搜索
云计算及其安全技术东北大学信息安全研究所徐剑xuj@mail.neu.edu.cn1云计算体系结构云计算面临的安全挑战云计算的特征与优势云计算的相关概念云安全及其关键技术提纲云计算相关概念3计算机的发展简史4什么是云?Computingandsoftwareresourcesthataredeliveredondemand,asservice.(2013,January)AWalkintheClouds.CloudComputing,CDW-GReferenceGuide.,3-5.5•内存和外存•CPU通过相关软件进行数据、文件管理单机时代回顾—计算机存储StandardComputerTowerorCentralProcessingUnit(CPU)InsidetheComputer6•数据内容必须存储在计算机上•使用这些数据必须访问计算机•无法从其他设备或计算机上直接访问另一台计算机上的内容单机时代回顾—内部存储7单机时代回顾—外部存储ExternalHardDriveCD/DVDThumbDriveSDCardMicroSDCard数据内容的自由移动可以将数据存储设备应用到任何计算机上数据内容的开放8•购买软件(程序)•安装和设置软件•每一台计算机都安装和存储相关的软件单机时代回顾-计算机程序9•多个网络节点(工作站)连接起来作为整体来存储数据•数据存储在网络中,而不是本地计算机中•通过联网的计算机可以下载存储在网络上数据(P2P存储)网络存储时代10并行计算云计算时代的到来集群计算网格计算云计算云计算发展路线11•起源–九十年代,Sun即提出“网络即计算机”,作为云计算概念的前身•提出–云计算概念是由Google提出的,一个美丽的网络应用模式•名字的含义与来源–可能是借用了量子物理中的“电子云”(ElectronicCloud)–强调说明计算的弥漫性、无所不在的分布性和社会性特征云计算的起源12云计算就在身边13云计算概述-14-数据在云端:不怕丢失,不必备份,可以任意点的恢复;软件在云端:不必下载自动升级;无所不在的计算:在任何时间,任意地点,任何设备登录后就可以进行计算服务;无限强大的计算:具有无限空间的,无限速度。硬件为中心软件为中心服务为中心PCC/S云计算一个虚拟化的计算机资源池。托管多种不同的工作负载通过快速提供虚拟机器或物理机器,迅速部署和增加工作负载。以公开的标准和服务为基础,以互联网为中心,提供安全、快速、便捷的数据存储和网络计算服务。“云—端计算”即“云”和终端都会具备很强的计算能力;所有应用程序都在本地终端上使用也不一定合理,因此强调“云”和终端的均衡将是一种合理的方式;云是“软件+服务”的综合。权威机构关于云计算的定义一种将规模可动态扩展的虚拟化资源通过Internet提供对外按需使用服务的计算模式,用户无需了解提供这种服务的底层基础设施,也无需去拥有和控制。云计算的定义(HP)云带来的革新服务消费者云,是一种高度可扩展的计算方式,通过互联网将资源以“按需服务”的形式提供给用户,而用户不需要了解、知晓或者控制支持这些服务的技术基础架构。服务提供者新的商业模式:开放租赁的软件平台一切都是服务新的应用模式:新的连接方式,更好的信息利用方式新的计算模式:Internet为中心的计算海量,并行扩展16云计算定义云计算(CloudComputing)是网格计算(GridComputing)、分布式计算(DistributedComputing)、并行计算(ParallelComputing)、网络存储(NetworkStorageTechnologies)、虚拟化(Virtualization)、负载均衡(LoadBalance)等传统计算机技术和网络技术发展融合的产物。它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的系统,并借助SaaS、PaaS、IaaS等商业模式把这强大的计算能力分布到终端用户手中。