GB/TXXXXX—XXXX云計算安全參考架構范圍本標準規范了云計算安全參考架構，包括云計算角色、安全職責、安全功能組件以及它們之間的關系。規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069－2010信息安全技術術語GB/T31167－2014信息安全技術云計算服務安全指南GB/T31168－2014信息安全技術云計算服務安全能力要求GB/T32399－2015信息技術云計算參考架構術語和定義3.1云計算cloudcomputing通過網絡訪問可擴展的、靈活的物理或虛擬資源池，并可按需自助獲取與管理資源的模式。注：資源實例包括服務器、操作系統、網絡、軟件、應用與存儲設備等。[GB/T31167－2014，定義3.1]3.2云服務商cloudserviceprovider云計算服務的供應方。注：云服務商管理、運營、支撐云計算的計算基礎設施及軟件，通過網絡交付云計算的資源。[GB/T31167－2014，定義3.3]3.3云服務客戶cloudserviceconsumer為使用云計算服務同云服務商建立業務關系的參與方。[GB/T31167－2014，定義3.4]3.4云計算環境cloudcomputingenvironment云服務商提供的云計算平臺，及客戶在云計算平臺之上部署的軟件及相關組件的集合。[GB/T31167－2014，定義3.8]3.5云審計者cloudauditor一般為獨立的第三方審計機構，負責審計云服務的供應與使用，覆蓋運營、性能與安全。概述云計算由一個可配置的共享資源池組成，該資源池提供網絡、服務器、存儲、應用與服務等多種硬件與軟件資源。資源池具備自我管理能力，用戶只需少量參與就可以方便快捷地按需獲取資源。云計算提高了資源可用性，具有五個基本特征、三種服務模式和四種部署模型。云計算的相關概念云計算的五個基本特征為按需自助服務、泛在接入、資源池化、快速伸縮性與服務可計量。具體內容參見GB/T31167-2014。云計算的三種服務模式為軟件即服務（SaaS）、平臺即服務（PaaS）與基礎設施即服務（IaaS）。具體內容參見GB/T31167-2014。云計算的四種部署模型為私有云、公有云、社區云與混合云。具體內容參見GB/T31167-2014。云計算的參與角色在云計算的業務執行流程中，主要有五類角色：云服務商、云服務客戶、云審計者、云代理者、云基礎網絡運營者，每個角色可以由一個或多個實體（個人或機構）擔任，針對不同的云計算服務模式與部署模型上述角色中的某幾個角色也可以由同一實體擔任，各類角色具體描述如下：——云服務商是負責為云服務客戶直接或間接提供服務的實體，云服務商的相關活動主要包括云服務資源的部署、編排、運營、監控與管理等。——云服務客戶是為使用云計算服務同云服務商建立業務關系的參與方，云服務客戶可以直接作為用戶使用云服務，云服務客戶也可為保證用戶使用云服務的運行穩定而提供服務計量、計費與資源購買等運營管理服務。——云代理者是管理云服務使用、性能與交付的實體，并在云服務商與云服務客戶之間進行協商。一般來說，云代理者提供下述三類服務：聚合、仲裁與中介。云服務進行獨立評估、審計，負責審計云服務的供應與使用。云審計通常覆蓋運營、性能與安全，檢查一組特定的審計準則是否得到滿足。——云基礎網絡運營者是云服務連接與傳輸的執行者，主要提供跨地域的基礎網絡通信服務。云計算的安全挑戰對于云服務客戶，最適合其業務與安全需求的云計算安全方案與云服務模式與部署模型密切相關。每個遷移到云的應用都具有不同的安全需求，應根據這些需求部署相應的安全措施。云計算安全參考架構在理論與實踐上繼承了傳統的網絡安全與信息安全知識，同時也增加了基于云特性的安全需求。這些云特性包括：——寬帶網絡接入——降低云服務客戶對數據中心的可視性及控制力度——動態的系統邊界——多租戶——數據駐留在云服務商——自動部署與彈性擴展這些云計算自身的特性給云服務客戶帶來了與傳統信息技術解決方案不同的安全風險，影響整個系統的安全。為保持遷移到云后的數據的安全級別，云服務客戶應提前確定所有云特有的風險及調整后的安全措施，并通過商業合同或服務級別協議（SLA）要求云服務商識別、控制并正確部署所有的安全組件。云服務客戶應基于風險分析確定應部署的安全措施，確保遷移到云中的數據與應用安全。