最新版云计算重要领域云安全指南

合集下载

云计算安全标准组织

1 国外云安全组织及标准 -云安全标准
云安全标准机构
5、欧洲网络与信息安全管理局（ENISA ）
《云计算--信息安全的好处，风险和建议》
➢ 首先定义了云里的风险类型、资产类型、脆弱性类型，然对风险详细分类并给出其可能性、影响大小、与脆弱性的关系、影响资产风险等级。
风策略和管理风险
技术风险
法律风险
2、国际电信联盟--电信标准化部（ITU-T）
已有的云安全相关标准
– 云计算焦点组（ Focus Group on Cloud Computing，FG Cloud ） • 2010年6月成立 • 正在制定《云安全、威胁与需求》（标准草案），文档计划2011年5月完成
– 电信云安全研究小组--SG17 • 2009年成立 • 《电信领域云计算安全指南》 • 计划于2012年3月完成
成立，目标是推广云安全的最佳实践方案，开展云安全培训。
组织成员：包括 100多家来自全球IT企业加盟，并与ITU、ENISA等二
十家标准组织及机构合作，在云安全最佳实践与标准制定方面具有很大的影响力有影响力。
1 国外云安全组织及标准 -云安全建议白皮书
云安全标准建议组织
1、云安全联盟（CSA）
立于2002年，属于美国政府机构，成员主要由来自其他28个政府部分的首席技术人员组成。
2010年2月，与 NIST、GSA(General Services Administration )、 CIO以及ISIMC(Information Security and Identity Management Committee )一起合作完成《美国政府云计算风险评估方法》
以对虚拟机进行应用程序细粒度的打包迁移。

云安全相关技术介绍

主要内容：•从发展的脉络分析，“云安全”相关的技术使用云服务时的安全和以云服务方式提供安全两类；•介绍5大类24种云安全相关技术及其客户收益和使用建议，并从技术成熟度和市场成熟度两方面进行了评估；•分析企业使用云服务的场景，指出了国内云安全技术和市场的现状和差异及其原因；并对未来的发展进行了推测和预判；•集中介绍云安全相关的各种法规、标准和认证概述随着云计算逐渐成为主流，云安全也获得了越来越多的关注，传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。

但是，与有清晰定义的“云计算”（NIST SP 800-145和ISO/IEC 17788）不同，业界对“云安全”从概念、技术到产品都还没有形成明确的共识。

从发展的脉络分析，“云安全”相关的技术可以分两类：一类为使用云计算服务提供防护，即使用云服务时的安全（security for using the cloud），也称云计算安全（Cloud Computing Security）,一般都是新的产品品类；另一类源于传统的安全托管（hosting）服务，即以云服务方式提供安全（security provided from the cloud），也称安全即服务（Security-as-a-Service, SECaaS），通常都有对应的传统安全软件或设备产品。

云安全技术分类“安全即服务”和“云计算安全”这两类“云安全”技术的重合部分，即以云服务方式为使用云计算服务提供防护。

云计算安全基于云计算的服务模式、部署模式和参与角色等三个维度，美国国家标准技术研究院（NIST）云计算安全工作组在2013年5月发布的《云计算安全参考架构（草案）》给出了云计算安全参考架构（NCC-SRA，NIST Cloud Computing Security Reference Architecture）。

NIST云计算安全参考架构的三个构成维度：•云计算的三种服务模式：IaaS、PaaS、SaaS•云计算的四种部署模式：公有、私有、混合、社区•云计算的五种角色：提供者、消费者、代理者、承运者、审计者NIST云计算安全参考架构作为云服务的使用者，企业需要关注的以下几个子项的安全：•管理对云的使用•配置：调配各种云资源，满足业务和合规要求•可移植性和兼容性：确保企业数据和应用在必要时安全地迁移到其他云系统生态•商务支持：与云服务提供商的各种商务合作和协调•组织支持：确保企业内部的策略和流程支持对云资源的管理和使用•云生态系统统筹•支持云服务提供商对计算资源的调度和管理•功能层•包括网络、服务器、存储、操作系统、环境设置、应用功能等，不同服务模式下企业能够控制的范围不同使用不同模式的云服务（IaaS、PaaS或SaaS）时，企业对资源的控制范围不同，有不同的安全责任边界，因此需要明确自己的责任边界，适当部署对应的安全措施。

