Capítulo 11: Dirigiendo la Nube

EN ESTE CAPÍTULO

Aprendiendo aproximadamente software de administración de la red

Viendo las características de control esenciales

Utilizando lifecycle técnicas de administración

Descubriendo emergiendo estándares de interoperabilidad de administración de red

Despliegues de computación en nube tienen que ser controlados y dirigidos para ser optimizados para rendimiento
mejor. A los problemas asociaron con analizar aplicaciones de red distribuida, la nube añade la complejidad de
infraestructura virtual. Esto es uno de las áreas más activas de desarrollo de producto en la industria de computación
en nube entera, y este capítulo te introduces a los productos diferentes en este nascent área.

Software de administración de la nube proporciona capacidades para culpas gestoras, configuración, contabilidad,
rendimiento, y seguridad; esto está referido a tan FCAPS. Muchos productos dirigen uno o más de estas áreas, y a
través de marcos de red, puedes acceder todo cinco áreas. Productos de marco están siendo recolocados para trabajar
con sistemas de nube.

Vuestras responsabilidades de administración dependen en el modelo de servicio particular para vuestro despliegue de
nube. Administración de nube incluye no sólo dirigiendo recursos en la nube, pero recursos gestores encima-premisas.
La administración de los recursos en la nube requiere tecnología nueva, pero administración de recursos encima-las
premisas deja vendedores para utilizar red bien establecida tecnologías de administración.

El lifecycle de una aplicación de nube incluye seis definió partes, y cada cual tiene que ser dirigido. En este capítulo, las
tareas asociaron con cada etapa está descrita.

Los esfuerzos son underway para desarrollar estándares de interoperabilidad de administración de nube. Un esfuerzo
aprendes aproximadamente en este capítulo es el DMTF es (Fuerza de Tarea de Administración Distribuida) Incubadora
de Estándares de Nube Abierta. El objetivo de estos esfuerzos es para desarrollar herramientas de administración que
trabajo con cualquier tipo de nube. Otro grupo llamó la Nube Commons está desarrollando una tecnología llamó el
Índice de Medida del Servicio (SMI). SMI Objetivos para desplegar métodos para medir varios aspectos de rendimiento
de nube en una manera estándar.

Administrando las Nubes

El crecimiento explosivo en servicios de computación en nube ha dirigido muchos vendedores para rebautizar sus
productos y recolocarles para entrar en la prisa de oro en las nubes. Qué era una vez un producto de administración de
la red es ahora un producto de administración de la nube. No obstante, esto es una área de tecnología que es muy
activamente financiado, viene replete con interesante startups, ha sido el foco de varias adquisiciones estratégicas
recientes, y ha resultado en algunas alianzas de producto interesantes. Dejado es unir el partido y ver qué todo el
descalabro es aproximadamente.

Estas características fundamentales están ofrecidas por sistemas de administración de red tradicionales:

• Administración de recursos

• Configurando recursos

• Aplicando seguridad

• Controlando operaciones

• Optimizando rendimiento

• Administración de política

• Actuando mantenimiento

• Provisioning De recursos

Sistemas de administración de la red son a menudo descritos en plazos del acrónimo FCAPS, el cual está para estas
características:

• Culpa

• Configuración

• Contabilidad

• Rendimiento

• Seguridad

La mayoría de paquetes de administración de la red tienen uno o más de estas características; ningún paquete solo
proporciona todo cinco elementos de FCAPS.

Para conseguir el conjunto completo de todo cinco de estas áreas de administración de un vendedor solo, necesitarías
adoptar un marco de administración de la red. Estos marcos de administración de red grandes eran dirigentes de
industria varios años atrás: BMC PATRULLA, CA Unicenter, IBM Tivoli, HP OpenView, y Centro de Sistema del Microsoft.
Productos de marco de la red han sido sliced y diced en muchos maneras diferentes sobre los años, y son rebranded de
vez en cuando. Hoy, por ejemplo, BMC la patrulla es ahora parte de BMC ProactiveNet Administración de Rendimiento
(http://www.bmc.com/products/product-listing/proactivenet-performance-management html), HP OpenView ha sido
partido (https://h10078.www1 hp.com/cda/hpms/display/main/hpms contenido.jsp?zn=bto&cp=1-10^36657 400 0
100) a un conjunto de HP productos de Director.

El impacto que la computación en nube es habiendo encima marcos de red es profundos. Estos cinco vendedores
tienen (o pronto tendrá) productos para administración de nube. El ordenador Asocia, por ejemplo, tiene

Completamente recolocó su carpeta de administración de la red como un LO Software de Administración como

Servicio. Encontrar los productos de nube para esta cinco nube grande vendedores en el siguientes URLs:
• BMC Computación en nube (http://www.bmc.com/solutions/esm-initiative/cloud-computing html)

• El ordenador Asocia Soluciones de Nube (http://www.ca.com/us/cloud-computing.aspx)

• HP Computación en nube (http://h20338.www2 hp.com/enterprise/w1/en/technologies/cloud-computing-

overview.html)

• Computación en nube de IBM (http://www.ibm.com/ibm/cloud/)

• Servicios de Nube del Microsoft (http://www microsoft.com/cloud/)

Figura 11.1 IBM de espectáculos Tivoli Director de Automatización del Servicio, una herramienta de marco para
infraestructura de nube gestora.

FIGURA 11.1 Tivoli Director de Automatización del Servicio deja creas y nube de etapa-basó servidores.

Responsabilidades de administración

Qué separa un paquete de administración de la red de un paquete de administración de la computación en nube es el

“cloudly” características que servicio de administración de la nube tiene que tener:

• Enunciando es en una paga-tan-tú-ir base.

• El servicio de administración es extremadamente scalable.

• El servicio de administración es ubiquitous.

• Comunicación entre la nube y otros sistemas utiliza nube networking estándares.

Para controlar un despliegue de computación en nube entero stack, controlas seis categorías diferentes:

1. Fin-servicios de usuario como HTTP, TCP, POP3/SMTP, y otros

2. Rendimiento de navegador en el cliente

3. Control de aplicación en la nube, como apache, MySQL, y tan encima

4. Control de infraestructura de la nube de servicios como Servicios de Web del Amazon, GoGrid, Rackspace, y otros

5. Control de caso de la máquina donde la utilización de procesador de medidas de servicio, uso de memoria, consumo
de disco, queue longitudes, y otros parámetros importantes

6. Control de red y el descubrimiento que utiliza protocolos estándares como el Protocolo de Administración de Red
Sencillo (SNMP), Base de datos de Administración de la Configuración (CMDB), Instrumentación de Administración del
Windows (WMI), y el gustar

Es importante de notar que hay realmente dos aspectos a administración de nube:

Recursos gestores en la nube

Utilizando la nube para dirigir recursos encima-premisas

Cuándo mueves a una arquitectura de computación en nube de un tradicional networked a modelo le gusta
servidor/de cliente o un tres-tier arquitectura, muchos de las tareas de administración viejas para los procesos que van
en en la nube devenida irrelevante o casi imposible de dirigir porque las herramientas a eficazmente dirigir los recursos
de varias clases caen exteriores de vuestro propios purview. En la nube, el modelo de servicio particular estás
utilizando directamente afecta el tipo de controlar eres responsable para.

Considerar el caso de una Infraestructura como vendedor de Servicio como Servicios de Web del Amazon o Rackspace.
Puedes controlar vuestro uso de recursos tampoco a través de a sus herramientas de control nativas les gusta la
amazona CloudWatch o Rackspace Tablero de Control o a través del tercio numeroso-herramientas de partido que
trabajo con estos sitios APIs. En IaaS, puedes alterar aspectos de vuestro despliegue, como el número de casos de
máquina estás corriendo o la cantidad de almacenamiento tienes, pero tienes control muy limitado encima muchos
aspectos importantes de la operación. Por ejemplo, vuestro ancho de banda de red está cerrado al tipo de caso
despliegas. Incluso si puedes provisión más ancho de banda, probablemente tienes ningún control encima cómo tráfico
de red afluye a y fuera del sistema, si hay paquete prioritization, cómo el encaminamiento está hecho, y otras
características importantes.