云服務客戶應根據不同情形明確云服務商與云代理者各自的安全職責及應采取的安全措施。所有的云參與者都有職責保障云服務安全，確保能夠滿足云服務客戶的安全需求，包括但不限于：——風險分析、風險評估、脆弱性評估、業務持續性規劃與災難備份規劃；物理與環境安全策略、用戶帳戶終止程序、持續規劃，包括：測試協議、事件報告與應急響應規劃、設備布局等；——符合國家、行業、企業等相關信息安全標準；——供應商設施、安全基礎設施、人力資源管理、物理安全與環境安全；——將服務的恢復計劃納入量化的恢復點目標（RPO）與恢復時間目標（RTO）；——云服務商與云代理者的安全現狀。云計算參與角色的安全職責如圖1所示，云服務客戶實施安全組件的責任在IaaS服務中較多，在PaaS服務中降低，在SaaS服務中最少，而云服務商與云代理者共同負責實施的安全組件，責任從IaaS、PaaS到SaaS分別增多。圖1不同服務模式下不同參與者的安全職責云服務客戶云服務客戶是與云服務商、云代理者與云基礎網絡運營者保持業務關系并使用其服務的個人或機構。云服務客戶瀏覽來自云服務商或云代理者的服務目錄，請求適當的服務，并對使用的服務付費。云服務客戶在有效使用服務前，應與云服務商或云代理者簽署服務合同或云服務級別協議。云服務客戶使用云服務級別協議（SLA），明確云服務商與/或云代理者需要滿足的技術與安全要求。云服務客戶最終為云服務商代表他們所持有的數據安全與隱私負責，并應確定保護數據需要采用的安全措施集。任何代表組織（例如政府）處理組織信息或運行信息系統的云服務客戶、云服務商與云代理者應滿足與原組織相同的安全需求。安全需求也適用于在外部子系統上存儲、處理或傳輸的政府信息，以及子系統或相關系統所提供的任何服務。當政府機構（作為云服務客戶）選購云服務時，云服務客戶負責確定保護數據遷移到云所需的安全組件集與相關控制措施，并確定與/或認可所選擇的組件與控制措施實施的方式。一般情況下，所選擇的安全組件與控制措施由云服務客戶、云服務商與云代理者共同實施，并承擔各自的安全責任。云服務商云服務商是負責為云服務客戶直接或間接提供服務的實體，獲取并管理用于提供服務的云基礎架構，運行為SaaS、PaaS提供基本服務的云軟件，通過網絡向云服務客戶交付云服務。云服務商的活動可以分類為：服務部署、服務編排、服務管理、安全與隱私。從技術角度，云服務商既可以直接向云服務客戶提供服務，也可以面向技術代理者提供服務。技術代理者可以加入透明的功能層改進與擴展云服務商的服務（詳見5.4）。目前，主要有兩種類型的云服務商：主服務商與中介服務商。主服務商。主服務商通過其自有的基礎設施為用戶提供服務。雖然主服務商可以通過第三方（如代理者、中介服務商等）向云服務客戶提供服務，但主服務商與其他角色的根本不同點在于它不會提供源自其他提供商的服務。中介服務商。中介服務商具有與其他云服務商交互的能力，并可使主服務商不可見且對云服務用戶透明（如圖2所示）。從安全角度，所有要求主服務商提供的安全服務與組件，中介服務商也同樣需要提供。圖2中介云服務商云代理者云代理者是管理云服務使用、性能與交付的實體，并在云服務商與云服務客戶之間進行協商。隨著云計算的演進，由云服務客戶完成云服務的集成可能過于復雜。這種情況下，云服務客戶可以向云代理者請求服務，而不是直接與云服務商簽署合同。云代理者提供一個單一的入口點管理多個云服務。云代理者與云中介服務商的主要區別有兩點：一是云代理者有能力為多個不同的云服務商提供一個單獨的一致性接口；二是對客戶的透明可見性：客戶明確知道誰在后臺提供服務；而中介云服務商則不提供這種透明可見性。一般來說，云代理者提供下列3類服務：承擔云代理者角色的組織可能提供下列服務：聚合：云代理者聚合與集成多個服務到一個或多個新服務中。云代理者提供數據集成，并確保數據在云服務客戶與多個云服務商之間安全移動；——仲裁：服務仲裁與服務聚合相似，只是被聚合的服務不固定。服務仲裁說明云代理者可以根據數據或服務上下文的特點，從多個云服務商靈活地選擇服務。中介：云代理者為云服務客戶改進某些服務，或提供增值服務增強原有的服務。例如：訪問云服務的管理、身份管理、性能報告、增強的安全性等。