云计算综合标准化体系建设指南

云计算综合标准化体系建设指南云计算通过网络将分散的计算、存储、软件等资源进行集中管理和动态分配，使信息技术能力如同水和电一样实现按需供给，具有快速弹性、可扩展、资源池化、广泛网络接入和多租户等特征，是信息技术服务模式的重大创新。

云计算是战略性新兴产业重要组成部分，推进云计算健康快速发展，对加速产业转型升级、促进信息消费、建设创新型国家具有重要意义.一、云计算发展情况（一）国外云计算发展情况全球云计算市场迅速增长，世界主要国家和地区纷纷出台云计算发展战略规划，大型跨国企业已形成全球化服务能力和系统解决方案提供能力，企业和开源社区共同推动关键技术研发取得突破性进展，云计算应用在政务、金融、医疗、教育和中小企业等重要领域先后落地。

与此同时，国外标准化组织和协会纷纷开展云计算标准化工作,涉及基础、云资源管理、云服务和云安全等方面.（二）国内云计算发展情况近年来，在党中央、国务院的高度重视下，政、产、学、研、用各方共同努力，已形成服务创新、技术创新和管理创新协同推进的云计算发展格局，关键技术和软硬件产品取得一批成果，公共云服务能力显著提升,行业应用进一步深化，云计算生态系统初步形成,产业规模迅速扩大，为开展标准化工作奠定了良好的技术、产品和应用基础。

我国云计算生态系统（见附件1)主要涉及硬件、软件、服务、网络和安全五个方面。

——硬件。

云计算相关硬件包括服务器、存储设备、网络设备，及数据中心成套装备等,以及提供和使用云服务的终端设备。

目前，我国已形成较为成熟的电子信息制造产业链，设备提供能力大幅提升，基本能够满足云计算发展需求，但低功耗CPU、GPU等核心芯片技术与国外相比尚有较大差距,新型架构数据中心相关设备研发较为滞后，规范硬件性能、功能、接口及测评等方面的标准尚未形成。

——软件。

云计算相关软件主要包括资源调度和管理系统、云平台软件和应用软件等。

资源调度管理系统和云平台软件方面，我国已在虚拟弹性计算、大规模存储与处理、安全管理等关键技术领域取得一批突破性成果，拥有了面向云计算的虚拟化软件、资源管理类软件、存储类软件和计算类软件，但综合集成能力明显不足，与国外差距较大。

