云安全—NIST SP 500-292

最新推荐文章于 2025-04-29 09:28:25 发布
最新推荐文章于 2025-04-29 09:28:25 发布
阅读量943 收藏 1
点赞数
分类专栏: 云安全 文章标签: 安全
本文为博主原创文章,未经博主允许不得转载,未授权转载为侵权行为,违反法律。
本文链接:https://blog.csdn.net/qq_36869808/article/details/133858638
版权

0x00 前言

未经允许,禁止转载

背景

NIST云计算计划于2010年11月正式启动,旨在支持联邦政府在适当的情况下将云计算纳入传统信息系统和应用程序模型的替代或增强

主要目标

定义了包括三种基本服务模式,SaaS、PaaS、IaaS,四种部署模式,公有云,私有云,社区云,混合云,五个基本特征,按需自助服务,便捷的网络访问,资源池化,弹性灵活,服务可计量。

根本目的是以更低的成本向用户提供高质量和更快的服务

NIST云计算架构主要关注的点是云服务能提供什么,而不是如何设计解决方案和实施

0x01 架构

在这里插入图片描述

在这里插入图片描述

1.主要参与者

参与人解释
云消费者与云提供商保持业务关系并使用其服务的个人或组织。
云提供商负责向相关方提供服务的个人、组织或实体。
云审计员能够对云服务、信息系统运营、云实现的性能和安全性进行独立评估的一方。
云代理管理云服务的使用、性能和交付,并协商云提供商和云消费者之间关系的实体。
云运营商提供云服务从云提供商到云消费者的连接和传输的中介。

2.主要场景

2.1 场景一

Cloud consumer 不直接从Cloud provide处获取服务,而是通过Cloud broker来进行服务的获取

在这里插入图片描述

2.2 场景二

经典的使用场景,云运营商提供链接等内容,云提供商给云消费者提供具体计算需求,相互之间通过SLA协议进行相互约束。

在这里插入图片描述

2.3 场景三

相对于场景二,相当于多了一个审计的角色,主要来做合规和安全管理以及审计工作。

下图中的场景其实就是三种不同的服务提供方式。

在这里插入图片描述

3.云消费者

整个云体系的最终受益者,同时也是所有消费的尽头。

下图没来得及画,所以直接使用原图

在这里插入图片描述

4.云提供商

负责向相关方提供服务的个人、组织或实体。向云消费者提供基本硬件,中间件,软件服务,对应着三种不同的服务模式

在这里插入图片描述

5.云审计员

能够对云服务、信息系统运营、云实现的性能和安全性进行独立评估的一方。

主要针对

  • 安全控制
  • 隐私影响
  • 合规
  • 性能

6.云代理

管理云服务的使用、性能和交付,并协商云提供商和云消费者之间关系的实体。

云代理实际上就是在云提供商提供的服务商再次进行深度服务,比如管理,二开,深度利用等

服务模式:

  • 服务中介,在原有的基础上提供增强服务,比如访问控制,身份管理,性能报告,安全相关
  • 服务聚合,多种服务集成在一起对外提供服务
  • 服务套利,就是动态灵活的服务聚合

7.云运营商

提供云服务从云提供商到云消费者的连接和传输的中介。

云运营商的范围就广了,比如基础硬件的提供,个人电脑,服务器,机房,网络服务,流量,wif,还有一些其他的基础设备或者载体都算是云运营服务里的一部分。

8.云提供者和云消费者的控制范围

他们之前的关系其实就是,谁提供谁负责,谁自主谁负责。

0x02 架构组件

1.服务部署

1.1 公有云

公有云就是通过公共网络向公众提供基础设施和计算资源的云

在这里插入图片描述

1.2 私有云

私有云就是单个云消费组织提供了对技术设施和计算资源的独占访问和使用,由云消费者或者第三方进行管理,也可以进行委托管理。

内部私有云

在这里插入图片描述

外包私有云

在这里插入图片描述

1.3 社区云

社区云主要针对一群具有共同关注点,如:任务目标,安全性,隐私和合规要求的云消费组织提供服务。

现场社区云

在这里插入图片描述

外包社区云

在这里插入图片描述

1.4 混合云

由两个或者多个云组合而成的云,主要体现在灵活性,和数据可移植性,并且可以根据业务适配选择

在这里插入图片描述

2.服务编排

服务编排是指云提供商安排,协调和管理计算资源的活动以向云服务提供云服务的组合。

在这里插入图片描述

模型分为三层

  • 服务层
  • 抽象资源层
  • 物理层

服务层就是三种服务模式
模型的中间层是资源层和抽象层,包含通过软件抽象和管理计算资源的系统组件,比如虚拟机,管理程序,虚拟数据存储
物理层就是包括所有的物理资源,机房,网络设备,存储,空调,等

服务层依赖抽象层,抽象层依赖物理层,不能隔层进行资源调用,比如服务层通常是无法直接操作物理层资源的。

3.云服务管理

云服务管理包括管理和运营消费者所需或建议的服务所需的所有与服务相关的功能。

主要包括以下角度:

  • 业务支持
  • 供应
  • 配置
  • 可移植性
  • 互操作性

在这里插入图片描述

3.1 业务支持

面向客户的业务操作

  • 用户管理:管理客户账号,开设、关闭、终止,管理用户资料,提供联系和服务
  • 合同管理:管理合同服务,设置、谈判、关闭,终止合同,库存管理等
  • 会计和计费:管理客户订单,发送账单,处理付款,发票跟踪等
  • 报告和审计:监控用户操作,生成报告
  • 定价和评级:评估云服务的费用,根据用户的资料以及需求制定价格

3.2 供应和配置

  • 快速配置:根据请求的服务、资源、内容快速部署
  • 资源变化:调整配置,资源分配以进行维修,升级,新节点加入
  • 监控和报告:发现和监控虚拟资源,监控云操作,事件生成并报告。
  • 计量:在抽象资源调用中提供计量服务
  • SLA管理:SLA合同,提供QoS参数的服务质量监控,修改SLA,SLA策略

3.3 可移植性和互操作性

可移植性在于云消费者想要以低成本和最小干扰进行数据移动或者应用移动,云消费者希望可以提供跨云移动的能力或者说是跨服务商的移动能力。

针对IaaS而言,需要移植的就是服务以及数据
针对SaaS提供的服务而言,最主要提供的是数据可移植。

互操作性,云消费者最关注的就是云与云之间的通信能力。

4.云安全

安全是一个贯穿所有架构的至关重要的内容,云安全归属于云提供商的责任范围内。

4.1 云服务模型视角

IaaS 和PaaS以及SaaS对应的就是不通的攻击面

4.2 云部署模型的安全性

私有云的安全性>公有云

4.3 责任制共有

安全是一项共有的责任,需要对控制权进行分析,以确定哪一方更适合实施。其实就是进行责任划分,谁提供谁负责,谁操作谁负责。

5.隐私

云服务提供商保护云中的个人信息和个人信息的可靠,适当和一致的收集、处理、使用、和处置。

0x03 总结

整体NIST SP 500-292的文档主要是总述了关于云计算的模式以及各方面提供的内容和特点。但是没有具体展开来进行细节描述,还需要进行详细的探讨。但是作为了解云计算相关内容,是已经够了的。