作為云代理者的組織可以提供下述一種或兩種服務：業務與關系支持服務（例如，計費與合同中介、仲裁與聚合）；——技術支持服務（例如，服務聚合、仲裁與技術中介）；主要的工作是處理多個云服務商之間的互操作性。云業務代理者只提供業務與關系服務，不處理云服務客戶在云中的任何數據、操作或組件（例如圖像、卷、防火墻）。相反，云技術代理者與云服務客戶的資產進行交互：云技術代理者從多個云服務商處聚合服務，并通過處理單點入口與互操作性增加一個技術功能層。這兩種云代理者角色不是相互排斥的。例如，一個特定實體可以在一個場景下作為云業務代理者，在另一個場景下作為云技術代理者，并在第三種場景下同時作為云業務代理者與云技術代理者。云業務代理者也可以提供增值中介服務，例如服務目錄查詢、訂購處理、客戶關系管理、統一計費等。云技術代理者可以提供跨云服務商的技術服務，如云服務協同、負荷管理與業務激增管理，統一的身份識別與授權管理、安全管理、度量檢索、成本與使用情況報告等。云審計者云審計者是對云服務進行獨立評估的一方，對云服務商提供的服務在安全控制、隱私影響、性能等方面進行評估。云審計者應對信息系統的安全措施與已接受的審計標準的一致性進行評估，確定安全措施是否正確實施，判斷產生的結果是否符合系統的安全需求。安全審計也應包括與法規與安全策略的一致性驗證。云審計者應確保審計記錄未被修改，法律與業務數據已按需求歸檔。由于審計過程的重要性、審計的復雜性與被審計目標的多變性，本標準對云審計的分析僅從安全角度出發，只考慮云審計者在審計過程、評估過程與審計報告中對保護訪問與收集數據的安全組件的責任。云基礎網絡運營者云基礎網絡運營者作為中介機構，通過網絡、通信與其他訪問設備為云服務客戶與云服務商之間提供云服務的連接與傳輸。例如，云服務客戶可以通過網絡設備（例如計算機、筆記本電腦、移動電話、移動互聯網設備（MIDs）等）獲得云服務。云服務的分配一般由網絡與電信運營商或傳輸代理提供，傳輸代理是指提供存儲介質（如高容量的硬盤驅動器）物理傳輸的商業組織。云服務商與云基礎網絡運營者應簽署服務級別協議（SLA），提供與SLAs級別一致的服務，并可要求云基礎網絡運營者提供云服務客戶與云服務商之間專用、安全的連接。云基礎網絡運營者還應關注數據進出云時可能面臨的安全風險與威脅，負責維護跨越其管理系統的安全措施，并進行安全測試與風險管理。云基礎網絡運營者還應能提供專用線路，包括國際專用線路。云基礎網絡運營者的安全責任不隨云服務所選擇的服務模型而改變。云計算安全參考架構概述基于云計算的特性、三種服務模式與五類角色建立的云計算安全參考架構如圖3所示。圖3云計算安全參考架構圖3中的云計算安全參考架構是基于角色的分層描述，其中包括下述組件與子組件：云服務客戶安全云服務管理業務支持安全需求服務提供與配置安全需求可移植性與互操作安全需求安全組織支持安全云服務協同安全功能層云服務商安全云服務協同安全部署與服務層安全資源抽象與控制層（硬件與設施）－僅主服務商安全物理資源層（硬件與設施）－僅主服務商安全云服務管理安全供應與配置安全可移植性與互操作性安全業務支持云代理者安全云服務協同－僅技術代理者安全服務層安全服務聚合安全聚合與配置（技術方面的配合）－僅技術代理者安全可移植性與互操作性（技術方面的配合）－僅技術代理者安全云服務管理安全供應與配置－僅技術代理者安全可移植性與互操作性－僅技術代理者安全業務支持安全服務中介安全供應與配置安全服務仲裁安全供應與配置云審計者安全審計環境云基礎網絡運營者安全傳輸支持安全可移植性與互操作性云服務客戶云服務管理安全云服務管理安全包含支撐用戶業務運行與管理所需的安全功能。用戶業務運行與管理的安全需求包括：業務支持安全需求服務提供與配置安全需求移植與互操作安全需求安全組織支持（包括組織處理、策略與步驟）由上述需求得出該模塊的功能如下：業務支持安全配置安全移植與互操作安全組織性支持安全5.2.1.1業務支持安全云服務客戶的業務支持安全架構組件涵蓋用于運行業務操作的服務，包括：管理與其他云參與者（云服務商、云代理者、云基礎網絡運行者與云審計者）的業務關系，提供符合最佳安全實踐的協作，例如認證與授權云參與者之間的交互。跟進業務流程，并根據安全最佳實踐解決與其他云參與者之間的云相關問題，包括：安全業務處理與操作的持續性。管理服務合同，包括：建立、協商、關閉或終止合同，確保不存在安全隱患。僅在安全隱患解決后實現服務。