云计算的一个核心理念就是通过不断提高“云”的处理能力,进而减少用户终端的处理负担,最终使用户终端简化成一个单纯的输入输出设备,并能按需享受“云”的强大计算处理能力。-17-40多亿的移动电话一2010年[数据来源:Nokia]个人电脑和笔记本电脑企业电脑和服务器PDA云计算的特征与优势18•超大规模–Google云计算已经拥有100多万台服务器–Amazon、IBM、微软、Yahoo等的“云”均拥有几十万台服务器–企业私有云一般拥有数百上千台服务器。–“云”能赋予用户前所未有的计算能力云计算的特点19•虚拟化–支持用户在任意位置、使用各种终端获取应用服务–所请求的资源来自“云”,而不是固定的有形的实体–应用在“云”中某处运行,但实际上用户无需了解、也不用担心应用运行的具体位置。只需要一台笔记本或者一个手机,就可以通过网络服务来实现用户需要的一切,甚至包括超级计算这样的任务云计算的特点20•高可靠性–“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠•通用性–云计算不针对特定的应用,在“云”的支撑下可以构造出千变万化的应用,同一个“云”可以同时支撑不同的应用运行•高可扩展性–“云”的规模可以动态伸缩,满足应用和用户规模增长的需要•按需服务–“云”是一个庞大的资源池,你按需购买;云可以像自来水,电,煤气那样计费云计算的特点21优化产业布局优势降低运营成本推进专业分工提升资源利用率减少初期投资产生创新价值云计算的优势云计算与传统计算(分布式计算、IBM大机计算)的成本分析采用云平台技术的效益:节省IT成本90%!!云计算的发展趋势市场引入阶段技术发展、概念推广阶段;云计算概念不够明确;用户对云计算认知度很低;云计算的技术和商务模式尚不成熟;用户不知道云计算到底是什么?能做什么?如何去做?能带来什么好处?有哪些弊端?成功案例十分匮乏;用户对成功案例比较期待;重点厂商各自为政;……成熟阶段云计算厂商竞争格局基本形成云计算厂商解决方案更加成熟SaaS模式的应用成为主流……成长阶段应用案例逐渐丰富;用户对云计算已经比较了解和认可;云计算商业应用理念开始形成;越来越多的厂商开始介入;出现大量的功能丰富的应用解决方案提供给用户;用户会比较主动地考虑云计算与自身IT应用的关系……2007年-2010年2011年-2015年2015年以后•到底什么是云计算?众说纷纭!•公有云是云,私有云不是云?•支持虚拟化叫云,不支持虚拟化不叫云,但是Google不支持虚拟化,而通常都认为Google是云•1000台服务器是云,999台就不是云?•现在有个别高性能计算中心,什么都没变,就是名字改成叫云计算中心判断云计算的标准25•用户所需的资源不在客户端而来自网络–这是云计算的根本理念所在,即通过网络提供用户所需的计算力、存储空间、软件功能和信息服务等•服务能力具有分钟级或秒级的伸缩能力–如果资源节点服务能力不够,但是网络流量上来,这时候需要平台在一分钟几分钟之内,自动地动态增加服务节点的数量,从100个节点扩展到150个节点。能够称之为云计算,就需要足够的资源来应对网络的尖峰流量。当流量下降时,服务节点的数量在随着流量的减少而减少。现在有的传统IDC自称也能提供伸缩能力,但需要多个小时之后才能提供给用户。问题是网络流量是不可预期的,不可能等那么久。•具有较之传统模式5倍以上的性能价格比优势–云计算之所以是一种划时代的技术,就是因为它将数量庞大的廉价计算机放进资源池中,用软件容错来降低硬件成本,通过将云计算设施部署在寒冷和电力资源丰富的地区来节省电力成本,通过规模化的共享使用来提高资源利用率。–国外代表性云计算平台提供商达到了惊人的10-40倍的性能价格比提升。–国内由于技术、规模和统一电价等问题,暂时难以达到同等的性能价格比,因此暂时将这个指标定为5倍。拥有256个节点的中国移动研究院的云计算平台已经达到了5到7倍的性能价格比提升,其性能价格比随着规模和利用率的提升还有提升空间。