La situación—cuando mueves primero a Plataforma como Servicio (PaaS) gusta Windows Azure o Motor de Aplicación
del Google y entonces a Software como Servicio (SaaS) para qué Salesforce.com es un ejemplo primo—deviene incluso
más restrictive. Cuándo despliegas una aplicación encima Google PaaS Aplicación

Servicio de nube del motor, la Consola de Administración proporciona tú con las capacidades de control siguientes:

• Crear una aplicación nueva, e instalado lo en vuestro ámbito.

• Invitar otras personas para ser parte de en desarrollo vuestra aplicación.

• Dato de vista y registros de error.

• Analizar vuestro tráfico de red.

• Explorar la aplicación datastore, y dirigir sus índices.

• Vista la aplicación es planificó tareas.

• Prueba la aplicación, e intercambio fuera de versiones.

Aun así, has casi ningún control operacional. Esencialmente, Motor de Aplicación del Google deja despliegas la
aplicación y controlarlo, y aquello es aproximadamente lo. Toda la administración de dispositivos, redes, y otros
aspectos de la plataforma están dirigidos por Google. Has incluso menos control cuándo estás vendiendo software en
la nube, cuando tú con Salesforce.com.

Figura 11.2 graphically summarizes las responsabilidades de administración por tipo de modelo del servicio.

El segundo aspecto de administración de nube es la función que nube-basó los servicios pueden jugar en gestores
encima-recursos de premisas. Del standpoint del cliente, un proveedor de servicio de la nube es no diferente que
cualquiera otro networked servicio. La gama llena de capacidades de administración de la red puede ser traída para
aguantar para solucionar móvil, desktop, y asuntos de servidor local, y los mismos conjuntos de herramientas pueden
ser utilizados para medida.
Centro de Sistema del Microsoft es un ejemplo de cómo productos de administración están siendo adaptados para la
nube. Centro de sistema proporciona herramientas para servidores de Windows gestor y desktops. Los servicios de
administración incluyen un Director de Operaciones, el Servicio de Actualización de Servicio de Windows (WSUS), un
Director de Configuración para administración de ventaja, un Director de Protección de datos, y un Director de
Máquina Virtual, entre otros componentes.

Uno de estos conjuntos de servicio se apellidó el Centro de Sistema On-line Desktop Director (SCODM). Microsoft ha
tomado SCODM y recolocó él como nube-servicio basado para actualizaciones gestoras, controlando PCs para
conformidad de licencia y salud, aplicando políticas de seguridad, y utilizando Forefront proteger sistemas de malware,
y la empresa ha branded lo cuando Windows Intune (http://www
microsoft.com/windows/windowsintune/default.aspx). Del cliente standpoint, hace poca diferencia si el servicio es en
la nube o en un conjunto de servidores en un datacenter. El beneficio de un servicio de administración de la nube
acumula a la organización responsable para gestor el desktops o dispositivos móviles. Figura 11.3 espectáculos un
Overview pantalla de la versión de beta de Windows Intune. El producto se debe a ser liberado en el primer o segundo
trimestre de 2011.

FIGURA 11.2 responsabilidades de Administración por tipo de modelo del servicio

FIGURA 11.3 Intune es la nube de Microsoft-servicio de administración basada para sistemas de Windows.

Lifecycle Administración

Servicios de nube tienen un definidos lifecycle, justo como cualquier otro despliegue de sistema. Un programa de
administración tiene que tocar encima cada cual de las seis etapas diferentes en aquel lifecycle:

1. La definición del servicio como plantilla para crear casos

Las tareas actuaron en Fase 1 incluye la creación, actualizando, y deletion de plantillas de servicio.

2. Interacciones de cliente con el servicio, normalmente a través de un SLA (Acuerdo de Nivel del Servicio) contrato

Esta fase dirige relaciones de cliente y crea y dirige contratos de servicio.

3. El despliegue de un caso a la nube y el runtime administración de casos

Las tareas actuaron en Fase 3 incluye la creación, actualizando, y deletion de servicio offerings.

4. La definición de los atributos del servicio mientras en operación y rendimiento de modificaciones de sus
propiedades

La tarea de jefe durante esta fase de administración es para actuar optimización de servicio y customization.

5. Administración de la operación de casos y mantenimiento rutinario

Durante Fase 5, tienes que controlar recursos, pista y respond a acontecimientos, y actuar informando y enunciando
funciones.

6. Jubilación del servicio

El fin de tareas de vida incluye protección de datos y migración de sistema, archiving, y contrato de servicio
termination.

Productos de Administración de la nube

Software de administración de la nube y los servicios es una industria muy joven, y cuando tal, tiene un número muy
grande de empresas, algunos con productos nuevos y otros con los productos más viejos que compiten en esta área.
Mesa 11.1 espectáculos algún de los jugadores actuales en este mercado, junto con los productos tampoco están
ofreciendo o está prometiendo en el futuro muy cercano. Cuándo considerando productos en administración de nube,
tendrías que ser consciente que—cuando en todas las áreas nuevas de la tecnología—allí es la mantequera
considerable como empresas crece, consigue adquirido, o fallar a lo largo de la manera. Es enteramente posible que si
regresas a esta lista un año o dos después de este libro está publicado, mitad de estos productos o los servicios ya no
existirán cuando listó; tendrías que mantener esto en mente.

MESA 11.1

La nube y La Web que Controlan Soluciones

Producto URL

Descriptio n

AbiCloud http://www.abiquo.com/

Conversión de máquina virtual y

manageme nt

Amazon CloudWatc h

http://aws.amazon.com/cloudwatch/

AWS dashboard

BMC Iniciativa de computación en nube

http://www.bmc.com/solutions/esm-initiative/cloud-computing.html

Planificación de nube, lifecycle manageme nt, optimizati encima, y guiaje

CA La nube Conectó Manageme nt Suite

http://www.ca.com/us/cloud-solutions.aspx

CA Idea de nube, CA la nube Compone, CA la nube Optimiza, y CA Nube Orchestrat e está descrito abajo

Cactos http://www.cacti.net/
Red performan ce graphing solución

CloudKick https://www.cloudkick.com/

Control de servidor de la nube

Dell Scalent http://www.scalent.com/index.php

Virtualizat Ión provisioni ng sistema que será rodado a Dell es

Adelantado Infrastruct ure Director (OBJETIVO)

Elastra http://www.elastra.com/

Federated Nube híbrida manageme nt software

Ganglia http://ganglia.info/

Software de control de red distribuido

Gomez http://www.gomez.com/

Control de sitio de la web y analytics

HP Computación en nube

http://h20338.www2.hp.com/enterprise/w1/en/technologies/cloud-computingoverview.html

Una variedad de manageme nt productos y servicios, ambos liberados y bajo developme nt

Hyperic http://www.hyperic.com/

Performan ce manageme nt Para virtualized Java Aplicaciones con VMware integración

Servicio de IBM

http://www-01.ibm.com/software/tivoli/solutions/cloudcomputing/ Varios IBM

Manageme nt Y Computación en nube

Tivoli Directores y monitores

Internetseer http://www.internetseer.com/home/index.xtp

Servicio de control de sitio de web

Intune http://www.microsoft.com/windows/windowsintune/default.aspx

Nube-bas ed sistema de Windows manageme nt

Keynote http://www.keynote.com/

Web, móvil, streaming, y prueba de cliente y measurem ent productos

ManageEng ine OpManager

http://www.manageengine.com/network-performance-management.html

Red y control de servidor , escritorio de servidor, acontecimiento y seguridad manageme nt

ManageIQ http://www.manageiq.com/

Empresa Virtualizat ión Manageme nt Suite (EVM) aquello proporciona controlar ,

provisioni ng, y servicios de integración de la nube

Dirigió Métodos JaxView

http://managedmethods.com/

SOA manageme nt Herramienta

Monit http://mmonit.com/monit/

Control de sistema del Unix y manageme nt

Montis http://portal.monitis.com/index.php/home

Nube-bas ed servicio de control

Morfo http://mor.ph/

Infrastruct ure manageme nt, provisioni ng, deploymen t, y controlando herramientas

