中国IDC圈7月17日报道:7月15日至7月16日,由工业和信息化部指导,工信部电信研究院、中国通信标准化协会主办,数据中心联盟和云计算发展与政策论坛承办的"2014可信云服务大会"在北京国际会议中心盛大召开。本次会议以"可信中国云 未来新生态"为主题,积极推动了国内可信云服务认证体系的建立,促进云计算产业良性发展。工信部总工程师张峰、财政部政府采购管理办公室主任王瑛、中央国家机关政府采购中心主任王力达、工信部电信研究院院长曹淑敏、中国通信标准化协会秘书长杨泽民、工信部通信发展司副司长陈家春等重量级嘉宾均出席了会议。其中数据中心联盟副理事长、工信部电信研究院通信标准所副所长何宝宏也应邀出席了大会并发表精彩演讲"可信云服务最佳实践报告"。
以下为何宝宏演讲实录:
何宝宏:
很高兴能够介绍一下可信云服务的最佳实践。我介绍大概分为三个方面的内容:一个是背景的介绍,第二是整个的情况,最后统计一下19个云服务商目前的实践情况。
为什么要做云服务的认证,我国的公有云服务市场47.6亿的人民币规模,规模不大,但是增长非常快,根据研究院的调查,目前大家担心的问题,主要是涉及到用户的安全性、隐私可靠性,这种担心超过了50%.目前主要是市场初期服务不规范,水平参差不齐,需要引导大家。
如何解决这个问题,很多国家有类似的做法,日本就有关于云服务的信息披露的认证体系,韩国有一个云服务商的,德国有一个可信云服务的认证体系,也包括了一些技术和产品的。美国的还有针对安全方面的。
目前在这个情况下,我们需要一些手段来引导,目的是为了建立云服务的评估体系,为用户提供指导。去年5月份我们召开第一次会议,大家一致认为我们需要引导行业的规范,因为即使在规模不大的情况,也出现了很多混乱的情况。
这是一个工作的基本过程,去年6月份的时候,我们确定了可信云服务认证的基本的框架和基本的思路。尤其是可信云与其他的行业云,比如说金融、政府采购的关系。在去年7月份和9月份,连续召开了三次会议,完成了相关的云服务协议的参考框架,可信云服务的认证的评估方法,可信云操作方法三个文件。从去年10月份到今天,这个时间很长。
今年1月份到今年的3月份,第一批云服务评估的情况,完善了评估的标准和方法,完善了相应的协议,并且补充了实际考察和检测方面的要求。今年3月份到现在,对云主机服务,云数据库服务等35项进行了评估。这种完全是平等、自愿开放的原则。
评估的方法包括五个方面,第一个是披露企业的基本信息,披露云服务的基本信息,云服务的承诺要完整,承诺要规范,承诺的真实,这里面有一个商业的规范,要参考这个标准。
我们的服务呢不针对产品,不针对企业,不针对企业,只是针对特定的云的服务,这需要特别的强调。不能说某个云服务商通过了认证。
我们关心16个核心的指标,数据的私密性,我们想回答会不会被别人看到,数据的知情权是数据在哪里,谁会接触这些数据。在服务质量方面,它的功能是否完整?资源的调配能力弹性如何,故障的恢复能力这个好理解。计量的准确性,这个很清楚了。
如何做到可信?我们自身如何做到可信?五招:第一个是做文档的审查,技术的测评,对多项的指标进行技术的测评,现场的查验,专家组的评审,外部的复审。还有一个持续的检测。
申请的服务商是33个服务商,涉及到54种云服务参与评选,这次我们有19个云服务商,36个云服务推动了这一次的评估,还有一些没有通过的,主要原因是我们规定你必须有超过6个月以上的运行的记录,有的没有做到。还有一些我们强度web的服务。
这是我们统计的一个结果,36种云服务,涉及到了1112项指标的审核和测试,有问题的指标有210项。经过评估和整改,占整个的指标项19个。问题主要是集中在业务的可用性,网络的接入性能,集中显现在这几个方面。数据存储性、可销毁性、私密性。这几个方面的问题比较多。
经过我们的评测,目前35个云服务,获得的认证,企业基本信息是真实的,承诺是完备的,达到了我们的要求。格式是规范的,指标达到了标准要求,真实的能力与承诺是相符的。具体的结果我们可以在我们的官方网站上,有一些信息的披露。
我们还总结了一个可信云服务最佳的实践,披露一下目前为止国内在哪些方面。现在我们活动的开展,从去年到现在,已经10个月的时间,可信云的评估,已经见证了国内云服务市场发展的变化。1月份评估的结果,和今年的7月份已经发生了变化。由面向中小型提供服务,发展到政企用户提供专业化的服务方向,这是非常明显的变化。
我们在1月份的时候有多家服务商的云服务还处于公测阶段,这一次的评估,已经进入到了商业的正式运营的阶段。另外,我们看到左下角,在一月份的评测的时候,我们看到以中小用户为主的服务比例高达60左右。这次我们面向政企大客户,明显的有变化。
另外我们在1月份的时候,普通公有云服务,大概是50%到60%.这一次评估已经更多的面向了政企和行业的市场,面向了更多的行业领域。
我们在评估中,曾经出过什么问题呢?35个云服务的指标,当时都是不完备的。在我们的服务协议中,主约和副约的关系不清,没有区分主副约,没有明确的云服务协议。我们目前看到服务协议的签署,应该是这样的一个要求,目前我们看到的情况,最好是不同的云服务,要有独立的服务协议,每个服务协议,应该区分主约和副约。主约的部分,要说明服务协议的范围,主约部分包括数据安全、权益保障,包括数据的持久性、隐私等。服务质量的指标,可以写在主约中,也可以写在副约中的。所有描述的指标,都需要规范,这是我们看到大家写协议要注意的几个事情。
