信息安全技術(shù)-云計算安全參考架構(gòu)

GB/TXXXXX—XXXX云計算安全參考架構(gòu)范圍本標(biāo)準(zhǔn)規(guī)范了云計算安全參考架構(gòu)，包括云計算角色、安全職責(zé)、安全功能組件以及它們之間的關(guān)系。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069－2010信息安全技術(shù)術(shù)語GB/T31167－2014信息安全技術(shù)云計算服務(wù)安全指南GB/T31168－2014信息安全技術(shù)云計算服務(wù)安全能力要求GB/T32399－2015信息技術(shù)云計算參考架構(gòu)術(shù)語和定義3.1云計算cloudcomputing通過網(wǎng)絡(luò)訪問可擴(kuò)展的、靈活的物理或虛擬資源池，并可按需自助獲取與管理資源的模式。注：資源實例包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用與存儲設(shè)備等。[GB/T31167－2014，定義3.1]3.2云服務(wù)商cloudserviceprovider云計算服務(wù)的供應(yīng)方。注：云服務(wù)商管理、運營、支撐云計算的計算基礎(chǔ)設(shè)施及軟件，通過網(wǎng)絡(luò)交付云計算的資源。[GB/T31167－2014，定義3.3]3.3云服務(wù)客戶cloudserviceconsumer為使用云計算服務(wù)同云服務(wù)商建立業(yè)務(wù)關(guān)系的參與方。[GB/T31167－2014，定義3.4]3.4云計算環(huán)境cloudcomputingenvironment云服務(wù)商提供的云計算平臺，及客戶在云計算平臺之上部署的軟件及相關(guān)組件的集合。[GB/T31167－2014，定義3.8]3.5云審計者cloudauditor一般為獨立的第三方審計機構(gòu)，負(fù)責(zé)審計云服務(wù)的供應(yīng)與使用，覆蓋運營、性能與安全。概述云計算由一個可配置的共享資源池組成，該資源池提供網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用與服務(wù)等多種硬件與軟件資源。資源池具備自我管理能力，用戶只需少量參與就可以方便快捷地按需獲取資源。云計算提高了資源可用性，具有五個基本特征、三種服務(wù)模式和四種部署模型。云計算的相關(guān)概念云計算的五個基本特征為按需自助服務(wù)、泛在接入、資源池化、快速伸縮性與服務(wù)可計量。具體內(nèi)容參見GB/T31167-2014。云計算的三種服務(wù)模式為軟件即服務(wù)（SaaS）、平臺即服務(wù)（PaaS）與基礎(chǔ)設(shè)施即服務(wù)（IaaS）。具體內(nèi)容參見GB/T31167-2014。云計算的四種部署模型為私有云、公有云、社區(qū)云與混合云。具體內(nèi)容參見GB/T31167-2014。云計算的參與角色在云計算的業(yè)務(wù)執(zhí)行流程中，主要有五類角色：云服務(wù)商、云服務(wù)客戶、云審計者、云代理者、云基礎(chǔ)網(wǎng)絡(luò)運營者，每個角色可以由一個或多個實體（個人或機構(gòu)）擔(dān)任，針對不同的云計算服務(wù)模式與部署模型上述角色中的某幾個角色也可以由同一實體擔(dān)任，各類角色具體描述如下：——云服務(wù)商是負(fù)責(zé)為云服務(wù)客戶直接或間接提供服務(wù)的實體，云服務(wù)商的相關(guān)活動主要包括云服務(wù)資源的部署、編排、運營、監(jiān)控與管理等?！品?wù)客戶是為使用云計算服務(wù)同云服務(wù)商建立業(yè)務(wù)關(guān)系的參與方，云服務(wù)客戶可以直接作為用戶使用云服務(wù)，云服務(wù)客戶也可為保證用戶使用云服務(wù)的運行穩(wěn)定而提供服務(wù)計量、計費與資源購買等運營管理服務(wù)?！拼碚呤枪芾碓品?wù)使用、性能與交付的實體，并在云服務(wù)商與云服務(wù)客戶之間進(jìn)行協(xié)商。一般來說，云代理者提供下述三類服務(wù)：聚合、仲裁與中介。云服務(wù)進(jìn)行獨立評估、審計，負(fù)責(zé)審計云服務(wù)的供應(yīng)與使用。云審計通常覆蓋運營、性能與安全，檢查一組特定的審計準(zhǔn)則是否得到滿足?！苹A(chǔ)網(wǎng)絡(luò)運營者是云服務(wù)連接與傳輸?shù)膱?zhí)行者，主要提供跨地域的基礎(chǔ)網(wǎng)絡(luò)通信服務(wù)。云計算的安全挑戰(zhàn)對于云服務(wù)客戶，最適合其業(yè)務(wù)與安全需求的云計算安全方案與云服務(wù)模式與部署模型密切相關(guān)。每個遷移到云的應(yīng)用都具有不同的安全需求，應(yīng)根據(jù)這些需求部署相應(yīng)的安全措施。云計算安全參考架構(gòu)在理論與實踐上繼承了傳統(tǒng)的網(wǎng)絡(luò)安全與信息安全知識，同時也增加了基于云特性的安全需求。這些云特性包括：——寬帶網(wǎng)絡(luò)接入——降低云服務(wù)客戶對數(shù)據(jù)中心的可視性及控制力度——動態(tài)的系統(tǒng)邊界——多租戶——數(shù)據(jù)駐留在云服務(wù)商——自動部署與彈性擴(kuò)展這些云計算自身的特性給云服務(wù)客戶帶來了與傳統(tǒng)信息技術(shù)解決方案不同的安全風(fēng)險，影響整個系統(tǒng)的安全。為保持遷移到云后的數(shù)據(jù)的安全級別，云服務(wù)客戶應(yīng)提前確定所有云特有的風(fēng)險及調(diào)整后的安全措施，并通過商業(yè)合同或服務(wù)級別協(xié)議（SLA）要求云服務(wù)商識別、控制并正確部署所有的安全組件。云服務(wù)客戶應(yīng)基于風(fēng)險分析確定應(yīng)部署的安全措施，確保遷移到云中的數(shù)據(jù)與應(yīng)用安全。云服務(wù)客戶應(yīng)根據(jù)不同情形明確云服務(wù)商與云代理者各自的安全職責(zé)及應(yīng)采取的安全措施。