Nagios http://www.nagios.org/

Sistema de control de la red

NetIQ http://www.netiq.com/

Red manageme nt, control , deploymen t, y software de seguridad

Nuevo Relic RPM

http://www.newrelic.com/

Java Y monitor de aplicación de la Ruby y troublesho oting

Nimsoft http://www.ca.com/us/products/detail/ca-nimsoft-monitoring-solution.aspx

Software de control de la nube

OpenQRM http://www.openqrm.com/

Centro de dato manageme nt plataforma

Pareto Redes
http://www.paretonetworks.com/

Nube provisioni ng y deploymen t

Pingdom http://www.pingdom.com/

Sitio de web y servidor uptime y actuando control

RightScale http://www.rightscale.com/

Servidor virtual automatizado scaling

ScienceLog ic

http://www.sciencelogic.com/

Datacenter Y nube manageme nt soluciones y electrodomésticos

Scout http://scoutapp.com/

Hosted Servidor manageme nt servicio

ServiceUpti me

http://www.serviceuptime.com/

Servicio de control de sitio de web

Sitio24X7 http://site24x7.com/

Servicio de control de sitio de web

Solarwinds http://www.solarwinds.com/

Control de red y manageme nt software

Tapinsyste ms

http://www.tapinsystems.com/home

Provisioni ng Y manageme nt servicio

Univa UD http://univaud.com/index.php

Applicatio n E infrastruct ure manageme nt software para híbrido multi-clou ds

VMware Hyperic

http://www.springsource.com/

Performan ce manageme nt Para VMware desplegó Java aplicación s

Webmetrics http://www.webmetrics.com/
Web performan ce manageme nt, testaje de carga, y

Monitor de aplicación para servicios de nube

WebSitePul se

http://www.websitepulse.com/

Servidor, sitio de Web, y servicio de control de la aplicación

Whatsup Oro

http://www.whatsupgold.com/

Control de red y manageme nt software

Zenoss http://www.zenoss.com/

ÉL las operaciones que controlan

Zeus http://www.zeus.com/

Web-director de tráfico de aplicación basado

Las características de administración del núcleo ofrecieron por la mayoría de productos de servicio de administración
de nube incluyen el siguientes:

• Soporte de tipos de nube diferente

• Creación y provisioning de tipos diferentes de recursos de nube, como casos de máquina, almacenamiento, o
escenificó aplicaciones

• El rendimiento que informa incluyendo disponibilidad y uptime, tiempo de respuesta, uso de cuota del recurso, y
otras características

• La creación de dashboards que puede ser personalizado para las necesidades de un cliente particular

Despliegue automatizado en IaaS los sistemas representa una clase de servicios de administración de la nube. Uno de
los vendedores más interesantes y exitosos en esta área es Rightscale (http://www.rightscale.com/) de quién software
deja clientes para escenificar y dirigir aplicaciones en AWS (Servicio de Web del Amazon), Eucalyptus, Rackspace, y el
Chef Multicloud marco o una combinación de estos tipos de nube. Rightscale Crea nube-plantillas de servidor
preparado y proporciona la automatización y orquestación necesario de desplegarles. Eucalyptus Y Rackspace ambas
Amazona de uso EC2 y S3 servicios, a pesar de que Eucalyptus es código abierto y portátil. RightScale Plantillas de
servidor y el Rightscript la tecnología es altamente configurable y puede ser corrido debajo control de lote. El
RightScale interfaz de usuario también proporciona medidas de tiempo real de casos de servidor individual.

Cloudkick (https://www.cloudkick.com/) Es otra solución de control de la infraestructura que es bien consideró. Su

servicio está notado para ser agnóstico y trabajando con plataformas de nube de vendedor múltiples. El Cloudkick
interfaz de usuario está diseñada para valoración de despliegue rápido, y su en-un-módulo de Idea que controla mirada
es particularmente fácil de utilizar. Figura 11.4 espectáculos el módulo de Idea, y Figura 11.5 espectáculos Cloudkick
visualización de servidor de tiempo real herramienta, el cual es uno de la presentación más interesante herramientas
hemos visto. En Figura 11.5, los círculos son servidores con su ubicación en las hachas diferentes basó encima
observado metrics. Los servidores potentes son círculos más grandes, y los colores indican el estado actual del servidor.

Los usuarios han comentado en Cloudkick lanzamiento de instante que es difícil, y ambos Cloudkick y RightScale es
sabido de ser fácil de utilizar con Linux servidores virtuales y menos tan con casos de Windows.

FIGURA 11.4 Cloudkick módulo de Idea (https://www.cloudkick.com/site imágenes/de medios de

comunicación/graphs2.png) Es potente y particularmente fácil de utilizar.

Todos de los modelos de servicio apoyan controlar soluciones, más a menudo a través de interacción con el servicio
API. Tocando a un servicio API deja software de administración para actuar acciones de orden que un usuario
normalmente actuaría. Algunos de estos APIs los es scriptable, mientras en algunos casos, scripting se mantiene en el
software de administración.

Uno clave differentiator en controlar y software de administración es si las necesidades de servicio para instalar un
agente o él actúa su servicio sin un agente. La función de control normalmente puede ser actuada a través de
interacción directa con un servicio de nube o el cliente que utiliza los procesos como un HTTP CONSIGUEN o una orden
de red como PING. Para funciones de administración, un agente es útil en aquel lo puede proporcionar necesitó
ganchos para manipular un recurso de nube. Agentes también, como regla general, es útil en ayudar para solucionar
los problemas asociaron con firewall NAT traversal.

ManageIQ (Http://www manageiq.com/) y Service-now.com ofrecer una nube integrada stack aquello combina el
ManageIQ Empresa Virtualization Administración Suite con Service-now.com ITSM SaaS servicio. El sistema tiene
administración de ofertas, descubrimiento, CMDB sincronización, y automatizado provisioning servicios. Puedes
integrar estos servicios a vuestras aplicaciones de Web que utilizan un abiertos API que esta oferta de empresas.

FIGURA 11.5 El Cloudkick visualización demo (https://www.cloudkick.com/viz/demo/) proporciona un real-

cronometrar graphical ilustración del estado de controló servidores.

Aplicaciones de red distribuida a menudo beneficio del despliegue de un electrodoméstico de administración. Porque
servicios de nube tienden para distribuir aplicaciones a través de sitios múltiples, necesidad de electrodomésticos
físicos para ser desplegado en ubicaciones diferentes—algo aquellos proveedores de servicio de nube únicos pueden
hacer. Aun así, ha habido una tendencia para crear electrodomésticos virtuales, y aquellos pueden ser desplegados tan
casos de servidor wherever una aplicación está desplegada. Pareto Redes (http://www.paretonetworks.com/) tiene un
servicio de computación en nube que puede controlar y dirigir servicios de red distribuida que utilizan un
electrodoméstico físico o virtual.

El sistema puede soler control y red de provisión servicios. Pareto Las redes planea añadir un API a este servicio.

Emergiendo Estándares de Administración de la Nube

Cuando está ahora, proveedores de servicio de nube diferentes utilizan tecnologías diferentes para crear y recursos de
nube gestora. Cuando el área madura, proveedores de nube van a ser bajo presión considerable de usuarios de nube
grande como el gobierno federal para conformar a estándares y hacer sus sistemas interoperable con uno otro.
Ninguna entidad probablemente puede querer hacer una inversión importante en un servicio que es un silo o de qué
dato es difícil de escenificar o para extraer. A este fin, un número de jugadores de industria grande como VMware, IBM,
Microsoft, Citrix, y HP ha conseguido junto de crear estándares que puede soler promover interoperabilidad de nube.
En la sección que sigue, aprendes sobre el trabajo del DMTF en esta área.

Otro esfuerzo justo consiguiendo underway ha sido empezado por CA (la empresa anteriormente sabida cuando el
ordenador Asocia) en asociación con Carnegie Mellon llamó la Nube Commons. Este esfuerzo está apuntado en crear
una comunidad de industria y grupo laborable, y promoviendo un conjunto de controlar estándares que era parte de
CA carpeta de tecnología de la nube pero es ahora abierto sourced.

DMTF Estándares de administración de la nube

La Fuerza de Tarea de Administración Distribuida (DMTF; ve http://www.dmtf.org/) es una organización de industria

que desarrolla estándares de administración de sistema de industria para interoperabilidad de plataforma. Su afiliación
es un “quién es quién” en computar, y desde su fundando en 1992, el grupo ha sido responsable para varios estándares
de industria, más notablemente el Modelo de Información Común (CIM). El DMTF se organiza a un conjunto de grupos
laborables que es tasked con especificar estándares para áreas diferentes de tecnología.