云计算中的身份认证和权限管理指南

云计算中的身份认证和权限管理指南随着云计算在各行业的广泛应用，身份认证和权限管理成为了保护云计算环境安全的重要组成部分。

本文将就身份认证和权限管理两个方面进行探讨，希望为读者提供一份指南，帮助其更好地理解和应用云计算中的安全管理措施。

一、身份认证身份认证是云计算环境中的第一道防线。

在云计算中，用户通常需要通过身份认证来获取资源的访问权限。

身份认证主要分为用户身份识别和用户身份验证两个步骤。

1. 用户身份识别在用户身份识别阶段，系统通过分析用户提供的身份信息，如用户名、密码、指纹等，确认用户的身份。

这一步骤中，通常采用的方式是基于令牌的身份认证。

令牌是一段由云服务提供商颁发的身份标识代码，它能够唯一地标识用户的身份信息。

2. 用户身份验证用户身份验证是确认用户身份识别结果的过程。

一般而言，有以下几种验证方式：- 基于密码的验证：用户输入密码用于验证身份，常见于各类网站和电子邮箱的登录过程。

- 基于双因素验证：在密码之外，还需要用户提供额外的身份信息，比如指纹、短信验证码等。

这种验证方式更加安全，可以提高身份认证的可靠性。

二、权限管理身份认证通过后，用户需要获取相应的权限来访问云资源。

权限管理则是为了确保用户只能访问其被授权的资源。

1. Role-Based Access Control (RBAC)RBAC 是一种常用的权限管理模型，它基于用户的角色来控制其对资源的访问权限。

在云计算环境中，通过将用户划分到不同的角色，然后为每个角色分配相应的权限，可以实现权限的细粒度控制。

例如，一位系统管理员可以有权限管理云服务器，而一位开发人员只能访问应用程序。

2. 细粒度权限控制除了 RBAC，云计算中还可采用细粒度权限控制来对资源的访问进行更精确的管理。

这种方式可以基于资源的属性、操作类型等因素，对用户的访问进行限制。

例如，只允许某个用户在指定时间段内访问某个特定的文件。

3. 审计和监控在权限管理方面，审计和监控也是非常重要的环节。

云计算服务安全评估办法【最新版】

云计算服务安全评估办法为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部制定了《云计算服务安全评估办法》，现予以发布。

附件：云计算服务安全评估办法国家互联网信息办公室国家发展和改革委员会工业和信息化部财政部2019年7月2日云计算服务安全评估办法第一条为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平，制定本办法。

第二条云计算服务安全评估坚持事前评估与持续监督相结合，保障安全与促进应用相统一，依据有关法律法规和政策规定，参照国家有关网络安全标准，发挥专业技术机构、专家作用，客观评价、严格监督云计算服务平台（以下简称“云平台”）的安全性、可控性，为党政机关、关键信息基础设施运营者采购云计算服务提供参考。

本办法中的云平台包括云计算服务软硬件设施及其相关管理制度等。

第三条云计算服务安全评估重点评估以下内容：（一）云平台管理运营者（以下简称“云服务商”）的征信、经营状况等基本情况；（二）云服务商人员背景及稳定性，特别是能够访问客户数据、能够收集相关元数据的人员；（三）云平台技术、产品和服务供应链安全情况；（四）云服务商安全管理能力及云平台安全防护情况；（五）客户迁移数据的可行性和便捷性；（六）云服务商的业务连续性；（七）其他可能影响云服务安全的因素。

第四条国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、财政部建立云计算服务安全评估工作协调机制（以下简称“协调机制”），审议云计算服务安全评估政策文件，批准云计算服务安全评估结果，协调处理云计算服务安全评估有关重要事项。

云计算服务安全评估工作协调机制办公室（以下简称“办公室”）设在国家互联网信息办公室网络安全协调局。

第五条云服务商可申请对面向党政机关、关键信息基础设施提供云计算服务的云平台进行安全评估。

第六条申请安全评估的云服务商应向办公室提交以下材料：（一）申报书；（二）云计算服务系统安全计划；（三）业务连续性和供应链安全报告；（四）客户数据可迁移性分析报告；（五）安全评估工作需要的其他材料。

中国云计算标准

中国云计算标准体系是由中国国家标准化管理委员会（SAC）负责领导的，旨在规范云计算相关技术和应用的标准化工作。

以下是中国云计算标准体系的主要内容和相关标准组织：1. 云计算基础标准：包括云计算定义、架构、术语和通用要求等方面的标准，例如《云计算参考架构》（GB/T 35081-2018）、《云计算基本概念及术语》（GB/T 34979-2017）等。

2. 云计算安全标准：旨在确保云计算环境的安全性和可信度，包括数据安全、身份认证、访问控制等方面的标准，例如《云计算安全技术要求》（GB/T 31106-2014）、《云安全基本概念和要求》（GB/T 33089-2016）等。

