国家认证认可监督委员会批准认证咨询机构
批准号:CNCA-Z-01Q-2006-038
联系电话
全国:010-56542716
天津:022-27810977
国家认证认可监督委员会批准认证咨询机构
批准号:CNCA-Z-01Q-2006-038
全国:010-56542716
天津:022-27810977
7 技术
技术是云计算服务提供商提供云计算服务的保障和前提,技术要素包括资源池化、计量技术、监控技术、调 度技术和安全保障技术等。云计算服务提供商需要有相应的技术支撑来满足其客户当前及将来的业务要求,并实 现对其所提供云计算服务的有效管理。
7.1 资源池化
IaaS服务提供商应具备资源池化技术,能够对用户隐藏服务基础架构的细节并从逻辑上进行颗粒度分割,从 而提供可平滑扩展的服务。资源池化的对象应至少包含计算资源、存储资源和网络资源:
a) 计算资源的资源池化:云计算服务提供商应按照计算能力的单位(如每秒处理器运算次数,内存容量,处 理器核个数等)构建计算能力池,并在使用协议中提供各种计算能力的可用组合方式;
b) 存储资源的资源池化:云计算服务提供商应按照存储能力的单位(如静态存储的字节数,存储的I/O次 数,I/O流量等)构建存储能力池,并在使用协议中提供各种存储能力的可用组合方式;
c) 网络资源的资源池化:云计算服务提供商应按照网络传输能力的单位(如网络地址个数,持续传输速度, 峰值传输速度等)构建网络传输能力池。 资源池的粒度、资源池的容量与用于申请与释放资源的接口构成了衡量资源池化技术的关键要素。
7.2 计量 云计算服务提供商应具备服务计量的能力:
a) 根据所提供的服务类型,设定对应的计量指标(至少应包含资源的使用时长、资源的使用数量、服务的使 用次数);
b) 根据不同的计量指标,采用对应的计量方法。 计量指标以及计量方法构成了计量技术的关键指标。
7.3 监控
云计算服务提供商在监控方面应满足:
a) 对服务进行监测,能够采集并整合其性能数据,对外提供统一的访问接口;
b) 提供监控数据的表示方案和存档机制,为事后性能分析和统计提供依据;
c) 提供可视化方案,向用户直观地呈现服务的当前状态和历史信息。 服务监测和性能采集工具、可视化工具以及监控信息存储的持久性构成了监控技术的关键指标。
7.4 调度
云计算服务提供商在调度方面应满足:
a) 根据当前系统的网络负载情况,适时调整网络带宽,保证服务水平。在原有网络资源不可用时,能自动 切换到备用网络资源,保证服务持续;
b) 根据当前系统的计算负载情况,适时迁移或扩展应用,保证服务水平。在原有计算资源不可用时,能自 动切换到备用计算资源,保证服务持续;
c) 根据当前系统的存储负载情况,适时增添或扩展存储设备,保证服务水平。在原有存储资源不可用时, 能自动切换到备用存储资源,保证服务持续。 计算、存储、网络资源的可用性和服务连续性,以及资源调整机制构成了调度的关键指标。
8 资源
资源是云计算服务提供商提供各种云计算服务的基础,包括:计算资源、存储资源、网络资源、与其他服务 资源等。在任何时间云计算服务提供商都需要有足够的资源来满足其客户当前及将来的业务要求,并能够对其云 计算服务环境中的各种资源进行有效管理。
8.1 基础设施
云计算服务提供商能够对其云计算服务环境中的基础设施资源进行有效管理,并应:
a)有确定的、计算简单的计算资源计量方法,如:按CPU个数(包括虚拟CPU)、内存大小(包括虚拟内 存)来计量计算资源。
b)具备对资源(包括:CPU、内存、存储空间、网络带宽)进行容量规划的能力,包括一个明确的、简单、可操作的、针对大规模基础设施资源池的计算资源容量规划方法,以及落实该方法能够切实 执行的工具、人员、流程;
c)具备合适地对资源的使用、运行情况进行监控的能力,包括:合适的工具、人员、流程,在流程中包括 对CPU、内存使用的预警规则;
d) 具备根据客户订单要求为客户分配资源(包括:CPU、内存、存储空间、网络带宽)的能力,包括:计 算资源分配、部署工具、人员、流程,资源分配能力能够与资源监控能力集成;
e) 用符合标准的接口通过网络为客户提供其订购的资源服务,该接口还必须具备一定的安全保障能力,如: 用户接入认证、安全数据传输、数据保密等;
f) 具备资源(包括:CPU、内存、存储空间、网络带宽)动态、伸缩的能力,在客户的业务应用需要更多的 资源时,能够动态为其增加资源;在客户的业务应用需要的资源减少时,能够动态地回收资源;
g) 具备资源(包括:CPU、内存、存储空间、网络带宽)的度量能力,即按照资源的计量单位对客户使用 的资源进行度量,如客户使用了几个CPU、几兆内存,其业务应用的运行时间是多少等;
h) 具备资源(包括:CPU、内存、存储空间、网络带宽)运行时故障处理的能力,包括:故障处理工具、人 员、流程等。资源故障处理能力能够与资源监控能力集成。 计量模型、服务执行记录及改善机制构成了衡量基础设施资源的关键要素。