Un estándar reciente llamó el Virtualization Iniciativa de Administración (VMAN) estuvo desarrollado para extender
CIM a administración de sistema de ordenador virtual. VMAN Ha resultado en la creación del Abierto Virtualization
Formato (OVF), el cual describe un método estándar para crear, embalaje, y provisioning electrodomésticos virtuales.
OVF Es esencialmente un contenedor y un formato de archivo que es abierto y ambos hypervisor- y procesador-
arquitectura-agnóstico. Desde OVF estuvo anunciado en 2009, vendedores como VirtualBox, AbiCloud, IBM, Sombrero
Rojo, y VMWare ha anunciado o introdujo productos que uso OVF.

Sea, por tanto, una extensión natural del trabajo que DMTF hace en virtualization para solucionar asuntos de
administración en computación en nube. DMTF Ha creado un grupo laborable llamó la Incubadora de Estándares de
Nube Abierta (OCSI) para ayudar desarrollar estándares de interoperabilidad para interacciones gestoras entre y en
público, privados, y sistemas de nube híbrida. El grupo está centrado encima describiendo administración de recurso y
protocolos de seguridad, métodos de embalaje, y tecnologías de administración de la red. El sitio de Web del grupo de
Administración de la Nube (http://dmtf.org/standards/cloud) está mostrado en Figura 11.6.

DMTF esfuerzos de administración de la nube son realmente en sus etapas iniciales, pero el grupo tiene soporte de
industria ancha. Parte de la tarea del grupo es para proporcionar educación de industria, así que puedes encontrar un
número de tecnología y papeles blancos informa publicado en este sitio. Es un esfuerzo aquello es valor comprobando
atrás con encima

Tiempo. A pesar de que el OCSI el trabajo ha no todavía sido unido por Amazona o Salesforce.com, un conjunto de
estándares abiertos que extiende el uso de industria protocolos estándares—como el Modelo de Información Común
(CIM), el Abierto Virtualization Formato (OVF), y WBEM—a la nube va a ser dura para vendedores para resistir.

FIGURA 11.6 DMTF (http://dmtf.org/standards/cloud) tiene un esfuerzo grande e importante underway para
administración de interoperabilidad de nube en desarrollo estándares.

Nube Commons y SMI

CA Tecnologías (http://www.ca.com), la empresa una vez sabida cuando el ordenador Asocia, ha tomado algunos de
sus tecnologías en medir rendimiento de red distribuida metrics y recolocó sus productos como el siguientes:
• CA Idea de nube, una nube metrics servicio de medida

• CA La nube Compone, un servicio de despliegue

• CA La nube Optimiza, un servicio de optimización de la nube

• CA Nube Orchestrate, un workflow control y política servicio de automatización basada

Tomado junto, estos productos forman la base para CA Nube Administración Conectada Suite
(http://www.ca.com/us/cloud-solutions.aspx).

CA Tiene mucha experiencia en esta área a través de su Unicenter administración suite y los productos que era
spawned de él. La empresa también ha invertido en vendedores de nube como 3Tera, Oblicore, y Cassatt para crear sus
servicios de nube. CA Adquirió Nimsoft en Marcha 2010. Nimsoft Tiene un control y paquete de administración
llamaron Nimsoft Unió Controlar que crea un portal de control con customizable dashboards. El sistema puede reunir
información de hasta 100 tipos de puntos de datos y puede trabajar con ambos Google y Rackspace despliegues de
nube. Entre el dato señala que puede ser controlado es uso de recurso y UPS estado.

En el fondo de CA Idea de Nube es un método para medir nube diferente metrics aquello crea lo que CA llama un
Índice de Medida del Servicio o SMI. El SMI cosas de medidas como SLA conformidad, coste, y otros valores y les rueda
arriba a una puntuación. Para ayudar dejar SMI para obtener tracción en la industria, CA ha dado la tecnología de
núcleo al Instituto de Ingeniería del Software en Carnegie Mellon cuando parte de qué se apellida el SMI Consorcio.
Este grupo mismo es responsable para la Integración de Modelo de Madurez de Capacidad (CMMI) tecnología de
optimización del proceso y otros esfuerzos. El segundo CA la iniciativa es la financiación de una industria la comunidad
on-line llamó la Nube Commons (http://www.cloudcommons.com/), la página de casa del cual está mostrado en Figura
11.7.

FIGURA 11.7 La Nube Commons (http://www.cloudcommons.com/web/guest) es una comunidad on-line nueva

fundada por CA para promover intercambio de información encima servicios de nube y el SMI estándar.

Porque la Nube Commons es la marca nueva, es duro de decir si este grupo tendrá impacto en la comunidad de nube,
pero es un esfuerzo interesante. La esperanza es aquello no sólo este sitio establece CA rendimiento metrics, pero
que usuarios de comunidad finalmente proporcionarán índices e información detallados en servicios particulares.

Para demostrar el potencial de nube-basado metrics, la Nube Commons ha construido un dashboard llamó el
CloudSensor que monitores el rendimiento de la nube importante-basó servicios inreal tiempo.

Esta herramienta mide el rendimiento del siguiente:

• RackSpace Creación de archivo y deletion

• Disponibilidad de email (sistema uptime) basó encima Google Gmail, Windows Vivo Hotmail, y Correo de Yahoo!

• Servidor de Servicios de Web de amazona tiempo/de destrucción de la creación en cuatro AWS sitios

• Dashboard Tiempo de respuesta para las consolas de AWS.Amazona, Estado de Aplicación del Google, RackSpace
Nube, y Saleforce

• Windows Azure almacenamiento benchmarks

• Windows Azure SQL benchmarks

Está significado para demostrar el valor de medidas de rendimiento de la nube. Estos metrics está basado en dato de
tiempo real derivado de transacciones reales. Cada gráfico muestra las últimas dos horas de actividad. Figura 11.8
espectáculos el CloudSensor rendimiento dashboard.

El Índice de Medida del Servicio (SMI) está basado en un conjunto de tecnologías de medida que forman el SMI Marco
que CA dado al SMI Consorcio. Mide nube-basó servicios en seis áreas:

• Agilidad

• Capacidad

• Coste

• Calidad

• Riesgo

• Seguridad

Estos forman un conjunto de Indicadores de Rendimiento Clave (KPI) que puede soler comparar un servicio a otro.
Figura 11.9 espectáculos las características diferentes que hace cada cual del KPIs del Índice de Medida del Servicio.

FIGURA 11.8 El CloudSensor (http://dashboard.atgcloud.info:5001/cloudsensor/nube-sensor.html) dashboard Muestra

servicio de nube de tiempo real rendimiento metrics.

FIGURA 11.9 SMI definió características (Fuente: “Los Detalles detrás del Índice de Medida del Servicio” por Keith Allen,
2010)

Es demasiado temprano para determinar si SMI obtendrá tracción, pero el posicionamiento de la tecnología como una
industria abierta el grupo laborable hace el proyecto muy interesante y digno de nota.

Resumen

Administración de nube es un importante y creciendo área de tecnología. En este capítulo, aprendiste

aproximadamente algunos de los productos que son ofrecidos o desarrollados para dirigir problemas de administración
común. Entre las tareas de administración son despliegue, control, configuración, optimización, y a menudo seguridad.
Casi todos vendedores de software de administración de red están recolocando sus productos para trabajar con
sistemas de nube. Alguna administración de red es disponible de dentro de las plataformas de los proveedores de
servicio de la nube. Muchos de los sistemas de software utilizan el proveedor de servicio API para dirigir, monitor, y
recursos de control. El uso de virtualization ha spawned muchos productos nuevos en esta área.
En Capítulo 12, aprendes aproximadamente la seguridad utilizada en computación en nube. Esto es una extensión de
nuestra discusión encima administración de red, porque la seguridad es otra significa de controlar acceso a través de
políticas de red.