所有的云參與者都有職責(zé)保障云服務(wù)安全，確保能夠滿足云服務(wù)客戶的安全需求，包括但不限于：——風(fēng)險分析、風(fēng)險評估、脆弱性評估、業(yè)務(wù)持續(xù)性規(guī)劃與災(zāi)難備份規(guī)劃；物理與環(huán)境安全策略、用戶帳戶終止程序、持續(xù)規(guī)劃，包括：測試協(xié)議、事件報告與應(yīng)急響應(yīng)規(guī)劃、設(shè)備布局等；——符合國家、行業(yè)、企業(yè)等相關(guān)信息安全標(biāo)準(zhǔn)；——供應(yīng)商設(shè)施、安全基礎(chǔ)設(shè)施、人力資源管理、物理安全與環(huán)境安全；——將服務(wù)的恢復(fù)計劃納入量化的恢復(fù)點目標(biāo)（RPO）與恢復(fù)時間目標(biāo)（RTO）；——云服務(wù)商與云代理者的安全現(xiàn)狀。云計算參與角色的安全職責(zé)如圖1所示，云服務(wù)客戶實施安全組件的責(zé)任在IaaS服務(wù)中較多，在PaaS服務(wù)中降低，在SaaS服務(wù)中最少，而云服務(wù)商與云代理者共同負(fù)責(zé)實施的安全組件，責(zé)任從IaaS、PaaS到SaaS分別增多。圖1不同服務(wù)模式下不同參與者的安全職責(zé)云服務(wù)客戶云服務(wù)客戶是與云服務(wù)商、云代理者與云基礎(chǔ)網(wǎng)絡(luò)運營者保持業(yè)務(wù)關(guān)系并使用其服務(wù)的個人或機構(gòu)。云服務(wù)客戶瀏覽來自云服務(wù)商或云代理者的服務(wù)目錄，請求適當(dāng)?shù)姆?wù)，并對使用的服務(wù)付費。云服務(wù)客戶在有效使用服務(wù)前，應(yīng)與云服務(wù)商或云代理者簽署服務(wù)合同或云服務(wù)級別協(xié)議。云服務(wù)客戶使用云服務(wù)級別協(xié)議（SLA），明確云服務(wù)商與/或云代理者需要滿足的技術(shù)與安全要求。云服務(wù)客戶最終為云服務(wù)商代表他們所持有的數(shù)據(jù)安全與隱私負(fù)責(zé)，并應(yīng)確定保護(hù)數(shù)據(jù)需要采用的安全措施集。任何代表組織（例如政府）處理組織信息或運行信息系統(tǒng)的云服務(wù)客戶、云服務(wù)商與云代理者應(yīng)滿足與原組織相同的安全需求。安全需求也適用于在外部子系統(tǒng)上存儲、處理或傳輸?shù)恼畔?，以及子系統(tǒng)或相關(guān)系統(tǒng)所提供的任何服務(wù)。當(dāng)政府機構(gòu)（作為云服務(wù)客戶）選購云服務(wù)時，云服務(wù)客戶負(fù)責(zé)確定保護(hù)數(shù)據(jù)遷移到云所需的安全組件集與相關(guān)控制措施，并確定與/或認(rèn)可所選擇的組件與控制措施實施的方式。一般情況下，所選擇的安全組件與控制措施由云服務(wù)客戶、云服務(wù)商與云代理者共同實施，并承擔(dān)各自的安全責(zé)任。云服務(wù)商云服務(wù)商是負(fù)責(zé)為云服務(wù)客戶直接或間接提供服務(wù)的實體，獲取并管理用于提供服務(wù)的云基礎(chǔ)架構(gòu)，運行為SaaS、PaaS提供基本服務(wù)的云軟件，通過網(wǎng)絡(luò)向云服務(wù)客戶交付云服務(wù)。云服務(wù)商的活動可以分類為：服務(wù)部署、服務(wù)編排、服務(wù)管理、安全與隱私。從技術(shù)角度，云服務(wù)商既可以直接向云服務(wù)客戶提供服務(wù)，也可以面向技術(shù)代理者提供服務(wù)。技術(shù)代理者可以加入透明的功能層改進(jìn)與擴(kuò)展云服務(wù)商的服務(wù)（詳見5.4）。目前，主要有兩種類型的云服務(wù)商：主服務(wù)商與中介服務(wù)商。主服務(wù)商。主服務(wù)商通過其自有的基礎(chǔ)設(shè)施為用戶提供服務(wù)。雖然主服務(wù)商可以通過第三方（如代理者、中介服務(wù)商等）向云服務(wù)客戶提供服務(wù)，但主服務(wù)商與其他角色的根本不同點在于它不會提供源自其他提供商的服務(wù)。中介服務(wù)商。中介服務(wù)商具有與其他云服務(wù)商交互的能力，并可使主服務(wù)商不可見且對云服務(wù)用戶透明（如圖2所示）。從安全角度，所有要求主服務(wù)商提供的安全服務(wù)與組件，中介服務(wù)商也同樣需要提供。圖2中介云服務(wù)商云代理者云代理者是管理云服務(wù)使用、性能與交付的實體，并在云服務(wù)商與云服務(wù)客戶之間進(jìn)行協(xié)商。隨著云計算的演進(jìn)，由云服務(wù)客戶完成云服務(wù)的集成可能過于復(fù)雜。這種情況下，云服務(wù)客戶可以向云代理者請求服務(wù)，而不是直接與云服務(wù)商簽署合同。云代理者提供一個單一的入口點管理多個云服務(wù)。云代理者與云中介服務(wù)商的主要區(qū)別有兩點：一是云代理者有能力為多個不同的云服務(wù)商提供一個單獨的一致性接口；二是對客戶的透明可見性：客戶明確知道誰在后臺提供服務(wù)；而中介云服務(wù)商則不提供這種透明可見性。一般來說，云代理者提供下列3類服務(wù)：承擔(dān)云代理者角色的組織可能提供下列服務(wù)：聚合：云代理者聚合與集成多個服務(wù)到一個或多個新服務(wù)中。云代理者提供數(shù)據(jù)集成，并確保數(shù)據(jù)在云服務(wù)客戶與多個云服務(wù)商之間安全移動；——仲裁：服務(wù)仲裁與服務(wù)聚合相似，只是被聚合的服務(wù)不固定。服務(wù)仲裁說明云代理者可以根據(jù)數(shù)據(jù)或服務(wù)上下文的特點，從多個云服務(wù)商靈活地選擇服務(wù)。中介：云代理者為云服務(wù)客戶改進(jìn)某些服務(wù)，或提供增值服務(wù)增強原有的服務(wù)。例如：訪問云服務(wù)的管理、身份管理、性能報告、增強的安全性等。作為云代理者的組織可以提供下述一種或兩種服務(wù)：業(yè)務(wù)與關(guān)系支持服務(wù)（例如，計費與合同中介、仲裁與聚合）；——技術(shù)支持服務(wù)（例如，服務(wù)聚合、仲裁與技術(shù)中介）；主要的工作是處理多個云服務(wù)商之間的互操作性。