一、什么是云(Cloud)
云计算是指通过网络在远程位置向客户提供计算服务的任何情况。现在这个定义很宽泛,它包含了许多不同类型的活动。
简单来说,当我们访问自己的Gmail账户时,正在使用云计算。谷歌正在通过互联网为我们提供电子邮件服务。我们不需要知道或关心使Gmail工作的大量技术基础设施,只需打开网络浏览器并访问该网站,所有的技术都对我们来说都是透明的。当我们在亚马逊网络服务中建立一个服务器时,也在利用云计算。亚马逊呈现给我们的似乎是你自己的服务器,但实际上,它是在一个巨大的亚马逊数据中心与许多其他客户共享的硬件上运行的一个虚拟化服务器。同样,使这种情况发生的技术对我们来说是看不见的。
下面是美国国家标准与技术研究所或NIST使用的定义。NIST将云计算定义为一种模式,用于实现无处不在的、方便的、按需的网络访问可配置的计算资源的共享池,例如,网络、服务器、存储、应用程序和服务(networks, servers, storage, applications, and services),这些资源可以在简单的管理或服务提供商的互动下被轻易地配置和释放。这是一个非常长的定义,所以让我们把它分开成如下几个小点:
- 云计算是无处不在的,方便的;
- 云的资源无处不在。无论我使用哪种云计算解决方案,只要我们能够接入互联网,就能接触到这些资源;
- 云计算也是按需使用的。在大多数情况下,我们可以根据需要创建和销毁云资源。如果我们需要一个新的服务器,可以点击几个按钮,在几秒钟内就可以运行一个。
云资源通常可以通过互联网访问,但在私有云的情况下,它们也可能只在私有网络上。云的许多关键优势来自于这样一个事实,即它使用一个共享的资源池,不同的用户可以为不同的目的进行配置。这种共享允许超额使用,因为不是每个人都会在同一时间使用所有的资源,而且它实现了规模经济(Economy of scale)。被访问的资源可能是任何类型的计算服务,例如网络、服务器、存储、应用程序和其他服务。云资源可以根据需要快速启动,这通常是以自我服务的方式进行。我们不需要打电话给AWS,要求他们为我们准备好一个新的服务器。而从一个一般用户的角度来看,它呈现出似乎是无限的容量。
二、云计算中的角色(Cloud computing roles)
在云计算的世界里,人们和组织承担着不同的角色和责任。作为一名云安全专业人员,我们必须了解这些不同的角色。云计算世界的两个主要角色是云服务提供商(Cloud Service Provider)和云客户(Cloud Customer)。
- 云服务提供商是向第三方提供云计算服务的企业。云服务提供商负责建立和维护他们的服务产品。他们可以通过创建自己的物理基础设施来做到这一点,或者他们可能将部分基础设施外包给其他云服务提供商。在这种情况下,云服务提供商也是云客户。
- 客户是云计算服务的消费者。他们使用云服务作为基础设施、平台和/或应用程序,帮助他们运行自己的业务。
云服务提供商和客户之间的关系可能因服务的性质、重要性和成本而有所不同。客户可能从不与云服务提供商的员工互动,只在自助服务的基础上购买服务,或者云服务提供商可能有专门的客户代表,帮助管理与不同客户的关系。
-
云服务合作伙伴(Cloud Service Partner) 在云生态系统中扮演着另一个重要角色。这些是第三方公司,他们提供一些产品或服务,与云服务提供商的主要产品互动。例如,云服务合作伙伴可能会协助公司实施云应用程序,或者他们可能提供安全监控服务,为使用云基础设施产品提供操作帮助。大型云服务提供商通常有一个认证计划,指定第三方供应商为官方合作伙伴。合作伙伴在许多云服务的实施中发挥着重要作用。
-
云访问安全代理(Cloud Access Security Broker),即CASB。这些是云服务提供商,他们向云客户提供管理身份和访问管理服务,在云服务中整合安全要求。
三、云计算的驱动力(Drivers for cloud computing)
企业出于各种不同的原因,为其部分或全部工作负载选择云计算。让我们来看看使用云计算的几个关键驱动因素:
-
首先,云计算提供按需自助计算(On-Demand Self-Service)。这意味着技术员在需要云资源完成工作时,几乎可以立即访问云资源。这对个人贡献者和组织来说,是一个令巨大的敏捷性的提高。在按需计算时代之前,一个想尝试一个新想法的技术专家可能需要对实施该想法所需的服务器进行规范,获得资金批准,订购硬件,等待它的到来,实际安装,并在开始实际工作之前配置操作系统。现在,这可能需要几周的时间,而今天,同样的任务可以在几秒钟内在云中完成。
-
云解决方案也是可扩展(Scalability) 的。这意味着,随着对服务需求的增加,客户可以很容易地增加他们的可用容量。这可能以两种不同的方式发生。横向扩展(Horizontal Scaling) 是指在我们的池子里添加更多的服务器。如果我们运行一个支持2000个并发用户的网站,有两台服务器,那么每次我们的使用量再增加1000个用户时,可能会增加一个新的服务器。云计算使这一点变得相当容易,因为我们只需点击几下就可以复制现有的服务器。垂直扩展(Vertical Scaling) 指的是增加我们现有服务器的容量。例如,我们可能会改变分配给一台服务器的CPU核心数量或内存数量。在真实世界中,这将意味着打开服务器并增加物理硬件。在云中,我们只需点击几个按钮就可以增加内存或计算能力。
-
云还提供快速的弹性(Elasticity)。弹性是一个与可扩展性密切相关的概念。弹性是指随着短期需求的波动而增加和减少的能力。如果我们的网站开始经历访问量的爆发,弹性允许自动增加服务器,直到该容量得到满足,然后在不再需要该容量时删除这些服务器。
-