Capítulo 12: Seguridad de Nube Comprensiva

EN ESTE CAPÍTULO

Revisando preocupaciones de seguridad de la nube

Entendiendo qué dato de nube puede ser asegurado

Planificación para seguridad en vuestro sistema

Aprendiendo qué la identidad suele deja acceso de nube segura

La computación en nube tiene muchas propiedades únicas que lo hace muy valioso. Desafortunadamente, muchos de
aquella seguridad de marca de las propiedades una preocupación singular. Muchos de las herramientas y técnicas que
te utilizaría para proteger vuestro dato, comply con controles, y mantener la integridad de vuestros sistemas está
complicada por el hecho que estás compartiendo vuestros sistemas con otros y muchas veces subcontratación sus
operaciones también. Proveedores de servicio de la computación en nube son bien conscientes de estas
preocupaciones y ha desarrollado tecnologías nuevas para dirigirles.

Los tipos diferentes de modelos de servicio de la computación en nube proporcionan niveles diferentes de servicios de
seguridad. Consigues el menos cantidad de construido en seguridad con una Infraestructura como proveedor de
Servicio, y la mayoría de con un Software como proveedor de Servicio. Este capítulo presenta el concepto de una
frontera de seguridad que separa el cliente es y las responsabilidades del vendedor.

Adaptando vuestro encima-sistemas de premisas a un modelo de nube requiere que determinas qué mecanismos de
seguridad están requeridos y mapeo aquellos a controles que existe en vuestro proveedor de servicio de nube
escogido. Cuándo identificas elementos de seguridad desaparecida en la nube, puedes utilizar aquel mapeo para
trabajar para cerrar el vacío.

Almacenando el dato en la nube es de preocupación particular. El dato tendría que ser transferido y almacenado en un
formato encriptado. Puedes utilizar proxy y servicios de corretaje para separar clientes de acceso directo a
almacenamiento de nube compartida.

Logging, auditoría, y la conformidad reguladora es todo presenta aquello requiere planear en sistemas de computación
en nube. Son entre los servicios que necesidad de ser negociada en Acuerdos de Nivel del Servicio.

También en este capítulo, aprendes aproximadamente identidad y relacionó protocolos de una seguridad standpoint.
El concepto de presencia cuando relaciona a la identidad es también introdujo.
Asegurando la Nube

El Internet estuvo diseñado principalmente para ser resilient; no sea diseñado para ser seguro. Cualquier aplicación
distribuida tiene un mucho ataque más grande superficie que una aplicación que es estrechamente se agarró una Red
de Área Local. La computación en nube tiene todas las vulnerabilidades asociaron con aplicaciones de Internet, y las
vulnerabilidades adicionales surgen de pooled, virtualized, y outsourced recursos.

En el informe que “Evalúa los Riesgos de Seguridad de Computación en nube,” Jay Heiser y Mark Nicolett del Gartner
Grupo (http://www.gartner.com/displaydocument?id=685308) destacó las áreas siguientes de computación en nube
que sentían era singularmente troublesome:

• Auditoría

• Integridad de dato

• e-Descubrimiento para conformidad legal

• Intimidad

• Recuperación

• Conformidad reguladora

Vuestros riesgos en cualquier despliegue de nube son dependientes al modelo de servicio de nube particular escogido
y el tipo de nube encima cuál despliegas vuestras aplicaciones. Para evaluar vuestros riesgos, necesitas actuar el
análisis siguiente:

1. Determinar qué recursos (dato, servicios, o aplicaciones) estás planeando mover a la nube.

2. Determinar la sensibilidad del recurso para arriesgar.

Riesgos que necesidad de ser evaluada es pérdida de intimidad, unauthorized acceso por otros, pérdida de datos, e
interrupciones en disponibilidad.

3. Determinar el riesgo asociado con el tipo de nube particular para un recurso.

Tipos de nube incluyen públicos, privados (ambos externos e internos), híbrido, y tipos de comunidad compartida. Con
cada tipo, necesitas considerar donde los datos y la funcionalidad serán mantenidos.

4. Tener en cuenta el modelo de servicio de nube particular que te será utilizar.

Modelos diferentes como IaaS, SaaS, y PaaS requerir sus clientes para ser responsables para seguridad en niveles
diferentes del servicio stack.

5. Si has seleccionado un proveedor de servicio de nube particular, necesitas evaluar su sistema para entender cómo el
dato está transferido, donde está almacenado, y cómo para mover dato ambos en y fuera de la nube.

Puedes querer considerar construyendo un flowchart que espectáculos el mecanismo global del sistema estás
pretendiendo utilizar o actualmente está utilizando.

Una técnica para mantener la seguridad es para tener “referencias de imagen de sistema doradas que te puede
regresar a cuándo necesitado. La habilidad de tomar una imagen de sistema off-line y analizar la imagen para
vulnerabilidades o compromise es inestimable. El compromised la imagen es un primario forensics herramienta.
Muchos proveedores de nube ofrecen un snapshot característica que puede crear una copia del entorno entero del
cliente; esto incluye no imágenes de máquina única, pero aplicaciones y dato, interfaces de red, firewalls, y acceso de
cambio. Si sientes

Aquello un sistema ha sido compromised, puedes reemplazar aquella imagen con una versión buena sabida y contener
el problema.

Muchos vendedores mantienen una página de seguridad donde listan sus varios recursos, certificaciones, y credentials.
Uno del más desarrollado offerings es el AWS Centro de Seguridad, mostrado en Figura 12.1, donde te puede descargar
algunos backgrounders, papeles blancos, y estudios de caso relacionaron a los controles de seguridad del Servicio de
Web de la Amazona y mecanismos.

FIGURA 12.1 El AWS Centro de Seguridad (http://aws.amazon.com/security/) es un sitio bueno para empezar que
aprende aproximadamente cómo Servicios de Web de la Amazona protege usuarios de su IaaS servicio.

La frontera de seguridad

Para concisely hablar seguridad en computación en nube, necesitas definir el modelo particular de computación en
nube que aplica. Esta nomenclatura proporciona un marco para comprensivo qué seguridad es ya construida al
sistema, quién tiene responsabilidad para un mecanismo de seguridad particular, y donde la frontera entre la
responsabilidad de la proveedora de servicio es separada de la responsabilidad del cliente.

Todo de Capítulo 1 estuvo preocupado con definir qué computación en nube es y definiendo el léxico de computación
en nube. Hay muchas definiciones y acrónimos en el área de computación en nube que probablemente no sobrevivir
mucho tiempo. El más modelo utilizado generalmente basó encima EE.UU. Instituto Nacional de Estándares y
Tecnología (NIST; http://www.csrc nist.gov/groups/sns/cloud-computing/index html) Separa modelos de despliegue de
modelos de servicio y asigna aquellos modelos un conjunto de atributos de servicio. Modelos de despliegue son tipos
de nube: comunidad, híbrido, privado, y nubes públicas. Modelos de servicio siguen el SPI Modelo para tres formas de
entrega de servicio: Software, Plataforma, e Infraestructura como Servicio. En el NIST modelo, cuando puedes recordar,
no sea requerido que un uso de nube virtualization a recursos de piscina, ni que el modelo requiere que un soporte de
nube multi-tenancy. Es justo estos factores que seguridad de marca tal complicado proposition en computación en
nube.

Capítulo 1 también presentó la Alianza de Seguridad de la Nube (CSA; http://www.cloudsecurityalliance.org/)

computación en nube stack modelo, el cual muestra qué diferente unidades funcionales en una red stack relaciona a
uno otro. Cuando puedes recordar de Capítulo 1, este modelo puede soler separar los modelos de servicio diferentes
de uno otro. CSA Es una industria grupo laborable que asuntos de seguridad de los estudios en computación en nube y
recomendaciones de ofertas a sus miembros. El trabajo del grupo es abierto y disponible, y puedes descargar su guiaje
de su página de casa, mostrado en Figura 12.2.

FIGURA 12.2 La Alianza de Seguridad de la Nube (CSA) página de casa en http://www.cloudsecurityalliance.org/ ofrece
un número de recursos a cualquiera preocupado con asegurar su despliegue de nube.

