聊聊云计算标准背后的秘密 | 硬创公开课

正文

请到「今天看啥」查看全文

云计算带来最大的变化是什么？

以前用ISO的组织框架来规范自己，能保证执行的力度。而现在把数据和系统放到云服务商手中，那约束自己就变成了考核另一方是否能有效约束自己以及有足够的能力保障安全可信，总的来说新增的是云服务商让客户信任的能力。在这种情况下，只有安全组织框架和管理流程是远远不够的，因为一是不能真实反应对方的执行情况，二是不能真实考核对方能达到隔离安全的程度，三是如果对方有了安全问题没有机制保障后果。ISO只对事前负责，并不包括事中和事后的约束。所以需要更多的标准对云服务商的事前、事中、事后的真实能力和执行情况进行评价。

国际上现有的ISO-IECJTC1-SC38_N1074框架、ISO-IECJTC1-SC38_N1072术语这两个标准的核心其实都是早期美国NIST提出的云计算概念，现在耳熟能详的公有云、私有云、混合云等等概念都是出自NIST，这两个标准主要关注云计算术语框架等基本概念，所以在初期普及概念是可以的。

反观国内也有不少标准体系，比较主流的如下：1）可信云评估体系，2）云计算综合标准化，3）等级保护云计算版，4）云计算安全国标。

一、可信云

可信云评估体系主要面向用户，约束云服务商信任问题，针对云计算的特有的问题，评估指标规范客户信任云服务商的指标，针对云服务的真实能力进行评估，真实反应事中云服务商的执行情况，真实考核对方能达到隔离安全的程度，以及事后有安全问题时的赔偿机制。主要用于用户选购云计算的招标规范，主要目的是规范云服务商SLA的指标和能力，也是目前国内云计算信任体系的权威标准。

可信云事前评估面向四大方向：公有云服务包括云主机、云存储，企业级SaaS等等，目前已经有73家133个云服务通过认证；私有云开源软件，如OpenStack；专项评估包括运维、安全、性能；云保险风险评估。

可信云事中评估：云主机可用性监测；

可信云事后规范：云保险机制。

事中：云主机可用性监测

事后：云保险机制，保障风险

以下是可信云面向公有云的16项指标：

数据 控制  数据存储的持久性

数据可销毁性

数据可迁移性

数据私密性

数据知情权

服务可审查性

服务质量  服务功能

服务可用性

服务资源调配能力

故障恢复能力

网络接入性能

服务计量准确性

权益保障  服务变更、终止条款

服务赔偿条款

用户约束条款

服务商免责条款

企业级SaaS的指标如下图：

可信云的运维和ISO不同在于主要面向运维系统：

可信云安全专项评估

私有云的OpenStack解决方案如下图：

请到「今天看啥」查看全文