美國家標準和技術研究所提出可信雲架構概念

雲負載是對經虛擬化或封裝的功能性程式例項進行抽象，其中包括計算、儲存和網路資源。各機構需要根據各自的業務需求，以一種持續、可重複的自動化方式監視、跟蹤和應用各自的雲負載，並對其實施安全和隱私策略。近日，美國家標準和技術研究所（nist）的下屬機構——國家賽博安全卓越中心（nccoe）發布了《可信雲—vmware混合雲基礎設施即服務環境安全實踐指南》。該檔案提出了一種可信雲架構，尋求利用商用現貨技術增強混合雲平台上雲負載的安全性和私隱性。該檔案只是乙個草案，美國家賽博安全卓越中心希望業界對該檔案提出進一步的修改建議。

國家賽博安全卓越中心尋求通過一種自動化的內建可信硬體機制，限定雲伺服器的地理位置並不斷進行監視，從而增強雲計算安全性，並加快對雲計算技術的利用。內建可信硬體機制是一種可維持地理定位資訊與平台完整性的內建的可信硬體與韌體組合。如果雲平台經驗證可信並且符合規定的地理定位策略，則可以使用軟體程式來支援雲平台的其他安全能力，如限制乙個在可信地點、可信硬體上執行的負載，限制負載間的通訊，確保處於空閒狀態的負載資料受保護，對負載應用安全策略，以及跨混合雲利用這些能力等。

可信雲架構

可信雲架構包括三個主要部分：（1）位於國家賽博安全卓越中心的私有雲（主機）；（2）ibm雲安全虛擬化（icsv）例項；（3）連線這兩個雲的ipsec vpn。這三個部分共同組成了乙個混合雲架構，如下圖所示。

位於國家賽博安全卓越中心的私有雲包括以下部分：

儲存金鑰的gemalto 硬體安全模組（hsm）

戴爾伺服器、儲存和聯網硬體

戴爾伺服器上的因特爾處理器

vmware元件提供的計算、儲存和網路虛擬化能力

hytrust元件的資產標記和策略加強、負載和儲存加密、資料掃瞄系統

rsa元件的多重認證、網路流量監控、控制面板和報告系統

ibm雲安全虛擬化（icsv）例項包括以下部分：

配有因特爾處理器的ibm伺服器

vmware元件的計算、儲存和網路虛擬化

hytrust元件的資產標記、策略加強、負載和儲存加密

ipsec vpn可使以上兩個雲平台加入到同乙個管理域中，從而形成混合雲，並且使使用者能夠以相同的方式對每個雲平台進行管理和利用。兩個雲平台上的負載可實時遷移。

可信雲架構的組成（1）硬體安全模組元件

該元件可利用多個硬體安全模組來儲存混合雲環境中的敏感金鑰。其中一組硬體安全模組用於域的根部，可發布傳輸層安全（tls）認證授權（cas）；另一組硬體安全模組可用於保護對負載進行加密的金鑰。硬體安全模組元件安裝在國家賽博安全卓越中心的私有雲平台上，與該部件的通訊受到嚴格限制。

（2）管理元件

國家賽博安全卓越中心的私有雲和ibm雲安全虛擬化（icsv）公共雲例項的管理元件完全相同，都使用單獨的管理平台來執行虛擬基礎設施。每個管理元件至少包括使用因特爾處理器的硬體、執行虛擬化棧的vmware元件、提供資產標記和策略加強功能的hytrust元件，以及提供網路視覺化、控制面板和報告能力的rsa元件。每個雲的管理元件通過ipsecvpn連線，從而形成乙個邏輯管理單元。

（3）計算元件

國家賽博安全卓越中心的私有雲和ibm雲安全虛擬化（icsv）公共雲例項的計算元件類似。計算元件是執行負載虛擬機器的主機。計算伺服器提供資產標記功能，可分配和強化策略，以確保伺服器上寄存的負載滿足特定的要求。乙個基本的計算元件包含使用因特爾處理器的硬體、執行虛擬棧的vmware元件。兩個雲平台的計算元件通過ipsec vpn連線，可實現雲平台間負載的遷移。

（4）負載元件

混合雲的兩個平台上的負載元件類似。這些負載元件包括虛擬機器、資料儲存，以及租借者與資料擁有方運維的網路。用於負載的策略可確保這些負載只能在滿足特定要求（如資產標籤策略）的伺服器上執行。

美國家標準和技術研究所提出可信雲架構概念

SVAC國家標準介紹

國家標準電商務方面

中國高鐵國家標準（TB標準）

美國家標準和技術研究所提出可信雲架構概念

SVAC國家標準介紹

國家標準 電商務方面

中國高鐵 國家標準（TB標準）

相關推薦

國家標準電商務方面

中國高鐵國家標準（TB標準）