El CSA particiones su guiaje a un conjunto de ámbitos operacionales:

• Governance Y administración de riesgo de la empresa

• Descubrimiento legal y electrónico

• Conformidad y auditoría

• Información lifecycle administración

• Portability E interoperabilidad

• Seguridad tradicional, continuidad empresarial, y recuperación de desastre

• Datacenter Operaciones

• Respuesta de incidencia, notificación, y remediation

• Seguridad de aplicación

• Encriptación y administración clave

• Identidad y administración de acceso

• Virtualization

Puedes descargar el trabajo actual del grupo en estas áreas de las secciones diferentes de su sitio de Web.

Uno diferencia clave entre el NIST modelo y el CSA es que el CSA considera multi-tenancy para ser un elemento
esencial en computación en nube. Multi-tenancy Añade un número de preocupaciones de seguridad adicional a
computación en nube que necesidad de ser accounted para. En multi-tenancy, los clientes diferentes tienen que ser
aislados, su dato segmented, y su servicio accounted para. Para proporcionar estas características, el proveedor de
servicio de la nube tiene que proporcionar una política-entorno basado que es capaz de niveles diferentes de apoyo y
calidad de servicio, normalmente utilizando diferente tasando modelos. Multi-tenancy se expresa en maneras
diferentes en los modelos de despliegue de nube diferentes e impone preocupaciones de seguridad en sitios
diferentes.

Frontera de servicio de la seguridad

El CSA software de hardware de computación en nube/funcional stack es el Modelo de Referencia de la Nube. Este
modelo, el cual estuvo hablado en Capítulo 1, está reproducido en Figura 12.3. IaaS Es el servicio de nivel más bajo, con
PaaS y SaaS el próximo dos servicios encima. Cuando mueves arriba en el stack, cada modelo de servicio hereda las
capacidades del modelo debajo lo, así como toda la seguridad inherente preocupaciones y factores de riesgo. IaaS
Suministra la infraestructura; PaaS añade marcos de desarrollo de la aplicación, transacciones, y estructuras de control;
y SaaS es un entorno operativo con aplicaciones, administración, y la interfaz de usuario. Cuando asciendes el stack,
IaaS tiene el menos niveles de funcionalidad integrada y los niveles más bajos de seguridad integrada, y SaaS tiene la
mayoría de.

La lección más importante de esta discusión de arquitectura es que cada tipo diferente de modelo de entrega de
servicio de nube crea una frontera de seguridad en qué el servicio de nube el fin de responsabilidades del proveedor y
las responsabilidades del cliente empiezan. Cualquier mecanismo de seguridad bajo la frontera de seguridad tiene que
ser construido al sistema, y cualquier mecanismo de seguridad encima tiene que ser mantenido por el cliente. Cuando
mueves arriba del stack, deviene más importante de hacer seguro que el tipo y el nivel de seguridad es parte de
vuestro Acuerdo de Nivel del Servicio.

FIGURA 12.3 El CSA Modelo de Referencia de la Nube con fronteras de seguridad mostradas

En el SaaS modelo, el vendedor proporciona seguridad cuando parte del Acuerdo de Nivel del Servicio, con la
conformidad, governance, y niveles de responsabilidad estipularon bajo el contrato para el entero stack. Para el PaaS
modelo, la frontera de seguridad puede ser definida para el vendedor para incluir el marco de software y middleware
capa. En el PaaS modelo, el cliente sería responsable para la seguridad de la aplicación y UI en la parte superior del
stack. El modelo con el menos construido-en la seguridad es IaaS, donde todo aquello implica el software de cualquier
clase es el cliente problema. Las definiciones numerosas de servicios tienden a embarrados este cuadro por añadir o
sacando elementos de las varias funciones de cualquier particulares ofreciendo, por ello empañando qué partido tiene
responsabilidad para qué características, pero el análisis global es todavía útil.

En pensar sobre el Modelo de Referencia de Seguridad de Nube en relación a necesidades de seguridad, una distinción
fundamental puede ser hecha entre la naturaleza de cómo los servicios están proporcionados versus donde aquellos
servicios están localizados. Una nube privada puede ser interna o externa a una organización, y a pesar de que una
nube pública es más a menudo externo, no hay ningún requisito que este mapeo ser hecho tan. La computación en
nube tiene una tendencia para empañar la ubicación del perímetro de seguridad definido de tal manera que las ideas
anteriores de red firewalls y defensas de borde a menudo ya no aplican.

Esto hace la ubicación de fronteras de confianza en computación en nube bastante enfermo definido, dinámico, y
sujeto de cambiar de según qué un número de factores. Estableciendo fronteras de confianza y creando un defensa de
perímetro nuevo que es compatible con vuestra red de computación en nube es una consideración importante. El clave
a entender dónde para colocar mecanismos de seguridad es para entender donde físicamente en los recursos de nube
están desplegados y consumidos, lo que aquellos recursos son, quién dirige los recursos, y lo que los mecanismos
suelen les controla. Aquellos factores te ayudan gauge donde los sistemas están localizados y lo que áreas de
conformidad necesitas construir a vuestro sistema.

Mesa 12.1 listas algún de los modelos de servicio diferentes y lista los partidos responsables para seguridad en los
casos diferentes.

MESA 12.1

Responsabilidades de seguridad por Modelo de Servicio

Tipo de modelo

Administración de Seguridad de la infraestructura

Dueño de infraestructura

Ubicación de infraestructura

Condición de Trust

Híbrido
Ambos vendedor y cliente

Ambos vendedor y cliente

Ambos encima- y fuera-premisas

Ambos confiado en y untrusted

Cliente/de Cliente de Comunidad privado Encima- o fuera-premisas

Confiado en

Vendedor/de Cliente de Comunidad privado Fuera- o encima-premisas

Confiado en

Cliente/de Vendedor de Comunidad privado Encima- o fuera-premisas

Confiado en

Vendedor/de Vendedor de Comunidad privado Fuera- o encima-premisas

Confiado en

Vendedor de Vendedor público Fuera-premisas Untrusted

Mapeo de seguridad

El modelo de servicio de la nube escoges determina donde en el despliegue propuesto la variedad de características de
seguridad, auditoría de conformidad, y otros requisitos tienen que ser colocados. Para determinar los mecanismos de
seguridad particulares necesitas, tienes que actuar un mapeo del modelo de servicio de nube particular a la aplicación
particular estás desplegando. Estos mecanismos se tienen que mantener con los varios controles que está
proporcionado por vuestro proveedor de servicio, vuestra organización, o un tercer partido. Probablemente no puede
que serás capaz a rutinas de seguridad duplicada que es posible encima-premisas, pero este análisis te dejas para
determinar qué cobertura necesitas.

Un modelo de control de la seguridad incluye la seguridad que te normalmente uso para vuestras aplicaciones, dato,
administración, red, y hardware físico. También puedes necesitar a cuenta para cualesquier estándares de conformidad
que está requerido para vuestra industria. Un estándar de conformidad puede ser cualquier gobierno marco regulador
como Dato de Industria de Tarjeta de Pago Estándares de Seguridad (PCI-DSS), Seguro de Salud Portability y Acto de
Imputabilidad (HIPPA), Gramm–Lixivia–Bliley Acto (GLBA), o el Sarbanes–Oxley Acto (SOX) aquello requiere operas en
una manera segura y mantener registros.

Esencialmente, estás mirando para identificar las características desaparecidas que sería requerido para un encima-
despliegue de premisas y buscar para encontrar sus sustituciones en el modelo de computación en nube. Cuando
asignas imputabilidad para aspectos diferentes de seguridad y contrato fuera la responsabilidad operacional a otros,
quieres hacer seguro quedan responsables para la seguridad necesitas.

Asegurando Dato
Asegurando el dato envió a, recibido de, y almacenado en la nube es la preocupación de seguridad más grande sola
que la mayoría de organizaciones tendrían que tener con computación en nube. Cuando con cualquier WAN tráfico,
tienes que suponer que cualquier dato puede ser interceptado y modificó. Es por eso que, como importar
naturalmente, tráfico a un proveedor de servicio de la nube y almacenó fuera-las premisas está encriptada. Esto es tan
cierto para dato general cuando es para cualesquier contraseñas o cuenta IDs.