NIST风险评估框架(云安全
墨痕诉清风的博客
05-21 1273
NIST隐私框架是一个通过企业风险管理来改善隐私的工具,这是一个与不同行业利益相关者合作开发的工具包。隐私框架的愿景是帮助组织识别和管理其隐私风险,目标是保护个人隐私。它还有助于打造具有集成隐私功能的创新产品和服务。为了实现“设计隐私”,使用NIST隐私框架,您在设计和部署影响个人的系统、产品和服务时将隐私考虑在内。您正在与所有利益相关者沟通您的组织隐私实践。您意识到,在与其他国家和司法管辖区打交道时,隐私问题可能会有所不同,例如,在欧盟内部运营或与欧盟打交道时,隐私问题可能会不同。
NIST SP500-304.pdf
02-13
NIST SP500-304.pdf This publication defines a conformance testing methodology framework (CTMF) which includes elements of a conformance testing methodology (CTM), conformance test assertions, and conformance test procedures applicable to ANSI/NIST-ITL 2011 Update: 2013 (AN-2013). It discusses three levels of conformance testing (Level 1, Level 2, and Level 3) and provides a detailed Test Assertion Syntax for describing conformance test procedures. The Conformance Test Assertion Syntax formalizes a method for representing these conformance tests using Expressions, Value-Types, Operators, and Operands. A table-based format for documenting AN-2013 requirements and conformance test assertions is included. The table-based format indicates the association between requirements in AN-2013 and the test assertions and test procedures required to test each assertion. It includes information on the applicability of each test assertion indicating whether it only applies to the Traditional encoding as described in Annex B of AN-2013 (“T”), to the National Information Exchange Model (NIEM)-conformant Extensible Markup Language (XML) encoding as described in Annex C of AN-2013 (“X”), or to both Traditional and NIEM (XML) encoding (“B”).
NIST SP500-325.pdf
02-13
Managing the data generated by Internet of Things (IoT) sensors and actuators is one of the biggest challenges faced when deploying an IoT system. Traditional cloud-based IoT systems are challenged by the large scale, heterogeneity, and high latency witnessed in some cloud ecosystems. One solution is to decentralize applications, management, and data analytics into the network itself using a distributed and federated compute model. This approach has become known as fog computing. This document presents the conceptual model of fog and mist computing and how they relate to cloud-based computing models for IoT. This document further characterizes important properties and aspects of fog computing, including service models, deployment strategies, and provides a baseline of what fog computing is, and how it may be used.
NIST.SP.500-290e3
08-02
ANSI生物识别标准,可以参考ISO19794-2。Data Format for the Interchange of Fingerprint, Facial & Other Biometric Information
美国NIST《网络安全框架》中英文版
08-09
美国NIST《网络安全框架》cybersecurity-framework-021214中英文版
NIST零信任架构SP 800-207 标准草案(中文版).pdf
06-15
NIST 零信任架构 SP 800-207 标准草案(中文版)是云安全联盟大中华区 SDP 工作组翻译的第二版中文翻译稿,该标准草案旨在提供零信任架构的指南和实践指南,帮助组织和个人更好地理解和实施零信任架构。 零信任架构...
"NIST SP 500-299云计算安全参考框架简介与重要性
为了更好地理解和应用NIST SP 500-299,我们首先需要了解NIST云计算安全工作组和NIST云计算项目,以及它们在信息技术实验室下的工作。这些都是为了推动美国经济的发展和公共福祉。 NIST云计算安全参考框架的核心...
云计算参考架构(NIST)(2011-9-8)(英文).pdf
11-01
云计算参考架构(NIST SP 500-292)是由Fang Liu, Jin Tong, Jian Mao, Robert Bohn, John Messina, Lee Badger和Dawn Leaf撰写的。该架构旨在为理解和实施云计算提供一个标准化的框架,帮助用户、云服务提供商以及...
强化IT架构安全NIST SP 800-90B标准实施的必知步骤
本文详细介绍了NIST SP 800-90B标准的各个方面,包括标准概述、理论基础、实施步骤、实践应用案例以及面对的安全挑战与对策。标准基于随机数生成技术的演进、熵源的重要性以及随机数生成器的验证与测试。实施过程...
美国NIST云计算安全标准跟踪及研究
11-10
云安全标准分享材料。美国NIST云计算安全标准跟踪及研究
云计算架构参考模型
01-07
图 1 所示是美国国家标准与技术研究所(简称 NIST)定义的通用云计算架构参考模型,图中列举了主要的云计算参与者,以及他们各自的分工。 NIST 云计算架构参考模型定义了 5 种角色,分别是云服务消费者、云服务提供商、云服务代理商、云计算审计员和云服务承运商。每个角色可以是个人,也可以是单位组织。如表 1 所示,列举了每个角色的具体定义。 图 1  云计算架构参考模型 表 1 角色定义 角色 定义 云服务消费者 租赁云服务产品的个人或单位组织 云服务提供商 提供云服务产品的个人或单位组织,如中国电信天翼云、阿里云、腾讯云等 云服务代理商 代理云服务
云服务安全堡垒:NIST SP 800-90B在云计算中的关键作用
![云服务安全堡垒:NIST SP 800-90B在云计算中的关键作用]... # 摘要 本文全面回顾了NIST SP 800-90B的标准内容,重点阐述了云服务安全基础、理论框架、实践应用以及未来展望。在云服务安
NIST发布云计算参考体系结构
weixin_34194379的博客
09-16 838
2011年9月份,NIST SP 500-292:《云计算参考体系结构》发布。该文档给出了一个十分高层的概念模型: 【参考】 关于云安全的一些推荐阅读材料
一图看懂软件缺陷检查涉及的内容
华为云官方博客
12-17 2199
摘要:软件安全检查极具挑战性,目前的主要理论和技术研究都是欧美完成的。希望有更多的软件开发人员能够投入到这个领域,为国产的静态软件分析做出贡献。
【云计算学习教程】云计算架构参考模型
qq_41854911的博客
01-01 3606
图 1 所示是美国国家标准与技术研究所(简称 NIST)定义的通用云计算架构参考模型,图中列举了主要的云计算参与者,以及他们各自的分工。 NIST 云计算架构参考模型定义了 5 种角色,分别是云服务消费者、云服务提供商、云服务代理商、云计算审计员和云服务承运商。每个角色可以是个人,也可以是单位组织。如表 1 所示,列举了每个角色的具体定义。 图 1 云计算架构参考模型 角色 定义 云服务消费者 租赁云服务产品的个人或单位组织 云服务提供商 提供云服务产品的个人或单位组织,如中国电信天翼
云计算参考架构几例
weixin_33754913的博客
12-24 492
云计算参考架构: 上图阐释如何创建私有和混合云,最终用户可以自行提供计算、 存储和网络。许多大型组织开始创建内部的私有云,来增强其数据中心战略。 58同城的云架构: 百度社区的云架构 结合对弹性服务的理解,第一个是弹性伸缩,你让你的业务随着你的性能,随着你的流量,随着业务的变化自动的伸缩流量,这是第一个点。第二个点是我能够自动的屏蔽异常处理,我的机器出问题的时候,对业务是透明的...
基于STM32、HAL库的ATECC608B安全验证及加密芯片驱动程序设计
最新发布
corlin6688的博客
04-29 244
注意:ATECC608B的I2C地址通常是0x60(7位地址)基于硬件的高安全性加密算法。ECC P-256加密引擎。真随机数生成器(TRNG)I²C接口(最高1MHz)低功耗设计,适合物联网应用。SHA-256哈希算法。16KB安全存储空间。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王嘟嘟_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值