云業(yè)務(wù)代理者只提供業(yè)務(wù)與關(guān)系服務(wù)，不處理云服務(wù)客戶在云中的任何數(shù)據(jù)、操作或組件（例如圖像、卷、防火墻）。相反，云技術(shù)代理者與云服務(wù)客戶的資產(chǎn)進(jìn)行交互：云技術(shù)代理者從多個云服務(wù)商處聚合服務(wù)，并通過處理單點入口與互操作性增加一個技術(shù)功能層。這兩種云代理者角色不是相互排斥的。例如，一個特定實體可以在一個場景下作為云業(yè)務(wù)代理者，在另一個場景下作為云技術(shù)代理者，并在第三種場景下同時作為云業(yè)務(wù)代理者與云技術(shù)代理者。云業(yè)務(wù)代理者也可以提供增值中介服務(wù)，例如服務(wù)目錄查詢、訂購處理、客戶關(guān)系管理、統(tǒng)一計費等。云技術(shù)代理者可以提供跨云服務(wù)商的技術(shù)服務(wù)，如云服務(wù)協(xié)同、負(fù)荷管理與業(yè)務(wù)激增管理，統(tǒng)一的身份識別與授權(quán)管理、安全管理、度量檢索、成本與使用情況報告等。云審計者云審計者是對云服務(wù)進(jìn)行獨立評估的一方，對云服務(wù)商提供的服務(wù)在安全控制、隱私影響、性能等方面進(jìn)行評估。云審計者應(yīng)對信息系統(tǒng)的安全措施與已接受的審計標(biāo)準(zhǔn)的一致性進(jìn)行評估，確定安全措施是否正確實施，判斷產(chǎn)生的結(jié)果是否符合系統(tǒng)的安全需求。安全審計也應(yīng)包括與法規(guī)與安全策略的一致性驗證。云審計者應(yīng)確保審計記錄未被修改，法律與業(yè)務(wù)數(shù)據(jù)已按需求歸檔。由于審計過程的重要性、審計的復(fù)雜性與被審計目標(biāo)的多變性，本標(biāo)準(zhǔn)對云審計的分析僅從安全角度出發(fā)，只考慮云審計者在審計過程、評估過程與審計報告中對保護(hù)訪問與收集數(shù)據(jù)的安全組件的責(zé)任。云基礎(chǔ)網(wǎng)絡(luò)運營者云基礎(chǔ)網(wǎng)絡(luò)運營者作為中介機構(gòu)，通過網(wǎng)絡(luò)、通信與其他訪問設(shè)備為云服務(wù)客戶與云服務(wù)商之間提供云服務(wù)的連接與傳輸。例如，云服務(wù)客戶可以通過網(wǎng)絡(luò)設(shè)備（例如計算機、筆記本電腦、移動電話、移動互聯(lián)網(wǎng)設(shè)備（MIDs）等）獲得云服務(wù)。云服務(wù)的分配一般由網(wǎng)絡(luò)與電信運營商或傳輸代理提供，傳輸代理是指提供存儲介質(zhì)（如高容量的硬盤驅(qū)動器）物理傳輸?shù)纳虡I(yè)組織。云服務(wù)商與云基礎(chǔ)網(wǎng)絡(luò)運營者應(yīng)簽署服務(wù)級別協(xié)議（SLA），提供與SLAs級別一致的服務(wù)，并可要求云基礎(chǔ)網(wǎng)絡(luò)運營者提供云服務(wù)客戶與云服務(wù)商之間專用、安全的連接。云基礎(chǔ)網(wǎng)絡(luò)運營者還應(yīng)關(guān)注數(shù)據(jù)進(jìn)出云時可能面臨的安全風(fēng)險與威脅，負(fù)責(zé)維護(hù)跨越其管理系統(tǒng)的安全措施，并進(jìn)行安全測試與風(fēng)險管理。云基礎(chǔ)網(wǎng)絡(luò)運營者還應(yīng)能提供專用線路，包括國際專用線路。云基礎(chǔ)網(wǎng)絡(luò)運營者的安全責(zé)任不隨云服務(wù)所選擇的服務(wù)模型而改變。云計算安全參考架構(gòu)概述基于云計算的特性、三種服務(wù)模式與五類角色建立的云計算安全參考架構(gòu)如圖3所示。圖3云計算安全參考架構(gòu)圖3中的云計算安全參考架構(gòu)是基于角色的分層描述，其中包括下述組件與子組件：云服務(wù)客戶安全云服務(wù)管理業(yè)務(wù)支持安全需求服務(wù)提供與配置安全需求可移植性與互操作安全需求安全組織支持安全云服務(wù)協(xié)同安全功能層云服務(wù)商安全云服務(wù)協(xié)同安全部署與服務(wù)層安全資源抽象與控制層（硬件與設(shè)施）－僅主服務(wù)商安全物理資源層（硬件與設(shè)施）－僅主服務(wù)商安全云服務(wù)管理安全供應(yīng)與配置安全可移植性與互操作性安全業(yè)務(wù)支持云代理者安全云服務(wù)協(xié)同－僅技術(shù)代理者安全服務(wù)層安全服務(wù)聚合安全聚合與配置（技術(shù)方面的配合）－僅技術(shù)代理者安全可移植性與互操作性（技術(shù)方面的配合）－僅技術(shù)代理者安全云服務(wù)管理安全供應(yīng)與配置－僅技術(shù)代理者安全可移植性與互操作性－僅技術(shù)代理者安全業(yè)務(wù)支持安全服務(wù)中介安全供應(yīng)與配置安全服務(wù)仲裁安全供應(yīng)與配置云審計者安全審計環(huán)境云基礎(chǔ)網(wǎng)絡(luò)運營者安全傳輸支持安全可移植性與互操作性云服務(wù)客戶云服務(wù)管理安全云服務(wù)管理安全包含支撐用戶業(yè)務(wù)運行與管理所需的安全功能。用戶業(yè)務(wù)運行與管理的安全需求包括：業(yè)務(wù)支持安全需求服務(wù)提供與配置安全需求移植與互操作安全需求安全組織支持（包括組織處理、策略與步驟）由上述需求得出該模塊的功能如下：業(yè)務(wù)支持安全配置安全移植與互操作安全組織性支持安全5.2.1.1業(yè)務(wù)支持安全云服務(wù)客戶的業(yè)務(wù)支持安全架構(gòu)組件涵蓋用于運行業(yè)務(wù)操作的服務(wù)，包括：管理與其他云參與者（云服務(wù)商、云代理者、云基礎(chǔ)網(wǎng)絡(luò)運行者與云審計者）的業(yè)務(wù)關(guān)系，提供符合最佳安全實踐的協(xié)作，例如認(rèn)證與授權(quán)云參與者之間的交互。跟進(jìn)業(yè)務(wù)流程，并根據(jù)安全最佳實踐解決與其他云參與者之間的云相關(guān)問題，包括：安全業(yè)務(wù)處理與操作的持續(xù)性。管理服務(wù)合同，包括：建立、協(xié)商、關(guān)閉或終止合同，確保不存在安全隱患。