付款與發票管理，確保不存在欺詐性付款并遵循網絡安全最佳實踐。通過云服務客戶的訪問控制策略、業務持續性規劃與多種生產效率跟蹤機制，業務支持安全架構組件也可實現對組織成員與合約商的身份與憑證管理。這些服務能夠保證云計算環境中業務的日常運行安全。5.2.1.2配置安全云服務客戶配置安全架構組件包括保證云資源配置安全并與現有的安全標準、規范、法規相一致，同時滿足服務級別協議需求的任何能力、工具與策略。云資源配置安全準則可能還包括云服務客戶與云服務商規定的專有措施。云服務客戶的云資源配置安全管理應涵蓋下述領域：快速部署：基于所請求的服務、資源或能力自動部署云服務。例如，安全快速部署管理確保請求來自一個已通過認證與授權的源。資源變化：在修復、升級與新增云節點時調整配置與資源分配。例如，安全資源變化管理確保資源變化請求來自一個已通過認證與授權的源。監測與報告：發現與監測虛擬資源，監測云的操作與事件，并生成安全報告。度量：度量的安全管理是指云服務商實施特定的內部控制措施，確保可對存儲加密、可對處理沙箱化、可報告異常帶寬使用、且用戶賬戶管理與云服務客戶的安全策略一致。服務級別協議管理：根據已確定的策略進行SLA合同定義（帶有服務質量參數的基本模式）、SLA監控與SLA實施。5.2.1.3可移植性與互操作安全云服務客戶、云供應商與云代理者均應滿足如下安全可移植性與互操作性要求：安全可移植性與互操作性架構子組件應確保數據與應用程序可安全地轉移到多個云服務中。應保證系統維護時間與中斷次數符合服務級別協議（SLA）中的最低接受等級。應通過安全與統一的管理接口為云服務客戶提供一種機制，使云服務客戶可在多個云服務中進行數據與應用的互操作。安全可移植性與互操作性的需求應根據所選擇服務類型的不同而不同。對于云服務客戶，映射到架構子組件的安全組件應為數據與/或應用程序轉換到不同的云服務商或云技術代理者提供更大的靈活性。5.2.1.4安全組織支持安全組織支持架構子組件覆蓋了組織機構提供的策略、規程與處理過程，支持整體云安全服務管理。對于云服務客戶，映射到組織支持架構子組件的安全組件包含（但不限于）：一致性管理；基于治理風險與合規性的審計管理；技術安全標準；最佳實踐與管理的相關性；符合規范與標準的信息安全策略。安全云服務協同云服務協同是系統組件的一種組合，支持云服務商對計算資源進行部署、協調與管理，為云服務客戶提供安全的云服務。安全服務協同是一個過程，需要所有的云參與者通力合作，基于云服務類型與部署模型不同程度地實現各自的安全職責。 安全服務層涉及云服務商、云代理者與云服務客戶。云服務客戶僅需確保云服務接口，以及接口之上功能層的安全。根據云部署模型的不同，云服務接口可能位于IaaS、PaaS或SaaS層。云服務客戶只能依靠云服務商或云技術代理者保障云服務接口以下服務的安全。5.2.2.1安全功能層基于使用的云服務模型（IaaS、PaaS與SaaS），云服務客戶部署安全組件集保護云功能層安全，并與其他云參與者已部署的安全組件集密切相關。在SaaS云服務中，云服務客戶對其使用的應用服務具有很少的管理權限，即對云及其安全組件具有很少的控制權。在PaaS云服務中，云服務客戶對應用服務具有控制權，并對主機環境設置具有部分控制權，但對平臺下層的基礎設施(如網絡，服務器，操作系統與存儲介質等)具有有限的管理權或訪問權。在IaaS云服務中，云服務客戶可以使用系統提供的基礎設施與計算資源（例如虛擬計算機）滿足基本的計算需求。同時，云服務客戶也可以訪問更多的基礎計算資源，并控制更多的應用軟件，包括操作系統與網絡等。例如，在IaaS云服務中，云服務客戶可以在各個服務層(IaaS、PaaS與SaaS)實現基礎設施保護服務（例如邊界防火墻）。然而，云服務客戶無法在PaaS與SaaS層部署服務器防火墻安全組件，只能依靠云服務商提供服務器防火墻服務。因此，云服務客戶應在服務級別協議中明確所需的安全防護級別。云服務商根據云服務商的服務范圍與實施的活動，云服務商的架構組件為：服務部署、服務編排、云服務管理、云服務安全與隱私保護。由于安全與隱私保護、數據內容管理、服務級別協議（SLA）等是跨組件的，安全參考架構模型將云服務商的安全活動交錯分布到所有的組件層，覆蓋云服務商負責的全部領域，并且將安全性嵌入到與云服務商有關的全部架構組件中。