国内云计算自2009年起步,到现在已经成长为一个数百亿元规模的市场,一大波创业者嗅到了这一商机之后,打着“云服务”旗号的企业俯拾皆是。的确云计算创业的门槛在降低,各种服务的落地也很顺利。但雷锋网也发现,这一野蛮式的增长也带来了一系列的问题。
俗话说,无规矩不成方圆。随着云计算产业的规模逐渐扩大,各家企业提供的服务也是稂莠不齐,大家都知道,在采购云服务时稍有不慎就可能给公司造成重大的损失,如何在千千万万个云计算厂商挑出最适合自己的是个问题,而云计算的标准化就是取胜之匙!
众所周知,国外的云计算发展早于国内,而且相关的标准也相对成熟,最近几年国内组织机构开始对云服务的标准化工作重视起来,中国信息通信研究院制定的可信云认证就是其中之一。那么在各种标准纷纷袭来的时候,云服务商以及云服务采购方又该如何接招呢?本期雷锋网硬创公开课将为您一一解答。
栗蔚,中国信息通信研究院技术与标准研究所主任工程师,云计算开源产业联盟秘书长,数据中心联盟可信云工作组组长。中国信息通信研究院负责可信云、云计算开源、云保险、金牌运维等多个云计算相关工作,编写可信云《云计算服务协议参考框架》,《面向政务的云服务》,Y.3501 Trusted Cloud等国内国际云计算标准20余项。
以下内容整理自本期公开课:
不可否认,国外某几个云服务商在技术稳定性、弹性等某些方面确实比国内走得快,现在国内外的云服务发展也还没到一个非常成熟的阶段,成熟与否要看整个产业。产业总体来说还是一个初级形态,包括运维、安全、应用的总体生态还远远没有形成。根据中国信息通信研究院《2015年公有云/私有云调研报告》中国云计算产业规模总共近500亿,中国的云计算每年处在30%-40%的增长速度,从规模和行业客户覆盖度来说也都只是初级阶段。很多标准在这种情况下很多还只是关注虚拟化、信息系统,包括国外的一些标准,所以并没有到一个成熟的阶段。
我们可以通过以下几个方面来评价标准:
1)是否满足技术发展阶段;
2)是否有效规范了相应的技术;
3)是否满足用户需求。
目前国内外的标准在第一点表现都不错,但是第二点和第三点不同。以CSA-STAR为例,其实还是以ISO27001为核心,可以称之为ISO27001的增强版。我们可以看到国外的思路都是以ISO27001为核心的各种变化,比如美国的FedRAMP政务云审查也是以27001为核心。ISO27001是非常经典的信息安全标准,可以作为云服务商初期建设云平台规范管理的参考,但是对于当前的云计算新特点约束不足。
云计算带来最大的变化是什么?
以前用ISO的组织框架来规范自己,能保证执行的力度。而现在把数据和系统放到云服务商手中,那约束自己就变成了考核另一方是否能有效约束自己以及有足够的能力保障安全可信,总的来说新增的是云服务商让客户信任的能力。在这种情况下,只有安全组织框架和管理流程是远远不够的,因为一是不能真实反应对方的执行情况,二是不能真实考核对方能达到隔离安全的程度,三是如果对方有了安全问题没有机制保障后果。ISO只对事前负责,并不包括事中和事后的约束。所以需要更多的标准对云服务商的事前、事中、事后的真实能力和执行情况进行评价。
国际上现有的ISO-IECJTC1-SC38_N1074框架、ISO-IECJTC1-SC38_N1072术语这两个标准的核心其实都是早期美国NIST提出的云计算概念,现在耳熟能详的公有云、私有云、混合云等等概念都是出自NIST,这两个标准主要关注云计算术语框架等基本概念,所以在初期普及概念是可以的。
反观国内也有不少标准体系,比较主流的如下:1)可信云评估体系,2)云计算综合标准化,3)等级保护云计算版,4)云计算安全国标。
可信云评估体系主要面向用户,约束云服务商信任问题,针对云计算的特有的问题,评估指标规范客户信任云服务商的指标,针对云服务的真实能力进行评估,真实反应事中云服务商的执行情况,真实考核对方能达到隔离安全的程度,以及事后有安全问题时的赔偿机制。主要用于用户选购云计算的招标规范,主要目的是规范云服务商SLA的指标和能力,也是目前国内云计算信任体系的权威标准。
可信云事前评估面向四大方向:公有云服务包括云主机、云存储,企业级SaaS等等,目前已经有73家133个云服务通过认证;私有云开源软件,如OpenStack;专项评估包括运维、安全、性能;云保险风险评估。
可信云事中评估:云主机可用性监测;
可信云事后规范:云保险机制。
事中:云主机可用性监测
事后:云保险机制,保障风险
以下是可信云面向公有云的16项指标:
数据 控制 数据存储的持久性
数据可销毁性
数据可迁移性
数据私密性
数据知情权
服务可审查性
服务质量 服务功能
服务可用性
服务资源调配能力
故障恢复能力
网络接入性能
服务计量准确性
权益保障 服务变更、终止条款
服务赔偿条款
用户约束条款
服务商免责条款
企业级SaaS的指标如下图:
可信云的运维和ISO不同在于主要面向运维系统:
可信云安全专项评估
私有云的OpenStack解决方案如下图:
国标云计算综合标准化主要面向架构,普及概念、技术架构和模块。
等级保护标准面向云计算系统的标准,目前在试点。
ISO27001和ISO20000、《信息系统安全等级保护基本要求》、TC260《云计算服务安全能力要求》和《云计算服务安全指南》都属于这一类。
制定标准对企业和技术人员起到了怎样的规范作用?