僅在安全隱患解決后實現(xiàn)服務(wù)。付款與發(fā)票管理，確保不存在欺詐性付款并遵循網(wǎng)絡(luò)安全最佳實踐。通過云服務(wù)客戶的訪問控制策略、業(yè)務(wù)持續(xù)性規(guī)劃與多種生產(chǎn)效率跟蹤機制，業(yè)務(wù)支持安全架構(gòu)組件也可實現(xiàn)對組織成員與合約商的身份與憑證管理。這些服務(wù)能夠保證云計算環(huán)境中業(yè)務(wù)的日常運行安全。5.2.1.2配置安全云服務(wù)客戶配置安全架構(gòu)組件包括保證云資源配置安全并與現(xiàn)有的安全標(biāo)準(zhǔn)、規(guī)范、法規(guī)相一致，同時滿足服務(wù)級別協(xié)議需求的任何能力、工具與策略。云資源配置安全準(zhǔn)則可能還包括云服務(wù)客戶與云服務(wù)商規(guī)定的專有措施。云服務(wù)客戶的云資源配置安全管理應(yīng)涵蓋下述領(lǐng)域：快速部署：基于所請求的服務(wù)、資源或能力自動部署云服務(wù)。例如，安全快速部署管理確保請求來自一個已通過認(rèn)證與授權(quán)的源。資源變化：在修復(fù)、升級與新增云節(jié)點時調(diào)整配置與資源分配。例如，安全資源變化管理確保資源變化請求來自一個已通過認(rèn)證與授權(quán)的源。監(jiān)測與報告：發(fā)現(xiàn)與監(jiān)測虛擬資源，監(jiān)測云的操作與事件，并生成安全報告。度量：度量的安全管理是指云服務(wù)商實施特定的內(nèi)部控制措施，確?？蓪Υ鎯用堋⒖蓪μ幚砩诚浠?、可報告異常帶寬使用、且用戶賬戶管理與云服務(wù)客戶的安全策略一致。服務(wù)級別協(xié)議管理：根據(jù)已確定的策略進(jìn)行SLA合同定義（帶有服務(wù)質(zhì)量參數(shù)的基本模式）、SLA監(jiān)控與SLA實施。5.2.1.3可移植性與互操作安全云服務(wù)客戶、云供應(yīng)商與云代理者均應(yīng)滿足如下安全可移植性與互操作性要求：安全可移植性與互操作性架構(gòu)子組件應(yīng)確保數(shù)據(jù)與應(yīng)用程序可安全地轉(zhuǎn)移到多個云服務(wù)中。應(yīng)保證系統(tǒng)維護(hù)時間與中斷次數(shù)符合服務(wù)級別協(xié)議（SLA）中的最低接受等級。應(yīng)通過安全與統(tǒng)一的管理接口為云服務(wù)客戶提供一種機制，使云服務(wù)客戶可在多個云服務(wù)中進(jìn)行數(shù)據(jù)與應(yīng)用的互操作。安全可移植性與互操作性的需求應(yīng)根據(jù)所選擇服務(wù)類型的不同而不同。對于云服務(wù)客戶，映射到架構(gòu)子組件的安全組件應(yīng)為數(shù)據(jù)與/或應(yīng)用程序轉(zhuǎn)換到不同的云服務(wù)商或云技術(shù)代理者提供更大的靈活性。5.2.1.4安全組織支持安全組織支持架構(gòu)子組件覆蓋了組織機構(gòu)提供的策略、規(guī)程與處理過程，支持整體云安全服務(wù)管理。對于云服務(wù)客戶，映射到組織支持架構(gòu)子組件的安全組件包含（但不限于）：一致性管理；基于治理風(fēng)險與合規(guī)性的審計管理；技術(shù)安全標(biāo)準(zhǔn)；最佳實踐與管理的相關(guān)性；符合規(guī)范與標(biāo)準(zhǔn)的信息安全策略。安全云服務(wù)協(xié)同云服務(wù)協(xié)同是系統(tǒng)組件的一種組合，支持云服務(wù)商對計算資源進(jìn)行部署、協(xié)調(diào)與管理，為云服務(wù)客戶提供安全的云服務(wù)。安全服務(wù)協(xié)同是一個過程，需要所有的云參與者通力合作，基于云服務(wù)類型與部署模型不同程度地實現(xiàn)各自的安全職責(zé)。 安全服務(wù)層涉及云服務(wù)商、云代理者與云服務(wù)客戶。云服務(wù)客戶僅需確保云服務(wù)接口，以及接口之上功能層的安全。根據(jù)云部署模型的不同，云服務(wù)接口可能位于IaaS、PaaS或SaaS層。云服務(wù)客戶只能依靠云服務(wù)商或云技術(shù)代理者保障云服務(wù)接口以下服務(wù)的安全。5.2.2.1安全功能層基于使用的云服務(wù)模型（IaaS、PaaS與SaaS），云服務(wù)客戶部署安全組件集保護(hù)云功能層安全，并與其他云參與者已部署的安全組件集密切相關(guān)。在SaaS云服務(wù)中，云服務(wù)客戶對其使用的應(yīng)用服務(wù)具有很少的管理權(quán)限，即對云及其安全組件具有很少的控制權(quán)。在PaaS云服務(wù)中，云服務(wù)客戶對應(yīng)用服務(wù)具有控制權(quán)，并對主機環(huán)境設(shè)置具有部分控制權(quán)，但對平臺下層的基礎(chǔ)設(shè)施(如網(wǎng)絡(luò)，服務(wù)器，操作系統(tǒng)與存儲介質(zhì)等)具有有限的管理權(quán)或訪問權(quán)。在IaaS云服務(wù)中，云服務(wù)客戶可以使用系統(tǒng)提供的基礎(chǔ)設(shè)施與計算資源（例如虛擬計算機）滿足基本的計算需求。同時，云服務(wù)客戶也可以訪問更多的基礎(chǔ)計算資源，并控制更多的應(yīng)用軟件，包括操作系統(tǒng)與網(wǎng)絡(luò)等。例如，在IaaS云服務(wù)中，云服務(wù)客戶可以在各個服務(wù)層(IaaS、PaaS與SaaS)實現(xiàn)基礎(chǔ)設(shè)施保護(hù)服務(wù)（例如邊界防火墻）。然而，云服務(wù)客戶無法在PaaS與SaaS層部署服務(wù)器防火墻安全組件，只能依靠云服務(wù)商提供服務(wù)器防火墻服務(wù)。因此，云服務(wù)客戶應(yīng)在服務(wù)級別協(xié)議中明確所需的安全防護(hù)級別。云服務(wù)商根據(jù)云服務(wù)商的服務(wù)范圍與實施的活動，云服務(wù)商的架構(gòu)組件為：服務(wù)部署、服務(wù)編排、云服務(wù)管理、云服務(wù)安全與隱私保護(hù)。