另外，云部署作為云服務的一部分，直接與云服務商提供的服務相關。因此，安全參考架構為云服務商定義了下列框架組件與子組件：安全云服務管理安全供應與配置安全可移植性與互操作性安全業務支持安全云服務協同安全物理資源層（硬件與設施）－僅主服務商安全資源抽象與控制層（硬件與設施）－僅主服務商安全部署與服務層主服務商通過技術代理者直接向云服務客戶提供服務，或與中介服務商等合作伙伴間接地向云服務客戶提供服務。中介服務商也可將一個或多個主服務商的服務集成后向云服務客戶提供服務。多個云服務商之間形成依賴關系，此依賴關系通常對云服務客戶不可見，即主服務商與中介服務商提供服務的方式對云服務客戶沒有區別。中介服務商負責的安全組件與控制措施與主服務商相同，并需在多個云服務商之間進行協調。安全云服務協同本標準描述一個3層模型，代表云服務商交付服務需提供的3種類型的系統組件，這三層是：服務層：代表云服務商提供的3類服務（IaaS,PaaS與SaaS）；資源抽象與控制層：包含通過軟件抽象，云服務商用于提供與管理訪問物理計算資源的系統組件；物理資源層：包括所有的物理計算資源，例如硬件資源（CPU與內存）、網絡設備與軟件（路由器、防火墻、交換機、網絡鏈接與接口）、存儲組件（硬盤）以及其他物理計算基礎設施元素。安全參考體系架構組件由下述三層構成：安全部署與服務層安全資源抽象與控制層安全物理資源層5.3.1.1安全部署與服務層基于所提供的云服務類型（例如SaaS,PaaS或Iaas）與云部署模型（例如公有云或私有云），云服務商實施保障服務層安全的安全組件集。對于云服務中的每一個實例，云服務商負責實施的安全組件集都與其他云參與者實施的安全組件集密切相關。對于IaaS云服務，云服務商提供與物理計算資源相關的服務，包括服務器、網絡、存儲與主機基礎設施。云服務商運行所需的云軟件，通過一套服務接口與計算資源抽象（例如虛擬機與虛擬網絡接口），將計算資源提供給IaaS云服務客戶。不管采用哪種云服務，云服務商始終控制物理硬件與云軟件，因此能夠提供這些基礎設施服務（例如，物理服務器、網絡設備、存儲設備、主機操作系統、虛擬監控器等）。對于PaaS云服務，云服務商管理平臺的計算基礎設施，并運行提供平臺組件能力的云軟件，例如運行時軟件執行棧、數據庫與其他中間件組件。通常，提供PaaS服務的云服務商也為云服務客戶提供開發、部署與管理的工具。這些工具可集成到開發環境（IDEs）、云軟件開發版本、軟件開發套件（SDKs）或部署與管理工具中。對于SaaS云服務，云服務商部署、配置、維護與更新云基礎設施上的應用軟件，使服務可以按照期望的服務級別供應給云服務客戶。SaaS云服務商對管理和控制應用程序與基礎設施負主要責任。5.3.1.2安全資源抽象與控制層安全資源抽象與控制層是包含云服務商實現的安全組件的架構組件，通過軟件抽象提供安全訪問與管理物理計算資源的功能。資源抽象組件的例子包括虛擬監控器、虛擬機、虛擬數據存儲這樣的軟件元素。資源抽象組件應確保相關物理資源有效、安全與可靠的使用。虛擬機技術通常在本層使用，但提供必要軟件抽象的其他方法也可以使用。本層的控制部分系指負責資源分配、訪問控制與使用監控的安全軟件組件。這是將多種物理資源及其軟件抽象進行綁定，實現資源池化、動態分配與測量服務的軟件架構。云服務商應采用適當的安全機制，確保只有經過授權的用戶才能訪問系統、服務與數據，且用戶或租戶不能未經許可訪問其他租戶的信息。系統應隔離系統管理功能與用戶相關的功能（包括用戶接口服務），不能將系統管理功能暴露給向非特權用戶。安全功能應與非安全功能隔離，并可作為分層結構實施，使各層之間最少交互，并保障低層功能與高層功能的獨立性。5.3.1.3安全物理資源層安全物理資源層是架構子組件，包含需要確保物理計算資源安全的安全組件。本層包括硬件資源，例如計算機（CPU與內存）、網絡（路由、防火墻、交換機、網絡連接與接口）、存儲部件（硬盤）與其他物理計算基礎設施元素。它還包括設施資源，例如：供暖、通風與空調（HVAC）、電力、通訊及其他物理設備。安全云服務管理云服務管理可以如下描述：供應與配置需求可移植性與互操作性需求業務支持需求此外，基于不同的云服務結構，安全云服務管理的不同部分可由云服務商或云代理者支持與實現。這些服務可通過云服務客戶的安全云服務管理進行補充。