Estos son los mecanismos claves para proteger mecanismos de dato:

• Control de acceso

• Auditoría

• Authentication

• Autorización

Cualquier modelo de servicio escoges tendría que tener los mecanismos que operan en todo cuatro áreas que conoce
vuestros requisitos de seguridad, si están operando a través del proveedor de servicio de la nube o vuestra
infraestructura local propia.

Brokered Acceso de almacenamiento de la nube

El problema con el dato almacenas en la nube es que pueda ser localizado anywhere en el sistema del proveedor de
servicio de la nube: en otro datacenter, otro estatal o provincia, y en muchos casos incluso en otro país. Con otros tipos
de arquitecturas de sistema, como servidor/de cliente, podrías contar en un firewall para servir como el perímetro de
seguridad de vuestra red; la computación en nube tiene no sistema físico que sirve este propósito. Por tanto, para
proteger vuestras ventajas de almacenamiento de la nube, quieres encontrar una manera de aislar dato de acceso de
cliente directo.

Uno se acerca a aislar almacenamiento en la nube de acceso de cliente directo es para crear layered acceso al dato. En
uno maquina, dos servicios están creados: un broker con acceso lleno a almacenamiento pero ningún acceso al cliente,
y un proxy sin acceder a almacenamiento pero acceso a ambos el cliente y broker. La ubicación del proxy y el broker no
es importante (pueden ser locales o en la nube); qué es importante es que estos dos servicios son en el camino de dato
directo entre el cliente y el dato almacenado en la nube.

Bajo este sistema, cuándo un cliente hace una petición para datos, aquí es qué pasa:

1. La petición va a la interfaz de servicio externa (o endpoint) del proxy, el cual ha sólo una confianza parcial.

2. El proxy, utilizando su interfaz interna, envía la petición al broker.

3. El broker pide el dato del sistema de almacenamiento de la nube.

4. El sistema de almacenamiento regresa los resultados al broker.

5. El broker regresa los resultados al proxy.

6. El proxy completa la respuesta por enviar el dato pidió al cliente.

Figura 12.4 espectáculos este almacenamiento “proxy” sistema graphically.

Nota Esta discusión está basada en un papel blanco Buenas prácticas de Seguridad llamada Para Windows En
desarrollo Azure Aplicaciones,” por Andrew Marshall, Michael Howard, Grant Bugher, y Brian Harden que te puede
encontrar en http://download.microsoft.com/download/7/3/e/73e4ee93-559f-4d0f-a6fc-7fec5f1542d1/securitybestp
racticesWindowsAzureApps.docx. En su presentación, el proxy el servicio se apellida el Gatekeeper y asignó una
Función de Web de Servidor de Windows, y el broker se apellida el KeyMaster y asignó una Función de Trabajador.

Este diseño confía en el proxy servicio para imponer algunos gobierna aquello lo deja a sin incidentes dato de petición
que es apropiado a aquel cliente particular basado en la identidad y el relé del cliente que petición al broker. El broker
no necesita acceso lleno al almacenamiento de nube, pero pueda ser configurado para conceder LEÍDO y operaciones
de CONSULTA, mientras no dejando ANEXA o ELIMINAR. El proxy tiene una función de confianza limitada, mientras el
broker puede correr con privilegios más altos o incluso código tan nativo. El uso de llaves de encriptación múltiple más
allá pueden separar el proxy servicio de la cuenta de almacenamiento. Si utilizas dos llaves separadas para crear dos
dato diferente califica—uno para el untrusted comunicación entre el proxy y broker servicios, y otro una zona confiada
en entre el broker y el almacenamiento de nube—creas una situación donde hay separación más lejana entre las
funciones de servicio diferentes.

FIGURA 12.4 En este diseño, el acceso directo a almacenamiento de nube está eliminado a favor de un proxy/broker
servicio.

Incluso si el proxy el servicio es compromised, aquel servicio no tiene acceso al confiado en clave necesario de acceder
la cuenta de almacenamiento de la nube. En el multi-solución clave, mostrado en Figura 12.5, has no sólo eliminado
todo servicio interno endpoints, pero también has eliminado la necesidad de tener el proxy el servicio corrido en un
nivel de confianza reducido.

FIGURA 12.5 La creación de zonas de almacenamiento con llaves de encriptación asociada más allá pueden proteger
almacenamiento de nube fromunauthorized acceso.

Ubicación de almacenamiento y tenancy

Algunos proveedores de servicio de la nube negocian tan parte de sus Acuerdos de Nivel del Servicio a contractually
tienda y dato de proceso en ubicaciones que está predeterminado por su contrato. No todo hace. Si puedes conseguir
el compromiso para almacenamiento de sitio de dato específico, entonces también tendrías que hacer seguro el
vendedor de nube es bajo contrato para conformar a leyes de intimidad local.

Porque el dato almacenado en la nube es normalmente almacenada de inquilinos múltiples, cada vendedor tiene su
método único propio para segregating el dato de un cliente de otro. Es importante de tener algunos entendiendo de
cómo vuestro proveedor de servicio específico mantiene segregación de dato.

Otra cuestión para preguntar un proveedor de almacenamiento de la nube es quién está proporcionado acceso
privilegiado a almacenamiento. El más sabes aproximadamente cómo el vendedor contrata su LO personal y el
mecanismo de seguridad puesto a colocar para proteger almacenamiento, el mejor.

La mayoría de tienda de proveedores de servicio de nube dato en una forma encriptada. Mientras la encriptación es
importante y eficaz, presenta su conjunto propio de problemas. Cuando hay un problema con dato encriptado, el
resultado es que el dato no puede ser recuperable. Vale considerar qué tipo de encriptación los usos de proveedor de
la nube y para comprobar que el sistema ha sido planeado y probado por expertos de seguridad.

A toda costa de donde vuestro dato está localizado, tendrías que saber qué impacto un desastre o la interrupción
tendrán en vuestro servicio y vuestro dato. Cualquier proveedor de nube que no ofrece la habilidad a replicate dato e
infraestructura de aplicación a través de los sitios múltiples no pueden recuperar vuestra información en una manera
oportuna. Tendrías que saber cómo recuperación de desastre afecta vuestro dato y cuánto tiempo toma para hacer
una restauración completa.

Encriptación

Tecnología de encriptación fuerte es una tecnología de núcleo para proteger dato en transit a y de la nube así como el
dato almacenado en la nube. Es o será requerido por ley. El objetivo de almacenamiento de nube encriptada es para
crear un sistema de almacenamiento privado virtual que mantiene confidencialidad e integridad de dato mientras
manteniendo los beneficios de almacenamiento de nube: ubiquitous, dato fiable, compartido almacenamiento. La
encriptación tendría que separar dato almacenado (dato en resto) de datos en transit.

De según qué el proveedor de nube particular, puedes crear cuentas múltiples con llaves diferentes cuando viste en el
ejemplo con Windows Azure Plataforma en la sección anterior. Microsoft deja hasta cinco cuentas de seguridad por
cliente, y puedes utilizar estas cuentas diferentes para crear zonas diferentes. Encima Servicio de Web de la Amazona,
puedes crear llaves múltiples y rotate aquellas llaves durante sesiones diferentes.

A pesar de que la encriptación protege vuestro dato de unauthorized acceso, él nada para impedir pérdida de dato. De
hecho, un medio común para perder el dato encriptado es para perder las llaves que proporciona acceso al dato. Por
tanto, necesitas acercarte administración clave seriamente. Las llaves tendrían que tener un definidos lifecycle. Entre
los esquemas utilizaron para proteger las llaves son la creación de la llave segura almacena aquello ha restringido
función-acceso basado, copia de seguridad de tiendas clave automatizada, y técnicas de recuperación. Es una idea
buena de separar administración clave del proveedor de nube que anfitriones vuestro dato.

Uno estándar para interoperable nube-la administración clave basada es el OASIS Protocolo de Interoperabilidad de
Administración Clave (KMIP; http://www.oasis-open.org/committees/kmip/). IEEE 1619.3 (https://siswg
índice/neto.php?Opción=com docman) también cubre ambas encriptación de almacenamiento y administración clave
para almacenamiento compartido.