数据的持久性,根据我们这35家的统计,主机大概是四个九,三个九,对象存储是6个9.云引擎只有一家。数据存储的持久性,硬盘的平均故障率越低越好。缩短时间,可以增加备份。
可销毁性,目前我们通过评审发现19个运营商有规范的流程,可以保障数据的安全。销毁的方式多种多样,有高级清零法、便利删除法为主的数据消除方法。大概硬盘报废主要是采用物理销毁的方式,目前做的最好的情况是这样的,要有完全的数据删除和硬件销毁的管理流程。从成本的角度出发,采用便利删除的方式。
数据的可迁移性,目前是这样的,对于主机来说,17个云服务都能够实现云主机镜像的迁移。其中镜像的格式,有五个是AM的,一个是实现用户可以完全自主的操作实现,有15个镜像还需要管理员的协助。还有一个必须采用第三方的软件来实现。有一个云服务商,提供自由格式的迁移,一个云服务能够实现客户端的工具,进行数据文件的迁移。并带有自主上传下载的优势。商业上应该允许,主机的对象迁移,云主机的冷迁移,应该都能够实现,都需要服务商协助完成。云主机的迁入迁出,能够形成统一的工具进行迁入的设计。这是我们看到的一些情况。
数据的私密性,5个可以实现同一个不同内网的隔离,网络的隔离策略,另外四个形成了安全的阻隔策略。有一个可以实现自主创建虚拟网络。
其中有七个采用了迁移技术,对数据库来说,基本的数据库隔离方法,有两个采用了身份验证。一个采用了网络的隔离,两个采用了安全的隔离。
对于同一用户下,云主机网络的管理,搭建自己的私有网络,还可以采用虚拟机隔离,增加安全性。
应在服务协议中,根据相应的标准,进行规范性的描述,数据存储在哪些数据中心,数据存储所在数据中心的地理位置,应该细化到数据中心的名称。数据的位置,用户是否是可以选择的这个要说明。告知用户数据,用户数据的使用什么类型,这一数据流动的承诺,要做大数据相应的分析。
可审查性,从资料审查来看,云服务可审查性的最佳实践案例是这样的,运维人员的管理,应该有人员背景的调查,保密协议,安全教育的培训。对于用户,包括明确适用的法规,个人数据的保护和隐私两个方面。运维人员,每个操作的日志等。
服务的功能最佳实践,什么是云主机?云主机应具备以下的功能,尤其增加了删除的功能,云主机包括帐号的登录,订购云主机,云主机的启动。察看云主机的重起,必须有删除云主机的功能。
但是对于服务可用性的最佳实践是这样的,云主机是三个九,对象存储是99.9,云引擎是三个九。基础设施的架构由IDC机房的故障率决定。虚拟化软件和管理软件,要提高业务的故障监控,故障及时通过用户等运维管理的机制。
那么故障的恢复能力大概是这样的,主要是资源状态的监控,故障的报警、鼓掌的处理。业务层的监控,包括监控,资源的监控。运维终端,包括资源的管理,库存管理、资源扩充提示以及统计报表等。
云服务的资源浪费弹性,目前增减主机的时候,16个云服务商都可以支持,增加或者是减少主机的数量,带宽升降有5个服务商支持,5个服务商只是支持上升,不支持下降。CPU的内存升降方面,7个服务商有四个支持,资源调配的速度方面。CPU和内存的升降,都在2分钟之内完成。
最佳实践是这样的,在资源调配准备方面,云服务商应该实现主机的增减,在资源的调配数量方面,应该在两到三分钟之内,删除的主机时间不超过一分钟。CPU和内存的变更,不应超过增加主机的时间。
网络的性能,35个服务商承诺PHR值都小于50%,但是负偏差不能超过5%.网络接入的性能,为了保护用户和云服务商双方的权益,需要做一定的带宽,另外还要考虑波线接入的问题。
在帐单保送上,7个服务商在下个月初,可以出帐单明细。10个为包月、包年,3个月按需计费。
数据库,在帐单上,三个是包年包月,云引擎是按照用户的等级收费的。运营商能够给出实时的帐单,应该在计费周期结束后,尽快的给出帐单。
最后四个是权益保障,按照目前的规范性的要求,希望的标准参考。赔偿有下限,应该有上限。有赔付金额的。这个情况可以参照即将推出的更加详细完整的可信云最佳实践。
可信云的认证,本质上可信云是一种信息的披露制度,希望你提供的信息是规范的,是有规范要求的。16个指标必须要完整的披露。不针对产品,更不针对企业,希望大家包括在座的媒体,都要讲什么企业通过了云服务的认证,没有一家企业会通过可信云的认证,因为可信云是不针对企业的。
可信云实施的主体是数据中心联盟和政策发展论坛,他们是独立的第三方组织。另外要从完全自愿的这是行业的自律信息。另外是市场化的活动。实际上是不与任何其他的东西挂钩,我们只做标准,只做认证。至于标准的采购,是其他机构的事情。
最后,获得我们认证标识,意味着该服务商的服务工作符合联盟公开文件的要求,具备了这样的能力,但是不意味着一定是这样签的。是对潜在云服务商,所申请云服务的信息披露,意味着用户依然留意,在具体的使用中可能会存在风险,因为我们毕竟认证的是今天之前的数据。谢谢大家对可信云认证的支持,感谢大家参加我们的会议,谢谢大家。
热门专题