3. 云计算服务标准：涵盖云计算平台、云存储、云网络等方面的标准，规范了服务提供商的要求和用户的需求，例如《云计算服务分类和应用指南》（GB/T 33979-2017）、《云存储服务术语和定义》（GB/T 36704-2018）等。

4. 云计算数据标准：涉及云计算环境下的数据存储、处理和交换等方面的标准，例如《云应用编程接口数据存储通用要求》（GB/T 33531-2017）、《云计算数据交换需求和接口要求》（GB/T 31369-2014）等。

5. 云计算性能标准：涉及云计算平台的性能指标和测试方法，以确保其稳定性和可靠性。

例如《云计算性能测试指南》（GB/T 31748-2015）。

6. 云计算监管标准：规范云计算服务提供商在监管和合规方面的要求，包括数据隐私保护、法规遵从等。

例如《云计算数据隐私保护指南》（GB/T 33563-2017）。

7. 云计算能源效率标准：关注云计算系统的能源利用效率和绿色环保，旨在减少云计算对环境的影响。

例如《云计算能源效率评估方法》（GB/T 33720-2017）。

当然，云计算标准的制定是一个不断演进的过程，会随着技术的进步和应用的需求不断更新和完善。

因此，建议关注相关标准组织的工作进展，及时获取最新的标准信息，以便在云计算领域进行规范和合规的实践。

网络安全运维指南最新版

合规性要求
企业和组织在运营过程中必须遵守相关的法律法规和合规性要求。这包括制定完善的网络安全管理制度、加强网络安全技术防护、定期进行安全漏洞评估和演练等。同时，企业和组织还需要加强对员工的安全意识培训和教育，提高整体的安全防范能力。
02
基础设施安全
网络设备安全配置及管理
01
02
03
防火墙配置
预警规则制定
基于历史数据和专家经验，制定针对不同安全事件的预警规则，及时发现潜在威胁。
应急响应计划和处置流程制定
应急响应团队组建
组建专业的应急响应团队，包括网络管理员、安全专家、系统管理员等角色，明确各自职责和协作方式。
应急响应计划制定
根据可能遇到的安全事件类型和严重程度，制定相应的应急响应计划，包括处置流程、资源调配、沟通协作等方面内容。
API接口安全管理规范
API权限控制
对API接口实施严格的权限控制，确保只有授权用户才能访问。
输入验证和过滤
对API接口输入参数进行验证和过滤，防止非法输入导致的安全问题。
API调用监控和日志记录
对API接口的调用进行实时监控和日志记录，以便及时发现和处理异常情况。
04
身份认证与访问控制
多因素身份认证技术应用
加密传输
在数据传输过程中，采用SSL/TLS等安全协议，对数据进行加密传输，防止数据在传输过程中被窃取或篡改。
密钥管理
建立完善的密钥管理体系，对密钥进行全生命周期管理，包括生成、存储、使用、销毁等环节，确保密钥的安全性和可用性。
个人隐私保护政策遵循情况检查
政策宣传
向用户明确告知个人隐私保护政策的内容和要求，确保用户充分了解和同意相关条款。

云计算平台OpenShift的入门指南

云计算平台OpenShift的入门指南随着科技的不断进步，云计算正逐渐成为现代企业和个人的首选解决方案。

作为一种基于云技术的平台即服务(PaaS)解决方案，OpenShift在云计算领域中名声显赫。

本文将为您提供一份基础的入门指南，帮助您快速了解和使用OpenShift。

一、OpenShift简介OpenShift是红帽公司开发的一款开源PaaS平台，旨在简化应用程序的开发、部署和管理过程。

它基于容器技术，结合了Docker和Kubernetes，提供了一个高度可扩展和灵活的开发环境。

二、安装和配置OpenShift1. 安装Docker：首先，您需要安装并配置Docker，以便运行OpenShift容器。

在官方网站上，您可以找到适用于不同操作系统的Docker安装包和操作说明。

2. 安装OpenShift CLI：OpenShift CLI是一个命令行工具，可以帮助您与OpenShift平台进行交互。

您可以在OpenShift官方网站上找到CLI的安装包和详细的安装指南。

三、创建OpenShift集群1. 初始化Master节点：在命令行中运行"oc cluster up"命令，将会创建一个本地的OpenShift集群，并将其作为Master节点。