5.3.2.1安全供應與配置安全供應與配置架構子組件包含確保云資源安全配置與供應的所有安全組件（例如，能力、工具或策略），并應符合相應的安全標準、法規與規范。安全配置云資源的準則也包含云服務客戶與云服務商在服務級別協議（SLA）中確定的專用措施。云服務商對云資源配置的安全管理與供應涉及到的領域參見5.2.1.2。5.3.2.2安全可移植性與互操作性云服務客戶、云供應商與云代理者均應滿足的安全可移植性與互操作性要求，參見5.2.1.3。基于不同的云服務模型，安全可移植性與互操作性的需求也不同。例如對于云服務商，SaaS云服務可能要求在不同云上運行的多個應用之間進行數據集成；IaaS云服務可能要求遷移數據與應用到新的云上，與此同時確保應用程序仍可操作。第一個例子只需簡單地將數據以標準格式提取并備份即可。第二個例子則需首先捕獲虛擬機映像，然后將它們遷移到一個或多個有可能采用不同虛擬化技術的新云服務商。基于云服務客戶在服務級別協議（SLA）中定義的安全策略的配置仍需保留。遷移后，需刪除或記錄任何云服務商特定的虛擬機映像擴展。云服務商應理解并滿足云服務客戶的可移植性與互操作性需求。5.3.2.3安全業務支持安全業務支持架構子組件包含運行面向客戶的業務操作所用的所有安全組件，使云服務商以安全方式對云服務客戶、云代理者及其他云服務商進行業務支持。中介云服務商應確保下游服務商適當地實施了他們自己負責的安全組件與控制措施，且風險與責任已經明確。與云服務客戶簽署合同并明確責任后，業務支持的責任由主服務商與中介服務商共同承擔。云服務商業務支持的職責包括：云服務客戶管理：管理云服務客戶賬戶、打開/關閉/終止賬戶、管理用戶配置文件、管理云服務客戶關系、基于云服務客戶的安全策略解決云服務客戶的問題等。合同管理：管理服務合同，包括建立/協商/關閉/終止合同等；提供云服務客戶安全審計與報告所需的信息。倉儲管理：以安全方式建立與管理服務目錄等。記帳與計費：管理云服務客戶的計費信息、發送計費狀態、處理收到的支付、追蹤發票等，確保有效跟蹤與糾正欺詐活動。報告與審計：監控用戶操作、生成報告等，支持云服務客戶的安全審計與監控需求。定價與評級：評估云服務并確定價格，在不違反云服務客戶保護的法律下，基于用戶的配置處理促銷與定價規則等。云代理者云代理者系指管理云服務的使用、性能與交付，并協調云服務商與云服務客戶之間關系的實體。云計算安全參考架構模型中強調了兩種類型的云代理者：技術代理者與業務代理者。通常，云代理者提供的服務組合可以分為五種架構組件：安全服務聚合、安全服務仲裁、安全服務中介、安全云服務管理和安全云服務協同。其中，前四個組件分別對應云代理者所提供的服務，第五個組件則對應云代理者的責任，即作為安全云服務協同的一部分保障云服務的安全性。五個架構組件的詳細定義如下：安全服務聚合：該架構組件包含將多個獨立服務融合與集成到一個或多個新服務的安全組件。云代理者提供數據集成功能，并確保基于云服務客戶的安全策略數據在云服務客戶與多個云服務商間之間安全遷移。安全服務聚合可從如下描述：可移植性與互操作性的技術需求供應與配置的技術需求安全服務仲裁：該架構組件類似于安全服務聚合組件，只是所聚合的服務是不固定的。服務仲裁意味著云代理者可以從多個云服務商靈活地選擇服務。例如，云代理者可使用信用評分服務選擇一個具有最高分數的云服務商。——安全服務中介：該架構組件包含的安全組件，可使云代理者為云服務客戶改進某些服務，或提供增值服務增強原有的服務，同時確保云服務客戶的安全策略正確實施。增強原有云服務的例子包括：訪問云服務的管理、身份管理、性能報告、增強的安全性等。安全云服務管理：該架構組件包含云代理者提供運營服務所必須的，支持全部服務功能（技術與業務）管理的所有安全組件。安全云服務管理可以如下描述：業務支持需求供應與配置的業務需求可移植性與互操作性的業務需求安全云服務協同：該架構組件包含的安全組件，可使技術代理者基于云部署模型（例如私有云和公有云）與服務模式（例如IaaS、PaaS和SaaS），確保所提供服務及附加服務的安全。在實踐中，技術代理者用于保護云服務客戶的數據遷移到云的安全組件集，與提供類似服務的中介服務商所使用的安全組件集相同。有關如何提取技術代理者的安全組件集的細節參見5.4.1.技術代理者在安全云服務協同與安全云服務管理方面，技術代理者與中介服務商的職責是類似的。