由于安全與隱私保護(hù)、數(shù)據(jù)內(nèi)容管理、服務(wù)級別協(xié)議（SLA）等是跨組件的，安全參考架構(gòu)模型將云服務(wù)商的安全活動交錯分布到所有的組件層，覆蓋云服務(wù)商負(fù)責(zé)的全部領(lǐng)域，并且將安全性嵌入到與云服務(wù)商有關(guān)的全部架構(gòu)組件中。另外，云部署作為云服務(wù)的一部分，直接與云服務(wù)商提供的服務(wù)相關(guān)。因此，安全參考架構(gòu)為云服務(wù)商定義了下列框架組件與子組件：安全云服務(wù)管理安全供應(yīng)與配置安全可移植性與互操作性安全業(yè)務(wù)支持安全云服務(wù)協(xié)同安全物理資源層（硬件與設(shè)施）－僅主服務(wù)商安全資源抽象與控制層（硬件與設(shè)施）－僅主服務(wù)商安全部署與服務(wù)層主服務(wù)商通過技術(shù)代理者直接向云服務(wù)客戶提供服務(wù)，或與中介服務(wù)商等合作伙伴間接地向云服務(wù)客戶提供服務(wù)。中介服務(wù)商也可將一個或多個主服務(wù)商的服務(wù)集成后向云服務(wù)客戶提供服務(wù)。多個云服務(wù)商之間形成依賴關(guān)系，此依賴關(guān)系通常對云服務(wù)客戶不可見，即主服務(wù)商與中介服務(wù)商提供服務(wù)的方式對云服務(wù)客戶沒有區(qū)別。中介服務(wù)商負(fù)責(zé)的安全組件與控制措施與主服務(wù)商相同，并需在多個云服務(wù)商之間進(jìn)行協(xié)調(diào)。安全云服務(wù)協(xié)同本標(biāo)準(zhǔn)描述一個3層模型，代表云服務(wù)商交付服務(wù)需提供的3種類型的系統(tǒng)組件，這三層是：服務(wù)層：代表云服務(wù)商提供的3類服務(wù)（IaaS,PaaS與SaaS）；資源抽象與控制層：包含通過軟件抽象，云服務(wù)商用于提供與管理訪問物理計算資源的系統(tǒng)組件；物理資源層：包括所有的物理計算資源，例如硬件資源（CPU與內(nèi)存）、網(wǎng)絡(luò)設(shè)備與軟件（路由器、防火墻、交換機、網(wǎng)絡(luò)鏈接與接口）、存儲組件（硬盤）以及其他物理計算基礎(chǔ)設(shè)施元素。安全參考體系架構(gòu)組件由下述三層構(gòu)成：安全部署與服務(wù)層安全資源抽象與控制層安全物理資源層5.3.1.1安全部署與服務(wù)層基于所提供的云服務(wù)類型（例如SaaS,PaaS或Iaas）與云部署模型（例如公有云或私有云），云服務(wù)商實施保障服務(wù)層安全的安全組件集。對于云服務(wù)中的每一個實例，云服務(wù)商負(fù)責(zé)實施的安全組件集都與其他云參與者實施的安全組件集密切相關(guān)。對于IaaS云服務(wù)，云服務(wù)商提供與物理計算資源相關(guān)的服務(wù)，包括服務(wù)器、網(wǎng)絡(luò)、存儲與主機基礎(chǔ)設(shè)施。云服務(wù)商運行所需的云軟件，通過一套服務(wù)接口與計算資源抽象（例如虛擬機與虛擬網(wǎng)絡(luò)接口），將計算資源提供給IaaS云服務(wù)客戶。不管采用哪種云服務(wù)，云服務(wù)商始終控制物理硬件與云軟件，因此能夠提供這些基礎(chǔ)設(shè)施服務(wù)（例如，物理服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備、主機操作系統(tǒng)、虛擬監(jiān)控器等）。對于PaaS云服務(wù)，云服務(wù)商管理平臺的計算基礎(chǔ)設(shè)施，并運行提供平臺組件能力的云軟件，例如運行時軟件執(zhí)行棧、數(shù)據(jù)庫與其他中間件組件。通常，提供PaaS服務(wù)的云服務(wù)商也為云服務(wù)客戶提供開發(fā)、部署與管理的工具。這些工具可集成到開發(fā)環(huán)境（IDEs）、云軟件開發(fā)版本、軟件開發(fā)套件（SDKs）或部署與管理工具中。對于SaaS云服務(wù)，云服務(wù)商部署、配置、維護(hù)與更新云基礎(chǔ)設(shè)施上的應(yīng)用軟件，使服務(wù)可以按照期望的服務(wù)級別供應(yīng)給云服務(wù)客戶。SaaS云服務(wù)商對管理和控制應(yīng)用程序與基礎(chǔ)設(shè)施負(fù)主要責(zé)任。5.3.1.2安全資源抽象與控制層安全資源抽象與控制層是包含云服務(wù)商實現(xiàn)的安全組件的架構(gòu)組件，通過軟件抽象提供安全訪問與管理物理計算資源的功能。資源抽象組件的例子包括虛擬監(jiān)控器、虛擬機、虛擬數(shù)據(jù)存儲這樣的軟件元素。資源抽象組件應(yīng)確保相關(guān)物理資源有效、安全與可靠的使用。虛擬機技術(shù)通常在本層使用，但提供必要軟件抽象的其他方法也可以使用。本層的控制部分系指負(fù)責(zé)資源分配、訪問控制與使用監(jiān)控的安全軟件組件。這是將多種物理資源及其軟件抽象進(jìn)行綁定，實現(xiàn)資源池化、動態(tài)分配與測量服務(wù)的軟件架構(gòu)。云服務(wù)商應(yīng)采用適當(dāng)?shù)陌踩珯C制，確保只有經(jīng)過授權(quán)的用戶才能訪問系統(tǒng)、服務(wù)與數(shù)據(jù)，且用戶或租戶不能未經(jīng)許可訪問其他租戶的信息。系統(tǒng)應(yīng)隔離系統(tǒng)管理功能與用戶相關(guān)的功能（包括用戶接口服務(wù)），不能將系統(tǒng)管理功能暴露給向非特權(quán)用戶。安全功能應(yīng)與非安全功能隔離，并可作為分層結(jié)構(gòu)實施，使各層之間最少交互，并保障低層功能與高層功能的獨立性。5.3.1.3安全物理資源層安全物理資源層是架構(gòu)子組件，包含需要確保物理計算資源安全的安全組件。本層包括硬件資源，例如計算機（CPU與內(nèi)存）、網(wǎng)絡(luò)（路由、防火墻、交換機、網(wǎng)絡(luò)連接與接口）、存儲部件（硬盤）與其他物理計算基礎(chǔ)設(shè)施元素。它還包括設(shè)施資源，例如：供暖、通風(fēng)與空調(diào)（HVAC）、電力、通訊及其他物理設(shè)備。