聊聊云计算标准背后的秘密 | 硬创公开课

雷峰网 · 公众号 · 科技媒体 · 2017-01-08 18:09

正文

雷锋网招人了！

加入雷锋网，分享AI时代的信息红利，与智能未来同行。听说牛人都点了这里。

国内云计算自2009年起步，到现在已经成长为一个数百亿元规模的市场，一大波创业者嗅到了这一商机之后，打着“云服务”旗号的企业俯拾皆是。的确云计算创业的门槛在降低，各种服务的落地也很顺利。但雷锋网也发现，这一野蛮式的增长也带来了一系列的问题。

俗话说，无规矩不成方圆。随着云计算产业的规模逐渐扩大，各家企业提供的服务也是稂莠不齐，大家都知道，在采购云服务时稍有不慎就可能给公司造成重大的损失，如何在千千万万个云计算厂商挑出最适合自己的是个问题，而云计算的标准化就是取胜之匙！

众所周知，国外的云计算发展早于国内，而且相关的标准也相对成熟，最近几年国内组织机构开始对云服务的标准化工作重视起来，中国信息通信研究院制定的可信云认证就是其中之一。那么在各种标准纷纷袭来的时候，云服务商以及云服务采购方又该如何接招呢？本期雷锋网硬创公开课将为您一一解答。

嘉宾介绍

栗蔚，中国信息通信研究院技术与标准研究所主任工程师，云计算开源产业联盟秘书长，数据中心联盟可信云工作组组长。中国信息通信研究院负责可信云、云计算开源、云保险、金牌运维等多个云计算相关工作，编写可信云《云计算服务协议参考框架》，《面向政务的云服务》，Y.3501 Trusted Cloud等国内国际云计算标准20余项。

以下内容整理自本期公开课：

● ● ●

国外云服务比国内走得快，标准制定也更成熟，例如云安全的评估国际上已经有CSA-STAR这样的权威认证。国内组织制定的标准和国际标准的差异是什么？

不可否认，国外某几个云服务商在技术稳定性、弹性等某些方面确实比国内走得快，现在国内外的云服务发展也还没到一个非常成熟的阶段，成熟与否要看整个产业。产业总体来说还是一个初级形态，包括运维、安全、应用的总体生态还远远没有形成。根据中国信息通信研究院《2015年公有云/私有云调研报告》中国云计算产业规模总共近500亿，中国的云计算每年处在30%-40%的增长速度，从规模和行业客户覆盖度来说也都只是初级阶段。很多标准在这种情况下很多还只是关注虚拟化、信息系统，包括国外的一些标准，所以并没有到一个成熟的阶段。

我们可以通过以下几个方面来评价标准：

1）是否满足技术发展阶段；

2）是否有效规范了相应的技术；

3）是否满足用户需求。

目前国内外的标准在第一点表现都不错，但是第二点和第三点不同。以CSA-STAR为例，其实还是以ISO27001为核心，可以称之为ISO27001的增强版。我们可以看到国外的思路都是以ISO27001为核心的各种变化，比如美国的FedRAMP政务云审查也是以27001为核心。ISO27001是非常经典的信息安全标准，可以作为云服务商初期建设云平台规范管理的参考，但是对于当前的云计算新特点约束不足。

云计算带来最大的变化是什么？

以前用ISO的组织框架来规范自己，能保证执行的力度。而现在把数据和系统放到云服务商手中，那约束自己就变成了考核另一方是否能有效约束自己以及有足够的能力保障安全可信，总的来说新增的是云服务商让客户信任的能力。在这种情况下，只有安全组织框架和管理流程是远远不够的，因为一是不能真实反应对方的执行情况，二是不能真实考核对方能达到隔离安全的程度，三是如果对方有了安全问题没有机制保障后果。ISO只对事前负责，并不包括事中和事后的约束。所以需要更多的标准对云服务商的事前、事中、事后的真实能力和执行情况进行评价。

国际上现有的ISO-IECJTC1-SC38_N1074框架、ISO-IECJTC1-SC38_N1072术语这两个标准的核心其实都是早期美国NIST提出的云计算概念，现在耳熟能详的公有云、私有云、混合云等等概念都是出自NIST，这两个标准主要关注云计算术语框架等基本概念，所以在初期普及概念是可以的。

反观国内也有不少标准体系，比较主流的如下：1）可信云评估体系，2）云计算综合标准化，3）等级保护云计算版，4）云计算安全国标。

一、可信云

可信云评估体系主要面向用户，约束云服务商信任问题，针对云计算的特有的问题，评估指标规范客户信任云服务商的指标，针对云服务的真实能力进行评估，真实反应事中云服务商的执行情况，真实考核对方能达到隔离安全的程度，以及事后有安全问题时的赔偿机制。主要用于用户选购云计算的招标规范，主要目的是规范云服务商SLA的指标和能力，也是目前国内云计算信任体系的权威标准。