通過從多個云服務商聚集服務、增加一個新的技術功能層、處理互操作性問題等，技術代理者與云服務客戶的操作過程、云組件和/或客戶數據進行交互。在安全參考架構模型中，云代理者與技術代理者架構組件的設計方式是強調云參與者的主要角色。例如，安全可移植性/互操作性架構子組件延伸到安全云服務管理與安全服務聚合組件中，說明云代理者職責的兩個方面：安全云服務管理下的業務及管理方面與安全服務聚合下的技術方面。中介服務商并不聚合服務，而是嵌入主服務商提供的服務。技術代理者與中介服務商提供類似安全服務所需的安全組件集是相同的。技術代理者的架構組件與子組件如下：安全云服務協同安全服務層（技術方面）安全服務聚合安全供應與配置（技術方面）安全可移植性與互操作性（技術方面）安全服務管理安全供應與配置（管理方面）安全可移植性與互操作性（管理方面）安全業務支持安全服務中介安全供應與配置（技術方面）安全服務仲裁安全供應與配置（技術方面）業務代理者業務代理者提供業務與關系支持服務（仲裁與業務中介）。與技術代理者相反，業務代理者不接觸任何云服務客戶在云中的數據、操作過程與其他組件（例如，鏡像、卷或防火墻）。業務代理者的架構組件與子組件包括：安全服務管理安全業務支持安全服務中介安全供應與配置（業務方面）安全服務仲裁安全供應與配置（業務方面）為簡單起見，接下來的章節將對兩種云代理者一起討論架構組件。安全云服務協同云代理者用于確保安全云服務協同的安全組件依賴于云服務類型與部署模型。云代理者實施的安全組件與其他云參與者的安全組件密切相關。如圖4所示，云代理者在平臺服務層或軟件服務層提供服務，它們分別建立在IaaS或PaaS云服務商的基礎之上。圖4安全云服務協同5.4.3.1安全服務層云代理者為保證服務層安全采用的安全組件集依賴于服務類型（例如PaaS或SaaS）。可能在多個云服務商提供的PaaS組件上聚合SaaS應用，或在云服務商提供的IaaS組件上聚合PaaS組件。但是，這不是必須的，且依賴關系是可選的。每種服務都可以單獨提供。技術代理者實施額外功能層的安全需求依賴于所使用的云服務層類型。對于SaaS云服務，云技術代理者可聚合多個云服務商的服務，并能夠配置、維護、更新部署到這些聚合服務中的軟件應用，使云服務以期望的服務級別提供給云服務客戶，并滿足客戶所有的安全需求。提供SaaS云服務的技術代理者承擔管理與控制應用程序安全的主要責任。對于PaaS云服務，云技術代理者可安全聚合多個云服務商的服務，并為云服務客戶提供開發、部署與管理遷移到云的工具。這些工具可以是開發環境（IDEs）、云軟件開發版本、軟件開發套件（SDKs）或部署與管理工具。技術代理者不參與資源抽象與控制層或物理資源層中安全組件與控制措施的實施。安全服務聚合云代理者整合與集成多個服務為一個或多個新服務，提供數據集成功能，并確保數據在云服務客戶與多個云服務商之間的安全遷移。安全服務聚合架構組件說明了技術代理者的責任，即保證所有數據的安全性，對云服務商的服務請求及云服務商的響應均需達到所需的保密性、完整性與可用性級別。該組件還涉及云代理者的責任，即根據用戶合同與服務級別協議（SLA）中的安全需求，保證達到規定的安全級別。作為服務聚合者，技術代理者僅支持傳輸中的云服務客戶數據，因此靜止數據的安全性與技術代理者提供的聚合服務無關。云代理者安全服務聚合架構組件所包含的安全組件集類似于中介服務商，其技術差異在于云代理者對下層云服務商提供的透明性。云代理者應向下層云服務商暴露報告、儀表板與所有計劃的信息，但對中介服務商，這不是必要工作。介于云服務客戶與多個聚合的云服務商之間的技術代理者，應提供雙向功能棧安全服務，即向上面向云服務客戶，向下面向下層云服務商。相應地，所有的報告與計劃應考慮云代理者－云服務客戶接口與云代理者－云服務商接口。安全服務聚合相關的兩個架構子組件是：安全供應與配置安全可移植性與互操作性對于技術云代理者，向云服務客戶提供的供應與配置功能的安全需求類似于云服務商，安全可移植性與互操作性的安全需求也類似于云服務商（更多信息參見5.3.2.1與5.3.2.2）。安全云服務管理安全云服務管理架構組件包含所有與服務相關的功能，這些功能對云服務客戶所需服務的運維管理是必不可少的。云服務管理可以如下描述：可移植性與互操作性需求供應與配置需求業務支持需求基于云服務的結構，云服務商或云代理者可以實施安全云服務不同方面的管理。