云计算,从概念到实践
据统计,当前比较经典的云计算定义超过五十种。不同的专家、企业都从自己的角度对云计算的概念进行定义。其中得到比较一致认可、比较权威的是美国国家标准技术研究所(NIST)的定义。
NIST对云计算的定义:云计算是一个模型,这个模型可以方便地按需访问一个可配置的计算资源(例如:网络、服务器、存储设备、应用程序以及服务)的公共集。这些资源可以被迅速提供并发布,同时最小化管理成本或服务提供商的干涉。云模型由五个基本特征、三个服务模型和四个发布模型组成,如下图所示。
图注 云模型
在云计算具体实践中,一般是从某几个方面开始涉入,与具体的应用结合,找到一条通过云计算技术来提升效率的商务模式成功之路。
我国在战略上非常重视云计算的这一波浪潮,在国家多个部门的十二五规划中,把云计算提到了一个非常重要的位置。并在多个城市、多个企业,开始云计算的试点。在云计算的试点实践中,如何有规划、分步骤的开始云计算系统的建设,是一个重要问题。启明星辰积极参与政府、企业等用户单位在云计算技术上的规划,在用户建设云计算系统的过程中,探索其安全保障方案。
某大型国企的云计算系统建设过程与安全保障方案实践
在国内云计算系统的建设实践中,比较典型的推进方式是:从私有云开始,从IaaS服务开始,逐渐扩展到云计算应用的其他方面。
如下图所示:某大型集团企业的云计算系统规划如下:
1、通过资源层的整合,将核心计算域的服务器资源,整合成计算资源池,形成云计算数据中心,并通过引入服务器虚拟化技术,提高资源使用效率。
2、通过统一管理平台,解决云计算数据中心的资源分配与管理,实现动态弹性部署和备份迁移管理。
3、开发云计算系统的用户管理和用户自服务界面,对集团内部各部门和各业务系统提供IaaS服务。
在私有云和IaaS服务基础上,扩展到针对集团内部的PaaS/SaaS服务,扩展到对外提供服务。
图注 某大型集团企业的云计算系统规划
在整个云计算系统的实施过程中,相应的安全保障措施是对客户提出的一项巨大挑战。启明星辰、网御星云和用户一起,根据云计算系统的不同建设阶段,提出了相应的安全保障措施。
1、在计算资源整合和服务器虚拟化阶段。安全保障的关键是:解决服务器虚拟化所带来的安全网关部署位置问题。
2、在统一管理平台阶段,安全保障的重点是:解决虚拟服务器动态部署所带来的安全功能伴随迁移问题。
3、在用户自服务接口开发阶段,安全保障的重点是:统一身份认证系统的建设和运维审计问题。
服务器虚拟化之后的安全设备部署
服务器虚拟化对安全网关设备的部署提出了新的要求。
1、 传统的安全设备,需要支持多实例(也称为虚拟安全网关),每个实例支持独立的安全引擎和安全管理配置界面,以支持云计算系统中的多个用户使用。
2、 在同一台物理服务器内部的不同虚拟化服务器之间的通讯流量不经过网络,需要一种新形态的安全设备,部署在虚拟操作系统内部,可以对虚拟服务器之间的访问进行控制。
一般来说,在服务器虚拟化场景下部署的安全网关主要有以下形态:
启明星辰和网御星云一直密切关注云计算技术的采用对安全产品形态的影响,已经分别发布了相关产品和解决方案,积极支持企业用户的云计算建设。