安全云服務(wù)管理云服務(wù)管理可以如下描述：供應(yīng)與配置需求可移植性與互操作性需求業(yè)務(wù)支持需求此外，基于不同的云服務(wù)結(jié)構(gòu)，安全云服務(wù)管理的不同部分可由云服務(wù)商或云代理者支持與實現(xiàn)。這些服務(wù)可通過云服務(wù)客戶的安全云服務(wù)管理進(jìn)行補充。5.3.2.1安全供應(yīng)與配置安全供應(yīng)與配置架構(gòu)子組件包含確保云資源安全配置與供應(yīng)的所有安全組件（例如，能力、工具或策略），并應(yīng)符合相應(yīng)的安全標(biāo)準(zhǔn)、法規(guī)與規(guī)范。安全配置云資源的準(zhǔn)則也包含云服務(wù)客戶與云服務(wù)商在服務(wù)級別協(xié)議（SLA）中確定的專用措施。云服務(wù)商對云資源配置的安全管理與供應(yīng)涉及到的領(lǐng)域參見5.2.1.2。5.3.2.2安全可移植性與互操作性云服務(wù)客戶、云供應(yīng)商與云代理者均應(yīng)滿足的安全可移植性與互操作性要求，參見5.2.1.3?；诓煌脑品?wù)模型，安全可移植性與互操作性的需求也不同。例如對于云服務(wù)商，SaaS云服務(wù)可能要求在不同云上運行的多個應(yīng)用之間進(jìn)行數(shù)據(jù)集成；IaaS云服務(wù)可能要求遷移數(shù)據(jù)與應(yīng)用到新的云上，與此同時確保應(yīng)用程序仍可操作。第一個例子只需簡單地將數(shù)據(jù)以標(biāo)準(zhǔn)格式提取并備份即可。第二個例子則需首先捕獲虛擬機映像，然后將它們遷移到一個或多個有可能采用不同虛擬化技術(shù)的新云服務(wù)商?；谠品?wù)客戶在服務(wù)級別協(xié)議（SLA）中定義的安全策略的配置仍需保留。遷移后，需刪除或記錄任何云服務(wù)商特定的虛擬機映像擴(kuò)展。云服務(wù)商應(yīng)理解并滿足云服務(wù)客戶的可移植性與互操作性需求。5.3.2.3安全業(yè)務(wù)支持安全業(yè)務(wù)支持架構(gòu)子組件包含運行面向客戶的業(yè)務(wù)操作所用的所有安全組件，使云服務(wù)商以安全方式對云服務(wù)客戶、云代理者及其他云服務(wù)商進(jìn)行業(yè)務(wù)支持。中介云服務(wù)商應(yīng)確保下游服務(wù)商適當(dāng)?shù)貙嵤┝怂麄冏约贺?fù)責(zé)的安全組件與控制措施，且風(fēng)險與責(zé)任已經(jīng)明確。與云服務(wù)客戶簽署合同并明確責(zé)任后，業(yè)務(wù)支持的責(zé)任由主服務(wù)商與中介服務(wù)商共同承擔(dān)。云服務(wù)商業(yè)務(wù)支持的職責(zé)包括：云服務(wù)客戶管理：管理云服務(wù)客戶賬戶、打開/關(guān)閉/終止賬戶、管理用戶配置文件、管理云服務(wù)客戶關(guān)系、基于云服務(wù)客戶的安全策略解決云服務(wù)客戶的問題等。合同管理：管理服務(wù)合同，包括建立/協(xié)商/關(guān)閉/終止合同等；提供云服務(wù)客戶安全審計與報告所需的信息。倉儲管理：以安全方式建立與管理服務(wù)目錄等。記帳與計費：管理云服務(wù)客戶的計費信息、發(fā)送計費狀態(tài)、處理收到的支付、追蹤發(fā)票等，確保有效跟蹤與糾正欺詐活動。報告與審計：監(jiān)控用戶操作、生成報告等，支持云服務(wù)客戶的安全審計與監(jiān)控需求。定價與評級：評估云服務(wù)并確定價格，在不違反云服務(wù)客戶保護(hù)的法律下，基于用戶的配置處理促銷與定價規(guī)則等。云代理者云代理者系指管理云服務(wù)的使用、性能與交付，并協(xié)調(diào)云服務(wù)商與云服務(wù)客戶之間關(guān)系的實體。云計算安全參考架構(gòu)模型中強調(diào)了兩種類型的云代理者：技術(shù)代理者與業(yè)務(wù)代理者。通常，云代理者提供的服務(wù)組合可以分為五種架構(gòu)組件：安全服務(wù)聚合、安全服務(wù)仲裁、安全服務(wù)中介、安全云服務(wù)管理和安全云服務(wù)協(xié)同。其中，前四個組件分別對應(yīng)云代理者所提供的服務(wù)，第五個組件則對應(yīng)云代理者的責(zé)任，即作為安全云服務(wù)協(xié)同的一部分保障云服務(wù)的安全性。五個架構(gòu)組件的詳細(xì)定義如下：安全服務(wù)聚合：該架構(gòu)組件包含將多個獨立服務(wù)融合與集成到一個或多個新服務(wù)的安全組件。云代理者提供數(shù)據(jù)集成功能，并確?；谠品?wù)客戶的安全策略數(shù)據(jù)在云服務(wù)客戶與多個云服務(wù)商間之間安全遷移。安全服務(wù)聚合可從如下描述：可移植性與互操作性的技術(shù)需求供應(yīng)與配置的技術(shù)需求安全服務(wù)仲裁：該架構(gòu)組件類似于安全服務(wù)聚合組件，只是所聚合的服務(wù)是不固定的。服務(wù)仲裁意味著云代理者可以從多個云服務(wù)商靈活地選擇服務(wù)。例如，云代理者可使用信用評分服務(wù)選擇一個具有最高分?jǐn)?shù)的云服務(wù)商?！踩?wù)中介：該架構(gòu)組件包含的安全組件，可使云代理者為云服務(wù)客戶改進(jìn)某些服務(wù)，或提供增值服務(wù)增強原有的服務(wù)，同時確保云服務(wù)客戶的安全策略正確實施。增強原有云服務(wù)的例子包括：訪問云服務(wù)的管理、身份管理、性能報告、增強的安全性等。安全云服務(wù)管理：該架構(gòu)組件包含云代理者提供運營服務(wù)所必須的，支持全部服務(wù)功能（技術(shù)與業(yè)務(wù)）管理的所有安全組件。安全云服務(wù)管理可以如下描述：業(yè)務(wù)支持需求供應(yīng)與配置的業(yè)務(wù)需求可移植性與互操作性的業(yè)務(wù)需求安全云服務(wù)協(xié)同：該架構(gòu)組件包含的安全組件，可使技術(shù)代理者基于云部署模型（例如私有云和公有云）與服務(wù)模式（例如IaaS、PaaS和SaaS），確保所提供服務(wù)及附加服務(wù)的安全。在實踐中，技術(shù)代理者用于保護(hù)云服務(wù)客戶的數(shù)據(jù)遷移到云的安全組件集，與提供類似服務(wù)的中介服務(wù)商所使用的安全組件集相同。