判断云计算的标准26•判断例子–PC系统–iPhone应用软件–Web网站–上网本–广告联盟–超级计算中心–在线Office–在线CRM–IaaS–Paas–云安全服务判断云计算的标准27网格计算与云计算的比较网格计算•异构资源•不同机构•虚拟组织•科学计算为主•高性能计算机•紧耦合问题•免费•标准化•科学界云计算•同构资源•单一机构•虚拟机•数据处理为主•服务器/PC•松耦合问题•按量计费•尚无标准•商业社会云计算体系结构29当前IT架构30服务器存储数据库交易过程互联网门户文件系统底层系统管理./安全底层系统管理./安全底层系统管理./安全财务•云服务提供–面向云服务消费者,提供统一登录界面和访问–根据云服务资源状况和消费者需求,包装云服务资源–对云服务的消费设立服务等级,按需计费–管理云消费者状态和请求•云服务管理–运行维护云计算架构系统,保障云架构的稳定和可靠•云服务资源–是云计算架构向消费者提供服务的根本–根据平台的特征,分为•软件即服务—SaaS•平台即服务—PaaS•基础架构即服务—IaaS云计算整体架构云服务提供云服务消费者云服务资源云服务管理31•服务目录与服务门户–云服务消费者接口–提供服务清单、服务说明等•用户管理–对云服务消费者的权限管理、帐务管理、信息管理等•4A管理–对云架构内的访问、权限、审计和XX的安全管理•客户服务管理–云服务消费者的服务请求、服务受理、投诉建议等的管理•SLA管理–云服务的等级协定管理,定义和管理云服务的响应时间、响应级别等•计费管理–管理云服务的费率、批价、计费/收费、账务、优惠等•业务连续性保障管理–通过建立容灾备份系统等保障云服务的持续运行云服务提供架构32云服务提供4A管理SLA管理用户管理计费管理业务连续性保障管理客户服务管理服务目录服务门户•运维管理–IT运维管理流程•基于ITIL的IT服务管理,保障运维工作的规范化和标准化–运维自动化管理•通过自动化手段,对大规模的云架构内系统进行维护,提高运维管理效率和管理质量,提高对服务需求的响应速度–统一监控管理•对云架构内软硬件及应用系统进行全方位的监控管理•安全管理–服务器安全管理•服务器的安全加固•防病毒管理等–数据安全管理•数据存储加密•数据传输加密•数据备份–网络安全管理•防入侵管理•安全域管理云服务管理架构33云服务管理运维自动化管理网络安全管理IT运维管理流程服务器安全管理数据安全管理统一监控管理运维管理安全管理云服务资源架构34云资源环境(IaaS):云计算以服务的方式提供存储,网络,服务器等计算资源基础设施资源云平台环境(PaaS):向下使用云计算资源,向上对云服务的构建和部署提供支撑平台资源云服务(SaaS):被云环境外部的组织机构使用的,具有特定能力的服务应用资源IaaSPaaSSaaS云服务资源架构(续)35计算资源池基础设施资源存储资源池网络资源池平台资源应用资源数据库中间件ERP办公服务自动化运维管理系统监控管理商业智能操作系统资源开发环境测试环境IaaSPaaSSaaS并行计算框架•物理资源层–物理资源实体的提供层,包括:•服务器资源•存储资源•网络资源•虚拟化平台层–将物理资源实体进行虚拟化,以实现对物理资源的整合、池化和共享•资源服务提供层–将虚拟化的物理资源进行分割和包装,形成可对外提供服务的虚拟资源–根据服务对象需求,灵活、动态调配虚拟资源IaaS资源架构36服务器物理资源层存储网络虚拟化平台层资源服务提供层虚拟机VM资源动态分配虚拟服务器资源池虚拟存储资源池虚拟网络资源池虚拟磁盘虚拟网络•虚拟机动态部署–根据资源和虚拟机负载情况,灵活、动态的部署虚拟机•实时容量规划–基于资源的实时数据,进行优化评估,实现资源的智能调整•统一控制–统一管理相关资源IaaS资源架构--资源动态分配37资源服务提供层虚拟机动态部署资源动态分配实时容量规划统一控制•小型机服务器虚拟化–硬分区/物理