首先,制定标准有利于普及概念和技术,比如NIST,ISO的术语和框架,国家云计算综合标准化,让大家对云计算理解更深入,更准确,为产业范畴和更实际的标准,奠定基础。
其次,制定标准也是在培育市场、规范市场,它可以满足客户招标需求,比如可信云标准体系,目前政企客户招标云计算很多都参考可信云的指标,服务商也是按照可信云SLA去签合同。此外还有云计算建设指南,比如电子政务云计算综合标准化等。
如果按行业分的话,有些关键行业使用云计算需要安全和可信等标准化的,如金融、政务行业采购云计算时需要考虑这些问题;如果是私有云,私有云的解决方案需要在质量需要一些标准化,以保证私有云不被锁定。
评估的过程和机制,以可信云为例,事前包括文档审核、技术评测、现场查验、专家评审以及外部评议;事中包括云主机可用性和性能监测、PaaS平台可用性和性能监测。
可信云的不同就在于有技术测试和事中的监测,其他的评估基本上都是文档审查和现场查验。
另外,不同的行业云各自的需求也是不一样的,例如金融云注重安全、合规、灾备;政务云注重不同等级的系统采购不同等级的云服务、服务商的运维能力;医疗云注重影像数据、视频和图片存储等能力。
这要看标准是什么类型的。
如果是技术普及标准,通过是一种符合性评估,基本标准通过说明满足基本云计算要求,比如国标云计算综合标准化;如果是客户选购指标,通过说明安全可信,云服务比较规范,比如可信云;如果是能力评估,例如可信云金牌运维、性能评估,通过的话可以说明技术更好。
这个问题要在大背景下看,中国的云服务有本国特色,和国外亚马逊AWS等这种扁平化的不一样,在中国托管云很火,因为中国有三级结构,省、地市、县,信息化发展不平衡,很难扁平化。所以有些国外看起来很牛的技术,在国内基本上很少用武之地,国内主要还是看稳定性。
公有云方面,我们看到国内云服务商还是会超卖,风险管控机制也不完善,运维人员的监控等;还有赔偿机制不完善,服务不可用,数据丢失,数据泄露等问题出现后没有规范的赔偿机制,目前只是赔偿时间。
私有云方面解决方案的互操作性、规模部署能力和稳定性有待提高。
可信云的评估结果都是公开的,甚至每个指标,包括事中可用性监测,企业都可以自己查看。对云服务采购方来说,评估指标就是招标指标和合同指标,帮助筛选规范优秀的云服务商。
标准的出台肯定是有很多厂商参与一起写的。在我做标准的过程中,每个厂商都有自己的利益和侧重点,对于一个指标有没有,或者门限等都有自己的声音,这就需要像我们这样的第三方,从专业、公平、公正的角度,给出最权威的定义,从产业发展的角度制定规则,所以我们要比厂商更理解专业和产业。
标准和标准之间,就像上文提到的各有侧重。每个标准能有市场,就有他的价值,都是为了产业发展更好。我觉得不存在之争这一说。我们要站在国家、产业更高的层面去看待这个问题。至于选择什么样的标准,厂商要根据自己目前的发展定位来看。
Q:老师您好!对于大多数企业来讲,未来方向可能主要是请“云服务”提供商,通过搜集广大客户端的数据,来进行企业自身的数据分析和为自己的客户提供“定制化”服务。对比,您认为我们如何来学习标准的应用以及安全风险的界定?
栗蔚:如果是IaaS云服务商,看不到客户的应用,也采集不到客户的数据,除非黑客或违规行为。
Q:刚才老师讲解了“评估”,我想请老师再解进一步介绍一下怎样看结果。我们目前,用App在普通用户家里了解家庭空气质量。但是,我们遇到“云”服务的不稳定,同时也担忧客户家庭数据的安全。
栗蔚:那其实是你搜集客户端数据,底层的云只是提供资源。如果要把APP部署在云上,上文提到的16个指标,比如数据私密性,你要看他能不能做到有效隔离。
Q:类似单张 3.6g的tif空间数据有什么好的处理方式?
栗蔚:图像、视频等一般用对象存储服务。
Q:目前科技企业自身的云已经和自己的产品形成了一个生态网,但是涉及到云的数据,会不会受到巨头的压缩,小企业如何发展自己的云?
栗蔚:如果是小企业的公有云平台没有行业特色或者开发者应用特色的话,很难有生存空间;如果是面向某一类的行业开发者,还有一定的机会。(雷锋网)