有關(guān)如何提取技術(shù)代理者的安全組件集的細(xì)節(jié)參見5.4.1.技術(shù)代理者在安全云服務(wù)協(xié)同與安全云服務(wù)管理方面，技術(shù)代理者與中介服務(wù)商的職責(zé)是類似的。通過從多個云服務(wù)商聚集服務(wù)、增加一個新的技術(shù)功能層、處理互操作性問題等，技術(shù)代理者與云服務(wù)客戶的操作過程、云組件和/或客戶數(shù)據(jù)進(jìn)行交互。在安全參考架構(gòu)模型中，云代理者與技術(shù)代理者架構(gòu)組件的設(shè)計方式是強調(diào)云參與者的主要角色。例如，安全可移植性/互操作性架構(gòu)子組件延伸到安全云服務(wù)管理與安全服務(wù)聚合組件中，說明云代理者職責(zé)的兩個方面：安全云服務(wù)管理下的業(yè)務(wù)及管理方面與安全服務(wù)聚合下的技術(shù)方面。中介服務(wù)商并不聚合服務(wù)，而是嵌入主服務(wù)商提供的服務(wù)。技術(shù)代理者與中介服務(wù)商提供類似安全服務(wù)所需的安全組件集是相同的。技術(shù)代理者的架構(gòu)組件與子組件如下：安全云服務(wù)協(xié)同安全服務(wù)層（技術(shù)方面）安全服務(wù)聚合安全供應(yīng)與配置（技術(shù)方面）安全可移植性與互操作性（技術(shù)方面）安全服務(wù)管理安全供應(yīng)與配置（管理方面）安全可移植性與互操作性（管理方面）安全業(yè)務(wù)支持安全服務(wù)中介安全供應(yīng)與配置（技術(shù)方面）安全服務(wù)仲裁安全供應(yīng)與配置（技術(shù)方面）業(yè)務(wù)代理者業(yè)務(wù)代理者提供業(yè)務(wù)與關(guān)系支持服務(wù)（仲裁與業(yè)務(wù)中介）。與技術(shù)代理者相反，業(yè)務(wù)代理者不接觸任何云服務(wù)客戶在云中的數(shù)據(jù)、操作過程與其他組件（例如，鏡像、卷或防火墻）。業(yè)務(wù)代理者的架構(gòu)組件與子組件包括：安全服務(wù)管理安全業(yè)務(wù)支持安全服務(wù)中介安全供應(yīng)與配置（業(yè)務(wù)方面）安全服務(wù)仲裁安全供應(yīng)與配置（業(yè)務(wù)方面）為簡單起見，接下來的章節(jié)將對兩種云代理者一起討論架構(gòu)組件。安全云服務(wù)協(xié)同云代理者用于確保安全云服務(wù)協(xié)同的安全組件依賴于云服務(wù)類型與部署模型。云代理者實施的安全組件與其他云參與者的安全組件密切相關(guān)。如圖4所示，云代理者在平臺服務(wù)層或軟件服務(wù)層提供服務(wù)，它們分別建立在IaaS或PaaS云服務(wù)商的基礎(chǔ)之上。圖4安全云服務(wù)協(xié)同5.4.3.1安全服務(wù)層云代理者為保證服務(wù)層安全采用的安全組件集依賴于服務(wù)類型（例如PaaS或SaaS）?？赡茉诙鄠€云服務(wù)商提供的PaaS組件上聚合SaaS應(yīng)用，或在云服務(wù)商提供的IaaS組件上聚合PaaS組件。但是，這不是必須的，且依賴關(guān)系是可選的。每種服務(wù)都可以單獨提供。技術(shù)代理者實施額外功能層的安全需求依賴于所使用的云服務(wù)層類型。對于SaaS云服務(wù)，云技術(shù)代理者可聚合多個云服務(wù)商的服務(wù)，并能夠配置、維護(hù)、更新部署到這些聚合服務(wù)中的軟件應(yīng)用，使云服務(wù)以期望的服務(wù)級別提供給云服務(wù)客戶，并滿足客戶所有的安全需求。提供SaaS云服務(wù)的技術(shù)代理者承擔(dān)管理與控制應(yīng)用程序安全的主要責(zé)任。對于PaaS云服務(wù)，云技術(shù)代理者可安全聚合多個云服務(wù)商的服務(wù)，并為云服務(wù)客戶提供開發(fā)、部署與管理遷移到云的工具。這些工具可以是開發(fā)環(huán)境（IDEs）、云軟件開發(fā)版本、軟件開發(fā)套件（SDKs）或部署與管理工具。技術(shù)代理者不參與資源抽象與控制層或物理資源層中安全組件與控制措施的實施。安全服務(wù)聚合云代理者整合與集成多個服務(wù)為一個或多個新服務(wù)，提供數(shù)據(jù)集成功能，并確保數(shù)據(jù)在云服務(wù)客戶與多個云服務(wù)商之間的安全遷移。安全服務(wù)聚合架構(gòu)組件說明了技術(shù)代理者的責(zé)任，即保證所有數(shù)據(jù)的安全性，對云服務(wù)商的服務(wù)請求及云服務(wù)商的響應(yīng)均需達(dá)到所需的保密性、完整性與可用性級別。該組件還涉及云代理者的責(zé)任，即根據(jù)用戶合同與服務(wù)級別協(xié)議（SLA）中的安全需求，保證達(dá)到規(guī)定的安全級別。作為服務(wù)聚合者，技術(shù)代理者僅支持傳輸中的云服務(wù)客戶數(shù)據(jù)，因此靜止數(shù)據(jù)的安全性與技術(shù)代理者提供的聚合服務(wù)無關(guān)。云代理者安全服務(wù)聚合架構(gòu)組件所包含的安全組件集類似于中介服務(wù)商，其技術(shù)差異在于云代理者對下層云服務(wù)商提供的透明性。云代理者應(yīng)向下層云服務(wù)商暴露報告、儀表板與所有計劃的信息，但對中介服務(wù)商，這不是必要工作。介于云服務(wù)客戶與多個聚合的云服務(wù)商之間的技術(shù)代理者，應(yīng)提供雙向功能棧安全服務(wù)，即向上面向云服務(wù)客戶，向下面向下層云服務(wù)商。相應(yīng)地，所有的報告與計劃應(yīng)考慮云代理者－云服務(wù)客戶接口與云代理者－云服務(wù)商接口。安全服務(wù)聚合相關(guān)的兩個架構(gòu)子組件是：安全供應(yīng)與配置安全可移植性與互操作性對于技術(shù)云代理者，向云服務(wù)客戶提供的供應(yīng)與配置功能的安全需求類似于云服務(wù)商，安全可移植性與互操作性的安全需求也類似于云服務(wù)商（更多信息參見5.3.2.1與5.3.2.2）。安全云服務(wù)管理安全云服務(wù)管理架構(gòu)組件包含所有與服務(wù)相關(guān)的功能，這些功能對云服務(wù)客戶所需服務(wù)的運維管理是必不可少的。