這些架構組件可由云服務客戶的安全云服務管理架構組件補充。安全云服務管理的子組件如下：安全可移植性與互操作性安全供應與配置安全業務支持圖5安全云服務管理5.4.5.1安全可移植性與互操作性云服務客戶、云供應商與云代理者均應滿足安全可移植性與互操作性要求，參見5.2.1.3。5.4.5.2安全供應與配置安全供應與配置架構子組件包含諸如能力、工具或策略的所有安全組件，確保云資源的安全配置與供應符合相應的安全標準、法規與規范。云代理者安全供應與配置涉及的領域參見5.2.1.2。5.4.5.3安全業務支持云代理者可通過改進特定的面向客戶的業務運營，以及向云服務客戶提供增值服務提供與業務相關的服務。例如定價與評級、合同管理、記賬與計費。安全業務支持架構子組件是一組支持云服務客戶的業務相關服務。該子組件包含用于支持云代理者以服務商或以代理角色進行業務操作的安全組件。云代理者安全業務支持的職責參見5.3.2.3。安全服務中介云代理者可通過改進特定的功能，以及向云服務客戶提供增值服務增強給定的服務。這些功能改進包括：管理云服務的訪問、身份管理、性能報告與增強的安全性等。安全服務中介架構組件表明云代理者的職責是，確保新增加的所有功能都保持所要求的機密性、完整性與可用性級別，并滿足云服務客戶在合同與服務級別協議（SLA）中規定的安全需求。提供服務中介的技術代理者采用的安全組件類似于服務聚合情形，但根據中介技術代理者提供的增值服務，組件與控制措施通常具有更高的優先級。例如，作為第三方授權者，僅提供身份管理運營（不提供任何服務聚合或服務仲裁）的技術代理者，應具有較強的安全控制。同時，系統與通信保護可能具有較低的優先級，因為云服務客戶在云中的數據并不遷移到云代理者的系統。需要注意的是，即使對性能報告這樣的中介服務，云代理者也應保護系統的安全，確保報告是可信的和正確的，且只提供給授權用戶。安全服務仲裁安全服務仲裁架構組件本質上類似于安全服務聚合組件，不同之處是仲裁期間云代理者組合與集成的服務不固定。亦即，云代理者具有從多個云服務商為云服務客戶動態選擇服務的靈活性。提供服務仲裁的技術代理者采用的安全組件類似于服務聚合情形，只是特別強調下述能力：保證選擇的安全服務沒有服務可用性障礙與安全問題，確保仲裁時云服務商之間安全與快速切換，并達到云服務客戶在合同與/或服務級別協議（SLA）中規定的機密性、完整性與可用性級別。云審計者云審計者是對云服務、信息系統運維、性能、隱私影響與安全進行獨立評估的云參與者。云審計者可為任何其他云參與者執行各類審計。云審計者需要一個安全的審計環境，確保從責任方以安全與可信的方式收集目標證據。通常，云審計者可用的安全組件與相關的控制措施獨立于云服務模式與/或被審計的云參與者。支持云審計過程的安全審計環境架構組件需要（但不限于）下列機制：安全組件與相關安全控制：有關于安全組件與相關安全控制的信息對云審計者可用。安全檔案：支持法律與業務過程的審計結果，例如電子發現、歸檔需求與實施對云審計者可用。安全存儲：各責任方的目標證據可以用安全方式在云中收集與存儲，以備今后參考。加密與混淆的存儲信息對云審計者可用。數據位置：在審計過程中，云審計者應確保數據適用于相關的管轄權規則，從而數據位置信息對云審計者可用。度量：性能審計需從度量系統中獲得信息，云審計者應能安全地訪問這些信息。服務級別協議（SLA）：服務審計需訪問要求審計與被審計的各方之間的所有協議，以及支持以安全方式實施服務級別協議（SLA）的任何機制，隱私：隱私影響評估要求系統安全與配置信息的可用性，以及在云中實施數據保護的任何機制的可用性。云基礎網絡運營者云基礎網絡運營者是提供云服務連接與傳輸的云參與者。從用戶角度，用戶與云服務商或云代理者有更為直接的關系。所以除非云服務商或云代理者同時充當云基礎網絡運營者的角色，否則云基礎網絡運營者的角色不被注意。因此，為履行合同義務并滿足指定的服務要求，云基礎網絡運營者應對云服務商與云代理者的云服務提供安全傳輸支持。雖然云基礎網絡運營者具有安全服務管理功能：保證安全的服務交付及滿足用戶的安全需求，但這些功能并不直接提供給云服務客戶。_________________________________（資料性附錄）云計算的安全風險云計算法