四、云安全

随着企业云计算平台的大规模落地建设和快速发展，云平台环境下如何进行网络安全建设已经成为企业网络安全和企业云计算中最为重要的内容之一。同时根据IDC权威统计，安全已经成为云计算所面临挑战中排首位，75%的用户在安全性上犹豫不决，如何进行云计算环境下网络安全建设，是每个上云企业必须要考虑的重要内容，甚至是企业上云的前提必要条件之一。由此凸显云安全在云计算中的重要性。

既知云安全在云计算中的重要性，那么如何进行云安全的设计、架构和建设落地呢？首先，还是应该简单了解一下什么是企业云计算。

1、企业云计算

1.1、云计算简介

美国国家标准与技术研究所（NIST）2009年7月提出云计算定义，2011年9月NIST云计算定义被正式发布为SP800-145标准：云计算是一种模型，它可以实现随时随地，便捷的、随需应变的从可配置计算资源共享池中获得所需的资源（如网络、服务器、存储、应用及服务），资源能够快速供应并释放，使管理资源的工作量和服务提供商的交互减小至最低限度。

云计算由可配置的共享资源池组成，该资源池通过集成网络、服务器、存储、应用与服务等软硬件资源，通过软件定义的方式提供计算、存储、网络等资源服务。资源池具备自我管理的能力，用户只需要少量参与就可以方便快捷地按需获取资源。同时云计算提高了资源的可用性，具有5个基本特征、3种服务模式和4种部署模型：

5个基本特征：按需自助服务、广泛的网络访问、资源池、快速弹性、测量服务。

3种服务模型：云软件即服务（SaaS）、云平台即服务（PaaS）、云基础设施即服务（IaaS）。

4种部署模型：私有云、社区云、公共云、混合云。

比较典型的企业混合多云的部署架构如下所示：

该架构为中大型集团企业的混合多云平台架构。由四层组成：基础资源层、云计算层、云服务层和用户层，面向的对象主要有集团企业内部用户（分支机构）和外部用户等。基础资源层整合集团多数据中心建成的私有云、公有云和行业云资源（有些行业属性特别强的集团企业如银行、电力、民航等，一般都有上级监管单位或大型机构建设的专业云）形成统一的IT资源池，为上层提供资源服务；云计算层主要为云服务层的研发、运维等提供基础的云服务，以便进一步为上层云服务层提供简便易用的服务支撑；云服务层通过建设门户式服务的方式为用户提供自主、自助的服务。多种技术架构和模块但愿，多层次、多维度的组成集团云平台，为集团应用系统提供安全、稳定、高效的运行环境。

1.2、云计算的参与角色

要想做好云安全，除了了解云计算的技术架构外，还要剖析云计算的整个过程中的主要参与角色，因为按照网络安全法的要求，网络安全要权责到人，所以在了解云计算时，要熟悉整个云计算的参与人员、组织或团队，以便后面云安全参与者的权责划分。相比传统IT模式，云计算的参与角色在数量上进一步增加和范围上持续扩大（尤其是公有云环境），同时安全权责的界定也变得更加复杂。

按照GB/T 35279-2017《信息安全技术 云计算安全参考架构》的描述，实际上，在云计算的建设、管理、运营和使用的全过程中，主要有5类角色：云服务商、云服务客户、云审计者、云代理者和云基础网络运营者。每个角色由一个或多个实体（个人或组织）担任，针对不同的云计算服务模式和部署模式，提供不同的服务：

（1）云服务商是负责为云服务客户直接或间接提供服务的实体，云服务商的相关活动包括云服务资源的提供、部署、编排、运营、监控和管理等。

（2）云服务客户是为使用云资源同云服务商建立业务关系的参与方，云服务客户可以直接为用户使用云服务，云服务客户也可为保证用户使用云服务的运行稳定而提供服务计量、计费与资源购买等运营管理服务。

（3）云代理者是管理云服务使用、性能与交付的实体，并在云服务商与云服务客户之间进行协商。一般来说，云代理者提供三种服务：聚合、仲裁与中介。

（4）云审计者负责对云服务提供独立评估、审计，负责审计云服务的供应与使用。云审计通常覆盖运营、性能与安全，检查特定的审计准则是否得到满足。

（5）云基础网络运营者是云服务连接与传输的执行者，主要提供基础网络通信服务。

对于云计算的参与人员，参考GB/T 35279-2017《信息安全技术 云计算安全参考架构》，可以更进一步分析，一般云平台的参与人员还可以这样划分：云平台建设者、云平台所有者、云平台运营者、云平台使用者、云平台监管审计者等。

（1）云平台建设者：建设云平台的组织机构，跟云平台所有者一起设计或是按照云平台所有者的设计进行云平台的建设。建设完成之后，交付至云平台所有者。

（2）云平台所有者：云平台的所有权拥有者，一般是云平台的发起人。可以参与云平台的设计、建设和运营，也可以委托第三方专业机构运营云平台。

（3）云平台运营者：运营云平台，运营包括两方面，运营和运维，有的时候，运维者不与运营者统一组织。

（4）云平台使用者：即云平台的客户。

（5）云平台监管审计者：即对云平台进行监管、审计的组织机构。在公有云环境，该监管设计者较为复杂，包括公有云厂商的监管审计部门和上级单位、公有云客户的监管审计部门和上级单位、国家监管机构等。