<?xml:namespace prefix = v ns = “urn:schemas-microsoft-com:vml” /> <?xml:namespace prefix = o ns = “urn:schemas-microsoft-com:office:office” />
图1: 面向服务的云计算架构及相关安全技术[78]
云计算包含前端(客户端、用户端)和后端(服务器端、数据中心)。目前认为前端趋向于变“瘦”变“薄”,趋向于以网络浏览器的形式提供基本用户操作界面,通过网络连接使信息处理服务在后端发生完成。后端的服务架构从底向上可分为硬件基础架构作为服务(Infrastructure as a Service, IaaS)、平台作为服务(Platform as a Service, PaaS)、软件作为服务(Software as a Service, SaaS)和智能服务(Intelligence-aaS)。IaaS服务(如Amazon EC2[33])向用户提供基本的计算、存储和网络资源,用户基于这些资源,可安装任意的操作系统软件和应用软件以完成计算。PaaS服务(如App Engine[49], Azure[79])基于IaaS实现,它向用户提供特定的计算平台(其平台操作系统和平台中间件由PaaS提供商所控制),用户可以在该平台上部署自己编写或控制的应用软件以完成计算。SaaS服务(在一些特定软件应用上率先发生,如CRM、ERP、人力资源管理)基于IaaS和PaaS实现。SaaS仅仅向用户提供服务使用接口(其后端软件栈完全由SaaS服务提供商控制),用户在前端调用后端的SaaS服务以完成信息处理。智能服务是指前端用户使用网上在线服务的过程和结果所产生的一些新的、独立于网上在线服务本身价值之外的价值,而这些价值又产生了服务。图1用倒置的三角形来表示越上层的服务越被终端用户看好,被认为更有价值。
SaaS服务,在目前某些特定应用上率先发生的,如CRM、ERP、人力资源管理等成功用例上,它的主要做法是采用同一个软件代码来处理不同用户的私有数据来提供多租客服务,以获得规模服务的低成本(Economies of Scale)。由于SaaS服务端暴露的接口相对有限并处于软件栈的顶端,即系统安全权限最低之处,它一般不会对其所处的软件栈层次以下的更高系统安全权限层次带来新的安全问题。至于用户私有数据在服务提供商处的安全保护问题,可以归类到IaaS的安全问题。