云服務(wù)管理可以如下描述：可移植性與互操作性需求供應(yīng)與配置需求業(yè)務(wù)支持需求基于云服務(wù)的結(jié)構(gòu)，云服務(wù)商或云代理者可以實施安全云服務(wù)不同方面的管理。這些架構(gòu)組件可由云服務(wù)客戶的安全云服務(wù)管理架構(gòu)組件補充。安全云服務(wù)管理的子組件如下：安全可移植性與互操作性安全供應(yīng)與配置安全業(yè)務(wù)支持圖5安全云服務(wù)管理5.4.5.1安全可移植性與互操作性云服務(wù)客戶、云供應(yīng)商與云代理者均應(yīng)滿足安全可移植性與互操作性要求，參見5.2.1.3。5.4.5.2安全供應(yīng)與配置安全供應(yīng)與配置架構(gòu)子組件包含諸如能力、工具或策略的所有安全組件，確保云資源的安全配置與供應(yīng)符合相應(yīng)的安全標(biāo)準(zhǔn)、法規(guī)與規(guī)范。云代理者安全供應(yīng)與配置涉及的領(lǐng)域參見5.2.1.2。5.4.5.3安全業(yè)務(wù)支持云代理者可通過改進(jìn)特定的面向客戶的業(yè)務(wù)運營，以及向云服務(wù)客戶提供增值服務(wù)提供與業(yè)務(wù)相關(guān)的服務(wù)。例如定價與評級、合同管理、記賬與計費。安全業(yè)務(wù)支持架構(gòu)子組件是一組支持云服務(wù)客戶的業(yè)務(wù)相關(guān)服務(wù)。該子組件包含用于支持云代理者以服務(wù)商或以代理角色進(jìn)行業(yè)務(wù)操作的安全組件。云代理者安全業(yè)務(wù)支持的職責(zé)參見5.3.2.3。安全服務(wù)中介云代理者可通過改進(jìn)特定的功能，以及向云服務(wù)客戶提供增值服務(wù)增強給定的服務(wù)。這些功能改進(jìn)包括：管理云服務(wù)的訪問、身份管理、性能報告與增強的安全性等。安全服務(wù)中介架構(gòu)組件表明云代理者的職責(zé)是，確保新增加的所有功能都保持所要求的機密性、完整性與可用性級別，并滿足云服務(wù)客戶在合同與服務(wù)級別協(xié)議（SLA）中規(guī)定的安全需求。提供服務(wù)中介的技術(shù)代理者采用的安全組件類似于服務(wù)聚合情形，但根據(jù)中介技術(shù)代理者提供的增值服務(wù)，組件與控制措施通常具有更高的優(yōu)先級。例如，作為第三方授權(quán)者，僅提供身份管理運營（不提供任何服務(wù)聚合或服務(wù)仲裁）的技術(shù)代理者，應(yīng)具有較強的安全控制。同時，系統(tǒng)與通信保護(hù)可能具有較低的優(yōu)先級，因為云服務(wù)客戶在云中的數(shù)據(jù)并不遷移到云代理者的系統(tǒng)。需要注意的是，即使對性能報告這樣的中介服務(wù)，云代理者也應(yīng)保護(hù)系統(tǒng)的安全，確保報告是可信的和正確的，且只提供給授權(quán)用戶。安全服務(wù)仲裁安全服務(wù)仲裁架構(gòu)組件本質(zhì)上類似于安全服務(wù)聚合組件，不同之處是仲裁期間云代理者組合與集成的服務(wù)不固定。亦即，云代理者具有從多個云服務(wù)商為云服務(wù)客戶動態(tài)選擇服務(wù)的靈活性。提供服務(wù)仲裁的技術(shù)代理者采用的安全組件類似于服務(wù)聚合情形，只是特別強調(diào)下述能力：保證選擇的安全服務(wù)沒有服務(wù)可用性障礙與安全問題，確保仲裁時云服務(wù)商之間安全與快速切換，并達(dá)到云服務(wù)客戶在合同與/或服務(wù)級別協(xié)議（SLA）中規(guī)定的機密性、完整性與可用性級別。云審計者云審計者是對云服務(wù)、信息系統(tǒng)運維、性能、隱私影響與安全進(jìn)行獨立評估的云參與者。云審計者可為任何其他云參與者執(zhí)行各類審計。云審計者需要一個安全的審計環(huán)境，確保從責(zé)任方以安全與可信的方式收集目標(biāo)證據(jù)。通常，云審計者可用的安全組件與相關(guān)的控制措施獨立于云服務(wù)模式與/或被審計的云參與者。支持云審計過程的安全審計環(huán)境架構(gòu)組件需要（但不限于）下列機制：安全組件與相關(guān)安全控制：有關(guān)于安全組件與相關(guān)安全控制的信息對云審計者可用。安全檔案：支持法律與業(yè)務(wù)過程的審計結(jié)果，例如電子發(fā)現(xiàn)、歸檔需求與實施對云審計者可用。安全存儲：各責(zé)任方的目標(biāo)證據(jù)可以用安全方式在云中收集與存儲，以備今后參考。加密與混淆的存儲信息對云審計者可用。數(shù)據(jù)位置：在審計過程中，云審計者應(yīng)確保數(shù)據(jù)適用于相關(guān)的管轄權(quán)規(guī)則，從而數(shù)據(jù)位置信息對云審計者可用。度量：性能審計需從度量系統(tǒng)中獲得信息，云審計者應(yīng)能安全地訪問這些信息。服務(wù)級別協(xié)議（SLA）：服務(wù)審計需訪問要求審計與被審計的各方之間的所有協(xié)議，以及支持以安全方式實施服務(wù)級別協(xié)議（SLA）的任何機制，隱私：隱私影響評估要求系統(tǒng)安全與配置信息的可用性，以及在云中實施數(shù)據(jù)保護(hù)的任何機制的可用性。云基礎(chǔ)網(wǎng)絡(luò)運營者云基礎(chǔ)網(wǎng)絡(luò)運營者是提供云服務(wù)連接與傳輸?shù)脑茀⑴c者。從用戶角度，用戶與云服務(wù)商或云代理者有更為直接的關(guān)系。所以除非云服務(wù)商或云代理者同時充當(dāng)云基礎(chǔ)網(wǎng)絡(luò)運營者的角色，否則云基礎(chǔ)網(wǎng)絡(luò)運營者的角色不被注意。因此，為履行合同義務(wù)并滿足指定的服務(wù)要求，云基礎(chǔ)網(wǎng)絡(luò)運營者應(yīng)對云服務(wù)商與云代理者的云服務(wù)提供安全傳輸支持。雖然云基礎(chǔ)網(wǎng)絡(luò)運營者具有安全服務(wù)管理功能：保證安全的服務(wù)交付及滿足用戶的安全需求，但這些功能并不直接提供給云服務(wù)客戶。_________________________________（資料性附錄）云計算的安全風(fēng)險云計算法