8.2 支撑环境
8.2.1 要求
云计算服务提供商能够对其云计算服务环境中的支撑环境资源进行有效管理,并应在以下方面达到相应要 求:
a)建设 用于支撑云计算服务的机房基础设施应符合国家标准《电子信息系统机房设计规范》(GB 50174-2008) 的技术要求。
b) 安全性 应符合本部分7.7.1物理安全的要求。
c) 可用性 数据中心考虑可用性,提供冗余供电与散热设备,推荐在多地域建立多个互为备份的数据中心,保证云计算 服务的可用性。
d)业务连续性 云计算数据中心建立灾备中心,定时备份数据,保证业务连续性; 云计算灾备中心建设符合国家标准《GB/T20988-2007信息系统灾难恢复规范》; 在利用多个数据中心保证高可用性时,多个数据中心可互为灾备中心。
e)绿色节能 数据中心宜建立能源管理机制,监控数据中心设施和IT对能源的使用情况; 数据中心宜在机房装修、气流组织、供配电、空调暖通、照明等方面采用节能降耗措施; 数据中心宜使用可再生能源,自然冷却等技术节能降耗。
8.2.2 关键指标 支撑环境资源的关键指标包括:
a) 供电和散热设备的数量和容量;
b) 备份数据中心的数量和距离;
c) 数据中心绿色节能管理情况的测量或第三方评审定级,与改善机制。
9 安全
9.1 物理安全
在物理安全方面应满足:
a) 在数据中心设计与建设过程中符合相关机房标准的安全设计要求;
b) 对数据中心划分区域进行管理,区域之间设置物理隔离装置;
c) 对数据中心应配备环境设施与安防设施的实时监控系统,安排人员24小时值守;
d) 对通过安防系统、管理流程与数据中心的工作、来访人员进行管理与控制;
e) 建立数据中心安防与基础设施的维护、管理、操作程序、并严格执行。 独立园区封闭式管理机制执行情况和记录,消防探测系统、报警系统、灭火系统部署情况,24小时消防监 控、定期系统功能检测、定期消防演练执行情况和记录,数据中心环境设施实时监控和24小时人员值守机制执行 情况和记录,数据中心进出登记与身份核查的安全管理机制执行情况和记录,数据中心安防与基础设施的维护、 管理、操作程序、执行的流程和记录构成了衡量物理安全性的关键指标。
9.2 网络安全
在网络安全方面应满足:
a) 保证信息传输安全,实现数据传输的机密性和完整性;
b) 支持对网络的访问控制,实现认证、授权和审计功能;
c) 确保跨网络连接的可靠性与可用性;
d) 具备防范网络攻击的能力;
e) 能够防范网络配置错误对网络可用性的影响。 数据传输的加密与安全机制、可防范的网络攻击种类、访问鉴权授权和审计机制构成了衡量网络安全性的关 键指标。
9.3 主机安全 在主机安全方面应满足:
a) 保证云计算服务环境中所有主机的硬件与操作系统安全;
b) 如果在云计算服务环境使用了虚拟化技术,保证虚拟化系统管理程序、虚拟机、虚拟机操作系统的安 全;
c) 对自动分配虚拟机的情况,支持对自动供应的虚拟机做缺省安全配置;
d) 虚拟机自动分配流程必须与主机安全管理流程配合,以保证虚拟机的安全。 操作系统权限安全性、主机内虚拟机的安全隔离性、虚拟化管理系统的口令和权限安全构成了衡量主机安全 性的关键指标。
9.4 应用安全
9.4.1 要求 在应用安全方面应满足:
a) 遵循应用软件、互联网应用软件安全开发规范,以保证云计算服务环境中向用户提供服务的各种应用程 序的安全;
b) 具备应用程序安全测试的能力,通过安全测试的应用程序能够防范已知的网络攻击;
c) 具备云计算服务软件的封装能力,把提供云计算服务的应用程序封装成一个稳固的软件,按照服务接口 标准向用户开放接口,用户通过网络调用服务接口,使用云计算服务;
d) 对云计算服务环境中的用户进行有效的管理与控制,对登录用户进行身份标识和鉴别,对其合法性进行 有效认证;
e) 支持云计算服务环境集中统一的用户账号管理、认证管理、授权管理、审计管理,支持单点登录系统。 分级权限控制、针对应用的网络攻击的检测及抵抗能力、用户身份识别机制、集中用户管理功能,构成了衡 量应用安全的关键要素。
9.5 数据安全
9.5.1 要求
在数据传输过程中应满足7.6.2 中的要求:
在数据保存时应满足:
a) 对机密数据具备数据加密存储的能力,保证用户数据在云计算服务环境中保存时的保密性;
b) 具备数据可靠存储的能力,保证用户数据在存储时的可用性、完整性;
c) 制定数据备份和恢复计划,至少保证一个副本或备份有效,数据要存储在合同、服务水平协议和法规允 许的地理位置。
在数据处理时应满足:
a) 支持数据处理过程中对用户数据的保护,对于多租户应用,保证各个独立用户的数据安全;
b) 具备数据处理过程中数据可靠读写的能力,保证用户数据在处理过程中的可用性与完整性;
c) 对数据使用行为进行监控,对数据实施安全访问控制。
数据备份恢复机制、租户间数据隔离机制、数据访问日志记录机制构成了衡量数据安全的关键要素。
关注卓越空间
关注卓越微博
关注卓越微信