2. 配置路由和镜像：使用"oc login"命令登录到OpenShift平台，然后运行"oc get routes"命令查看可用的路由配置。

同时，您还需要配置镜像仓库，以便部署应用程序。

四、应用程序开发和部署1. 创建项目：在OpenShift平台中，项目可以帮助您组织和管理应用程序。

运行"oc new-project <project-name>"命令，创建一个新的项目。

2. 创建应用程序：使用"oc new-app"命令创建一个新的应用程序，并指定使用的镜像和相关配置。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

最新版云计算重要领域云安全指南CEO的来信我对这个社区的云安全最佳实践的最新贡献感到非常激动，这一实践始于2009年4月发布的云安全联盟最初的指导文件。

我们希望您能仔细研究这里列出的问题和建议，与您自己的经验相比较，并向我们提供您的反馈。

非常感谢所有参与这项研究的人。

最近，我有机会与帮助建立云安全联盟的一位行业专家共度一天。

他表示，CSA已经完成了最初的任务，即为了证明云计算可以安全，并提供必要的工具来实现这一目标。

CSA不仅帮助云计算成为信息技术的可靠安全选择，而且今天的云计算已经成为IT的默认选择，并且正在以非常深远的方式重塑现代商业世界。

云计算的巨大成功和CSA在引领受信任的云生态系统方面的作用，给我们的新使命带来了更大的挑战和紧迫感。

云现在已经成为各种计算形式的后端，包括无处不在的物联网。

云计算是信息安全行业的基础。

集装箱(容器)化和DevOps等等在组织内的IT新常态，已经与云计算密不可分，加速了我们的变革。

在云安全联盟中，我们致力于为您提供在高速发展的IT环境中您所需的必要的安全知识，让您保持在新时代质量保证和信任趋势的前沿。

总之，我们欢迎你们加入我们的社区。

目录D1: 云计算概念和体系架构 (8)D2:治理与企业风险管理 (30)D3:法律问题，合同和电子举证 (40)D4:合规和审计管理 (55)D5:信息治理 (62)D6:管理平面和业务连续性 (69)D7:基础设施安全 (80)D8:虚拟化和容器 (96)D9:事件响应 (107)D10:应用安全 (114)D11:数据安全和加密 (125)D12:身份、授权和访问管理 (137)D13:安全即服务 (148)D14:相关技术 (154)D1: 云计算概念和体系架构1.1简介本域为云计算安全指南的其它所有部分介绍一个概念性的框架。

它描述和定义了云计算，设置了我们的基本术语，并详细描述了文档其余部分中使用的总体逻辑和架构框架。

看待云计算有很多不同的方式:它可以是一项技术、一系列的技术、一种运作模式、一种商业模式，这儿仅仅举了几个例子。

从本质上来说，这是一场颠覆性的变革。

它发展地非常非常快，而且没有放缓的迹象。

虽然我们在本指南的第一个版本中包含的参考模型依旧比较准确，但是它们显然已经不再那么完整了。

即使这样更新后也不可能解释未来几年的每一个可能的变化。

云计算为敏捷、弹性和经济带来了巨大的潜在收益。

组织可以运转地更快(因为他们不需要购买和拨备硬件，所有的都是软件定义的)，减少停机时间(由于固有的弹性和其他云特性)，并且节省资金(由于资本支出减少，需求和能力匹配)。