云提供广泛的网络访问(Broad Network Access)。如果用户有能力访问互联网,就可以从任何地方连接到公共云解决方案,在办公室,在咖啡馆,或在路上。
-
最后,云计算提供计量服务(Measured Service) 是其决定性的特征之一。这意味着我们在云中所做的一切几乎都是计量的。云供应商衡量我们使用虚拟服务器的秒数,所消耗的磁盘空间,所做的功能调用的数量和许多其他措施。这使他们能够准确地按我们使用的服务收费,不多也不少。
四、多租户计算(Multitenant computing)
公共云是建立在多租户的操作原则之上的。这只是意味着许多不同的客户共享使用相同的计算资源。支持我的工作负载的物理服务器可能与支持你的工作负载的物理服务器相同。单个客户不应该看到多租户的影响。服务器应该看起来完全独立,并执行隔离原则。
- 从安全的角度来看,一个客户不应该能够看到属于另一个客户的数据;
- 从性能的角度来看,一个客户采取的行动不应该影响另一个客户的行动。
维护隔离( Preserving isolation) 是云服务提供商的核心安全任务之一。多端性允许云提供商超量订阅其资源。几乎所有的计算工作负载的需求都会随着时间的推移而变化。一个应用程序可能在早上的几个小时内有很高的CPU利用率,而另一个应用程序在一天中使用小的峰值,而其他应用程序有稳定的使用,或不同的峰值。
超额认购(Oversubscription)意味着云供应商可以向客户出售超过其基础设施实际物理容量的总容量。因为,总体来说,客户永远不会同时使用所有的容量。当我们把这些工作负载放在一起时,它们的总利用率永远不会超过环境的总容量。多租户的工作原理是一个叫做资源池(Rescource Pooling) 的概念。物理环境的内存和CPU容量在许多不同的用户之间共享,可以根据需要重新分配。当然,有时这个概念会被打破。如果客户突然对资源的同时需求超过环境的总容量,性能就会下降。这可能会导致速度减慢和中断。防止这种情况的发生是云服务提供商的关键运营任务之一,提供商努力管理工作负载分配,以防止这种情况发生。
五、成本-效益分析(Cost-benefit analysis)
计划迁移到云端的组织应该进行成本效益分析,以帮助他们做出决定。成本效益分析列出了与决策相关的所有好处以及相应的成本。
在其最基本的形式中,成本效益分析可能是严格的定量分析,简单地将一项变化的财务效益相加,然后减去相关成本,以确定该决定是否有利可图。计划进行小型云迁移的机构可能会进行简单的成本分析,只比较每个选项的直接成本。例如,如果在企业内部建立一个网站需要15,000美元的设备,而该设备的生命周期为5年,那么运行该网站的预期成本约为每年3,000美元。如果运行同一网站的云计算成本较低,那么这个决定在财务上是合理的。
随着企业扩大其云计算的雄心,他们的财务分析变得更加复杂。它将需要纳入新的因素,如电力成本、数据中心设施成本、新技术的培训成本、咨询服务以及与转型相关的员工时间等许多成本。规划大规模的云计算部署是一个复杂的商业问题,需要仔细分析。
我们同样需要明白,不是所有的云的好处都是直接的财务成本。事实上,有些云迁移可能会给企业带来净损失。成本效益分析还应该包括更多的无形效益(Intangible benefits),如提高开发人员和管理员的生产力和敏捷性,提高可扩展性和弹性,获得新技术,从资本支出模式过渡到运营支出模式等。进行成本效益分析的无形部分没有什么具体的公式。一个简单的方法是先进行财务分析,如果对组织来说有一个净成本,就问自己无形的好处是否证明这个净成本是合理的。
六、安全服务提供者(Security service provider)
当企业寻求将其技术基础设施的组成部分外包时,他们经常求助于管理服务提供商(Managed service providers)或MSP来执行他们的任务,或者认为可以由第三方更有效地执行。
在某些情况下,这意味着求助于外部公司来提供关键的安全服务。为其他组织提供安全服务的供应商被称为管理安全服务提供商(Managed Security Service Providers)或MSSPs。MSSPs在一个组织的安全计划中发挥着至关重要的作用,应该仔细监测。MSSPs的服务范围可以有很大的不同,他们可以为不同的客户提供不同的服务。一些MSSPs接管了管理组织安全基础设施的全部责任。另一些则执行特定的任务,如日志监控、防火墙和网络管理或身份和访问管理。在所执行的服务具有更多的软件即服务(Software as a service)的感觉的情况下,供应商也开始使用安全即服务(Security as a service) 这个术语。
我们可以把安全作为服务看作是MSSP的一个子类别,但这两者之间的界限非常模糊。云访问安全代理(Cloud Access Security Brokers)是一类安全服务,它为用户与其他云服务的互动增加了一个第三方安全层。云访问安全代理以两种不同的方式工作。
- 在基于网络(Nework-Based CASB) 的方法中,代理在用户和云服务之间,监控请求并观察潜在的违反安全政策的情况,如与未经授权的用户共享敏感文件。如果发生违反行为,代理可以在请求被发送到云提供商之前阻止它;
- 在基于API(API-Based CASB) 的方法中,代理并不在用户和云服务提供商之间,而是使用API与云服务进行交互,定期查询以监测安全问题。这种方法的好处是完全存在于云中,但根据架构的不同,它可能无法实时工作以阻止请求。
正在考虑使用第三方安全服务的组织应该制定一份书面协议,概述明确的责任,提供服务水平协议,并明确涵盖事件通知和响应做法。
参考资料来源:
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601