【51CTO.com綜合報(bào)道】

云計(jì)算，從概念到實(shí)踐

據(jù)統(tǒng)計(jì)，當(dāng)前比較經(jīng)典的云計(jì)算定義超過五十種。不同的專家、企業(yè)都從自己的角度對(duì)云計(jì)算的概念進(jìn)行定義。其中得到比較一致認(rèn)可、比較權(quán)威的是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）的定義。

NIST對(duì)云計(jì)算的定義：云計(jì)算是一個(gè)模型，這個(gè)模型可以方便地按需訪問一個(gè)可配置的計(jì)算資源（例如：網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)設(shè)備、應(yīng)用程序以及服務(wù)）的公共集。這些資源可以被迅速提供并發(fā)布，同時(shí)最小化管理成本或服務(wù)提供商的干涉。云模型由五個(gè)基本特征、三個(gè)服務(wù)模型和四個(gè)發(fā)布模型組成，如下圖所示。

圖注 云模型

在云計(jì)算具體實(shí)踐中，一般是從某幾個(gè)方面開始涉入，與具體的應(yīng)用結(jié)合，找到一條通過云計(jì)算技術(shù)來提升效率的商務(wù)模式成功之路。

我國(guó)在戰(zhàn)略上非常重視云計(jì)算的這一波浪潮，在國(guó)家多個(gè)部門的十二五規(guī)劃中，把云計(jì)算提到了一個(gè)非常重要的位置。并在多個(gè)城市、多個(gè)企業(yè)，開始云計(jì)算的試點(diǎn)。在云計(jì)算的試點(diǎn)實(shí)踐中，如何有規(guī)劃、分步驟的開始云計(jì)算系統(tǒng)的建設(shè)，是一個(gè)重要問題。啟明星辰積極參與政府、企業(yè)等用戶單位在云計(jì)算技術(shù)上的規(guī)劃，在用戶建設(shè)云計(jì)算系統(tǒng)的過程中，探索其安全保障方案。

某大型國(guó)企的云計(jì)算系統(tǒng)建設(shè)過程與安全保障方案實(shí)踐 

在國(guó)內(nèi)云計(jì)算系統(tǒng)的建設(shè)實(shí)踐中，比較典型的推進(jìn)方式是：從私有云開始，從IaaS服務(wù)開始，逐漸擴(kuò)展到云計(jì)算應(yīng)用的其他方面。

如下圖所示：某大型集團(tuán)企業(yè)的云計(jì)算系統(tǒng)規(guī)劃如下：

1.通過資源層的整合，將核心計(jì)算域的服務(wù)器資源，整合成計(jì)算資源池，形成云計(jì)算數(shù)據(jù)中心，并通過引入服務(wù)器虛擬化技術(shù)，提高資源使用效率。

2.通過統(tǒng)一管理平臺(tái)，解決云計(jì)算數(shù)據(jù)中心的資源分配與管理，實(shí)現(xiàn)動(dòng)態(tài)彈性部署和備份遷移管理。

3.開發(fā)云計(jì)算系統(tǒng)的用戶管理和用戶自服務(wù)界面，對(duì)集團(tuán)內(nèi)部各部門和各業(yè)務(wù)系統(tǒng)提供IaaS服務(wù)。

在私有云和IaaS服務(wù)基礎(chǔ)上，擴(kuò)展到針對(duì)集團(tuán)內(nèi)部的PaaS/SaaS服務(wù)，擴(kuò)展到對(duì)外提供服務(wù)。

圖注 某大型集團(tuán)企業(yè)的云計(jì)算系統(tǒng)規(guī)劃

在整個(gè)云計(jì)算系統(tǒng)的實(shí)施過程中，相應(yīng)的安全保障措施是對(duì)客戶提出的一項(xiàng)巨大挑戰(zhàn)。啟明星辰、網(wǎng)御星云和用戶一起，根據(jù)云計(jì)算系統(tǒng)的不同建設(shè)階段，提出了相應(yīng)的安全保障措施。

在計(jì)算資源整合和服務(wù)器虛擬化階段。安全保障的關(guān)鍵是：解決服務(wù)器虛擬化所帶來的安全網(wǎng)關(guān)部署位置問題。

在統(tǒng)一管理平臺(tái)階段，安全保障的重點(diǎn)是：解決虛擬服務(wù)器動(dòng)態(tài)部署所帶來的安全功能伴隨遷移問題。

在用戶自服務(wù)接口開發(fā)階段，安全保障的重點(diǎn)是：統(tǒng)一身份認(rèn)證系統(tǒng)的建設(shè)和運(yùn)維審計(jì)問題。

服務(wù)器虛擬化之后的安全設(shè)備部署

服務(wù)器虛擬化對(duì)安全網(wǎng)關(guān)設(shè)備的部署提出了新的要求。

1.傳統(tǒng)的安全設(shè)備，需要支持多實(shí)例（也稱為虛擬安全網(wǎng)關(guān)),每個(gè)實(shí)例支持獨(dú)立的安全引擎和安全管理配置界面，以支持云計(jì)算系統(tǒng)中的多個(gè)用戶使用。

2.在同一臺(tái)物理服務(wù)器內(nèi)部的不同虛擬化服務(wù)器之間的通訊流量不經(jīng)過網(wǎng)絡(luò)，需要一種新形態(tài)的安全設(shè)備，部署在虛擬操作系統(tǒng)內(nèi)部，可以對(duì)虛擬服務(wù)器之間的訪問進(jìn)行控制。

一般來說，在服務(wù)器虛擬化場(chǎng)景下部署的安全網(wǎng)關(guān)主要有以下形態(tài)：

啟明星辰和網(wǎng)御星云一直密切關(guān)注云計(jì)算技術(shù)的采用對(duì)安全產(chǎn)品形態(tài)的影響，已經(jīng)分別發(fā)布了相關(guān)產(chǎn)品和解決方案，積極支持企業(yè)用戶的云計(jì)算建設(shè)。