自云服务提供商有重大的经济激励措施来保护消费者以来，我们也看到了安全收益。

然而，这些收益是在您理解并采用原生云模型，并调整您的架构和控制，以适应云平台的特性和功能的基础上才会出现。

其实，使用现有的应用或资产，并在不进行任何更改的情况下将其移动到云服务提供商，往往会降低敏捷性、弹性，甚至是安全性，同时还增加了成本。

该领域的目的是建立基础，以使文档的其余部分及其建议都基于此。

其意图是为信息安全专家提供一种通用语言和对云计算的理解，并开始强调云计算和传统计算之间的区别，以及帮助引导信息安全专家采用原生云方法，从而带来更好的安全性(以及其他收益)，而不是产生更多的风险。

这个领域包括了4部分：?定义云计算?云逻辑模型?云概念、架构和参考模型?云安全性和合规管理范围、职责和模型云安全联盟并没有着手创建一个全新的分类法或参考模型。

我们的目标是对现有的模型进行提取和协调——最值得注意的是NIST的特种文献800-145, ISO/IEC 17788 andISO/IEC 17789——关注与信息安全专家最相关的是什么。

1.2概览1.1.1定义云计算云计算是一种新的运作模式和一组用于管理计算资源共享池的技术。

云计算是一种颠覆性的技术，它可以增强协作、提高敏捷性、可扩展性以及可用性，还可以通过优化资源分配、提高计算效率来降低成本。

云计算模式构想了一个全新的世界，组件可以迅速调配、置备、部署和回收，还可以迅速地扩充或缩减，以提供按需的、类似于效用计算的分配和消费模式。

NIST将云计算定义为:云计算是一个模式，它是一种无处不在的、便捷的、按需的，基于网络访问的，共享使用的，可配置的计算资源(如:网络、服务器、存储、应用和服务) 可以通过最少的管理工作或与服务提供商的互动来快速置备并发布。

ISO / IEC的定义非常相似:通过自服务置备和按需管理，实现网络可访问、可扩展的、弹性的共享物理或虚拟资源池的范式。

描述云的一种(稍微)简单的方法是，它需要一组资源，比如处理器和内存，并将它们放到一个大的池中(在这种情况下，使用虚拟化)。

消费者需要从池中获得需要的东西，比如8 CPUs和16 GB的内存，而云将这些资源分配给客户端，然后客户端连接到网络并在网络上使用这些资源。

当客户端完成时，他们可以将资源放回池中供其他人使用。

云可以由几乎任何计算资源组成，从计算（如处理器和内存）到网络、存储以及更高级别资源（如数据库和应用程序）。

例如，在数百个其他组织共享的服务中订阅500名员工的客户关系管理应用，与在云主机中启动100台远程服务器是一样的。

定义:云用户是请求和使用资源的人或组织，云提供商是分发它的人或组织。

我们有时还会使用术语“客户”和“消费者”来指代云用户，用服务或简单的云来描述云提供商。

NIST 500-292使用“cloud actor”这个术语，并增加了云代理、运营商和审计人员的角色。

ISO/IEC 17788使用术语云服务用户、云服务合作伙伴和云服务提供商。

创建云的关键技术是抽象和调配。

我们从底层的物理基础设施中抽象出资源来创建我们的池，并使用调配(和自动化)来协调从池分割和分发各种资源到用户。

正如您将看到的，这两种技术创造了我们用来定义“cloud”的所有基本特征。

这就是云计算和传统的虚拟化之间的区别;虚拟化技术将资源抽象化，但是它通常缺乏将它们组合在一起并按需分发给用户的调配，而是依赖于手动流程。

云是多租户的。

多个不同的消费者共享同一个资源池,但彼此相互隔离和孤立。

隔离允许云提供商将资源分配到不同的组,孤立确保他们不能看到或修改对方的资产。

多租户不仅应用在不同的组织; 它还用于在单个业务或组织中分配不同单元之间的资源。

1.1.2定义模型云安全联盟(CSA)使用NIST model for cloud computing作为定义云计算的标准。

CSA还支持更深入的ISO/IEC model，并作为参考模型。

在这个领域中，我们将引用两者。

NIST 出版物是被普遍接受的，所以，我们选择与NIST Working Definition of Cloud Computing （NIST 800-145）保持一致，这样我们能够集中精力到用例上，而不是细微的语法定义差别上，同时能保证一致性并获得广泛的共识。

