件即服务（Software as a Service, SaaS）。

IaaS通过网络将硬件设备（物理机和虚拟机）、存储空间、网络连接、负载均衡和防火墙等基础设施资源封装成服务供用户使用。

PaaS提供用户应用程序的运行环境，是对资源更进一层次的抽象。具有相应能力的中间件服务器及数据库服务器就位于这一层。

SaaS是一种创新型的、基于Web的交付模式，是将某些特定应用软件功能封装成服务并通过Internet提供。

无论是IaaS、PaaS还是SaaS，其商业模式服务理念都是一样的，用户无须购买相应的基础设施、开发平台或软件，而是根据自己的实际需求，向服务提供商租用基于Web的功能。

三种模式之间既相互独立又有层次关系。相互独立是因为面对不同类型的用户，它们之间的关系是下端、中端、顶端三个层次。下端是IaaS，其服务主要面向网络工程师；中端是PaaS，其服务主要面向应用开发者；顶端则是SaaS，其服务面向各种应用的用户。自底向上，应用范围越广，客户的价值越高。

从技术实现角度来看，它们不是简单的SaaS基于PaaS，PaaS基于IaaS的关系，而是SaaS可以基于物理资源构建，也可以部署在PaaS或IaaS之上。同理，PaaS可以构建在物理资源之上，也可以部署在IaaS之上。

3．云计算的四个部署模型

云计算按照参与者角色不同，分为消费者、服务提供者、平台建设者，其部署模型包括公有云、私有云、社区云和混合云。

（1）公有云：公有云的服务提供者与消费者是分离的，而其平台建设者与服务提供者可以是一体的，也可以是分离的。云端可部署在本地，也可部署在其他地方，如北京市民公共云的云端可能建在北京，也可能建在天津。

（2）私有云：是集消费者、服务提供者和平台建设者为一体的云计算。云端资源只给一个单位组织内的消费者使用。云端可部署在本单位内部，也可托管在其他地方。

（3）社区云：云端资源由几家云服务提供者共享，专门为面对相同诉求（例如安全要求、云端使命、规章制度、合规性要求等）的特定消费者团体提供支持。云端资源可由这些云服务提供者或第三方来管理。云端可部署在本地或其他地方。

（4）混合云：强调其基础设施由两个或更多的云服务提供者共同建设，它们各自独立，但用标准的或专有的技术将它们组合起来，实现云之间的数据和应用程序的平滑流转，对外呈现为一个完整实体。

重要数据（如财务数据）保存在私有云或社区云，不重要的信息放到公有云，整体框架称为混合云。私有云和公有云构成的混合云是目前最流行的，如图1-1所示。当私有云资源短暂性需求过大（称为云爆发，Cloud Bursting）时，自动租赁公有云资源来平抑私有云资源的需求峰值。例如，网店在节假日期间点击量巨大，这时就会临时使用公有云资源应急。

1.1.2　云计算的意义

在谷歌于2006年首次提出云计算概念后，亚马逊、微软、雅虎、IBM等公司也纷纷成为云计算的开路者。由于云计算在降低IT支出、减少能源消耗、提升运营效率方面具有巨大优势，美国、韩国、日本政府都宣布了国家云计算发展战略，将云计算提升到前所未有的高度。2009年《福布斯》杂志热点趋势评选中，“应用走向云计算”排名第一，云计算成为炙手可热的焦点。2020年全球云计算市场销售额已达到2957.6亿美元。

高能耗、高成本、低效率是传统数据中心最严重的问题。企业对降低IT成本的需求迫切，节能减排对企业提出了更高的要求，而运营商的传统数据中心服务也显得落后、昂贵、应用单一，这些迫使其寻求新的方式建设新一代数据中心。基于云计算技术建设新一代数据中心，可以满足对宽带、存储和计算能力的突发业务需求。

第一，云计算通过集中管理和集中使用解决数据中心的能耗问题。传统数据中心的能耗以高于GDP的增速发展，已成为最浪费的行业。通过云计算使IT资源集中管理和共享使用，克服了传统IT重复、低水平建设，大大降低了IT能源消耗，政府对此也积极支持。

第二，云计算通过虚拟化方式降低企业数据中心的应用成本。2008全球金融危机使很多企业的IT支出预算捉襟见肘，但企业信息化应用和提速发展并未受其影响，相反，需求更加旺盛，低成本的IT服务需求尤为迫切。云计算通过虚拟化、可扩展的方式满足这一需求，企业可选择租赁数据中心服务商的IT资源，从而直接减少购买昂贵设备所需要的成本。

第三，云计算通过灵活可扩展的方式实现资源共享，提升企业运营效率。目前，大部分企业内存在多个数据中心，一方面，各数据中心的数据信息不能共享；另一方面，各数据中心的资源能力也不能相互调度，传统的服务器和网络设备的利用率仅为20%～30%，效率低下。通过云计算，可以实现各个业务系统之间的资源相互调度，实现资源扩展，使IT资源的利用率提升至60%，通过扩展资源使用率提升企业运营效率。

云计算本质上是一种更加灵活、高效、低成本、节能的信息运作的全新方式，相信会有更多的企业开始尝试建设采用云计算技术的数据中心，也有更多的中小企业选择租赁数据中心服务。