值得注意的是，本指南的目的是使其具有广泛的易用性、适用于全球范围内的组织。

虽然NIST 是美国政府机构，选择此参考模型不应该被解释为是对其它观点或地域的排斥。

在NIST 对云计算的定义中，包括了五个基本特征、三个云服务模型、以及四个云部署模型。

下图对它们进行了形象的汇总，后面会有详细描述。

1.1.2.1基本特征以下特性使云成为了云。

如果具备以下特征，我们就把它看作是云计算。

如果它缺少其中任何一个，它很可能不是一个云。

正如上面所讨论的，资源池是最基本的特性。

云提供商对资源进行抽象，并将其聚集到一个池中，其中的一部分可以分配给不同的用户(通常是基于策略)。

用户自己可以按需自动配置资源，他们自己管理自己的资源，而无需与服务提供商的服务人员互动。

广泛的网络访问意味着所有的资源都可以通过网络获得，而不需要直接的实体接取；网络并不是服务的必须部分。

快速弹性允许用户从池中按需使用资源(置备和释放)，通常完全自动。

这使他们更紧密地匹配资源消耗需求(例如, 需求增加时添加虚拟服务器,然后当需求终止时释放它们)。

提供可测量的服务，以确保用户只使用他们所分配的东西，如果有必要的话，还可以对他们收取费用。

这就是“效用计算”这个术语的由来，因为计算资源现在可以像水和电一样消耗，客户只需要支付他们所使用的东西。

ISO/IEC 17788 列出了六个关键特性，其中前五个特性与NIST的特征相同。

唯一的补充是多租户，这与资源池是不同的。

1.1.2.2服务模型NIST定义了三个服务模型，它们描述了云服务的不同基础类别:服务即软件(SaaS)是由服务商管理和托管的完整应用软件。

用户可以通过web浏览器、移动应用或轻量级客户端应用来访问它。

平台即服务(PaaS)抽象并提供开发或应用平台,如数据库、应用平台(如运行Python、PHP 或其它代码的地方),文件存储和协作,甚至专有的应用处理（例如机器学习、大数据处理或直接API访问完整的SaaS应用的特性)。

关键的区别在于，使用PaaS，您不需要管理底层的服务器、网络或其他基础设施。

基础设施即服务(IaaS)提供了基础性的计算资源，如计算、网络或存储。

模型。

我们有时称它们为“SPI”ISO/IEC使用了一个更加复杂的定义，它使用了一个与SPI模型(软件、基础设施和平台功能类型)密切相关的云功能类型。

然后，它扩展到更细粒度的云服务类别，比如计算即服务、存储即服务，甚至还包括IaaS/PaaS/SaaS。

这些类别具有一定的渗透性:一些云服务跨越了这些模型，而另一些则不完全属于单一的服务模式。

实际上，没有理由尝试把所有的东西都分配到这三大类中，甚至是ISO/IEC模型中更细粒度的类别。

这仅仅是一个有用的描述工具，而不是一个严格的框架。

这两种方法都是同样有效的，但是由于NIST的模型更加简洁，并且目前使用得更广泛，所以它是CSA研究中主要使用的定义。

1.1.2.3部署模型NIST和ISO/IEC都使用相同的4个云部署模型。

下面描述这些技术是如何部署和使用的，它们适用于整个服务模型的范围:公共云。

云基础设施提供服务给一般公众或某个大型行业团体。

并由销售云计算服务的组织所有。

私有云。

云基础设施专为一个单一的组织运作。

它可以由该组织或某个第三方管理并可以位于组织内部或外部。

社区云。

云基础设施由若干个组织共享，支持某个特定有共同关注点的社区。

(例如使命、安全要求、政策或合规性考虑等)。