Auditoría y conformidad

Logging Es el registro de acontecimientos a un repository; la auditoría es la habilidad de controlar los acontecimientos

para entender rendimiento. Logging Y la auditoría es una función importante porque no es sólo necesario para
rendimiento de evaluación, pero es también utilizado para investigar seguridad y cuándo la actividad ilegal ha sido
perpetrated. Los registros tendrían que grabar sistema, aplicación, y acontecimientos de seguridad, en el muy
mínimos.

Logging Y la auditoría es desafortunadamente una de los aspectos más débiles de servicio de computación en nube
temprana offerings.

Proveedores de servicio de la nube a menudo tienen formatos de registro propietario que te necesidad de ser
consciente de. Cualquier control y herramientas de análisis utilizas necesidad de ser consciente de estos registros y
capaces de trabajar con ellos. A menudo, los proveedores ofrecen controlar herramientas de su propios, muchos en la
forma de un dashboard con el potencial de personalizar la información ves a través de cualquier la interfaz o
programmatically utilizando el vendedor API. Quieres hacer uso lleno de aquellos construido-en servicios.

Porque servicios de nube son ambos multitenant y multisite operaciones, el logging la actividad y el dato para clientes
diferentes pueden no sólo ser co-localizados, también pueden ser moviendo a través de un paisaje de sitios y
anfitriones diferentes. Puedes no sencillamente esperar que una investigación será proporcionada con la información
necesaria en el tiempo de descubrimiento a no ser que es parte de vuestro Acuerdo de Nivel del Servicio. Incluso un
SLA con las obligaciones apropiadas contuvieron en él no puede ser bastante para garantizarte conseguirá la
información necesitas cuándo el tiempo viene. Es sensato de determinar si el proveedor de servicio de la nube ha sido
capaz a exitosamente investigaciones de soporte antiguamente.

Cuando está ahora, casi todos los controles estuvieron escritos sin mantener computación en nube en mente. Un
regulador o el auditor no es probablemente para ser familiar con la naturaleza de correr aplicaciones y almacenando
dato en la nube. Aun así, las leyes están escritas para asegurar conformidad, y el cliente está responsabilizado para
conformidad bajo las leyes de los cuerpos de gobernar que aplica a la ubicación donde el procesamiento o el
almacenamiento tiene lugar.

Por tanto, tienes que entender el siguiente:

• Qué controles aplican a vuestro uso de un servicio de computación en nube particular

• Qué controles aplican al proveedor de servicio de la nube y donde las caídas de línea de la demarcación para
responsabilidades

• Cómo vuestro proveedor de servicio de la nube apoyará vuestra necesidad para la información asociada con control

• Cómo para trabajar con el regulador para proporcionar la información necesaria a toda costa de quién tuvo la
responsabilidad de recoger el dato

Proveedores de servicio tradicional son mucho más probablemente para ser el tema de certificaciones de seguridad y
auditorías externas de sus instalaciones y procedimientos que proveedores de servicio de la nube. Aquello hace la
disposición para un proveedor de servicio de la nube para someter su servicio a escrutinio de conformidad reguladora
un factor importante en vuestra selección de aquel proveedor sobre otro. En el caso de un proveedor de servicio de la
nube que muestra reluctance a o limita el escrutinio de sus operaciones, es probablemente sensato de utilizar el
servicio en maneras que límite vuestra exposición para arriesgar. Por ejemplo, a pesar de que encriptando el dato
almacenado es siempre una política buena, también podrías querer considerar no almacenando cualquier información
sensible en el sistema de aquel proveedor.

Cuando está ahora, los clientes tienen que garantizar su conformidad reguladora propia, incluso cuándo su dato es en
el cuidado del proveedor de servicio. Tienes que asegurar que vuestro dato es seguro y que su integridad no ha sido
compromised. Cuándo las entidades reguladoras múltiples están implicadas, tan seguramente hay entre ubicaciones de
sitio y países diferentes, entonces que carga para satisfacer las leyes de aquellos gobiernos es también vuestra
responsabilidad.

Para cualquier empresa con clientes en países múltiples, la carga de conformidad reguladora es onerosa. Mientras
organizaciones como el EEC (Comunidad Económica europea) o el mercado Común proporciona algún alivio para
control europeo, países como los Estados Unidos, Japón, China, y otros cada cual tiene sus conjuntos propios de
requisitos. Esto hace conformidad reguladora uno del más activamente desarrollando y áreas importantes de
tecnología de computación en nube.

Esta situación probablemente puede cambiar. Encima Marcha 1, 2010, Massachusetts pasó una ley que requiere
empresas que proporciona información personal sensible encima residentes de Massachusetts para encriptar el dato
transmitido y almacenado en sus sistemas. Los negocios están requeridos para limitar la cantidad de dato personal
recogió, uso de dato del monitor, mantener un inventario de dato, y ser capaz de presentar un plan de seguridad
encima cómo mantendrán el dato seguro. Los pasos requieren que las empresas verifican que cualquier tercer-
servicios de partido utilizan conforma a estos requisitos y que allí ser lengua en todo SLAs aquello aplica estas
protecciones. La ley toma efecto lleno en Marcha 2012.

Yendo de frente, quieres asegurar el siguiente:

• Tienes los contratos revisaron por vuestro personal legal.

• Tienes un correcto-a-cláusula de auditoría en vuestro SLA.

• Revisas cualesquier terceros partidos que son proveedores de servicio y evaluar su impacto encima seguridad y
conformidad reguladora.

• Entiendes el alcance de los controles que aplica a vuestras aplicaciones de computación en nube y servicios.

• Consideras lo que pasos tienes que tomar a comply con las demandas de controles que aplica.

• Consideras ajustar vuestros procedimientos a comply con controles.

• Recoges y mantener la evidencia de vuestra conformidad con controles.

• Determinas si vuestro proveedor de servicio de la nube puede proporcionar una declaración de auditoría que es SAS
70 Tipo II-compliant.

La ISO/IEC 27001/27002 estándar para sistemas de administración de seguridad de información tiene un roadmap para
misión-servicios críticos que te puede querer hablar con vuestro proveedor de servicio de la nube. Servicios de Web de
la amazona apoya SAS70 Tipo II Auditorías.

Deviniendo un proveedor de servicio de la nube requiere una inversión grande, pero cuando nosotros todos saben,
incluso las empresas grandes pueden fallar. Cuándo un proveedor de servicio de la nube falla, pueda cerrar o más
probablemente ser adquirido por otra empresa. Probablemente no utilizarías un proveedor de servicio que te
sospechado de ser en dificultad, pero los problemas desarrollan sobre los años y la computación en nube tiene un
grado seguro de cerradura de vendedor-en a él. Aquello es, cuándo has creado una nube-servicio basado, pueda ser
difícil o a menudo imposible de moverlo a otro proveedor de servicio. Tendrías que ser consciente de qué pasa a
vuestro dato si el proveedor de servicio de la nube falla. En el muy menos, querrías hacer seguro vuestro dato podría
ser obtenido en un formato que podría ser accedido por encima-aplicaciones de premisa.

Los varios atributos de computación en nube lo hacen difíciles a respond a incidentes, pero aquello no te significa
tendría que considerar dibujar arriba políticas de respuesta de incidencia de seguridad. A pesar de que la computación
en nube crea compartió responsabilidades, es a menudo hasta el cliente para iniciar la investigación que consigue el
rodamiento de pelota. Tendrías que ser preparado para proporcionar información clara a vuestro proveedor de servicio
de la nube sobre qué consideras para ser un incidente o una ruptura en seguridad y qué es sencillamente
acontecimientos sospechosos.
Estableciendo Identidad y Presencia

Capítulo 4 introdujo el concepto de identidades, algunos de los protocolos que les apoya, y algunos de los servicios que
puede trabajar con ellos. Las identidades también están ligadas al concepto de cuentas y puede ser utilizado para
contactos o “ID tarjetas.” Las identidades también son importantes de una seguridad standpoint porque pueden soler
autenticar peticiones de cliente para servicios en un sistema de red distribuido como el Internet o, en este caso, para
servicios de computación en nube.

Administración de identidad es un mecanismo primario para controlar acceso a dato en la nube, impidiendo
unauthorized usos, manteniendo funciones de usuario, y complying con controles. Las secciones que sigue describir
algunos de los aspectos de seguridad diferentes de identidad y el concepto relacionado de “presencia.” Para esta
conversación, puedes considerar presencia para ser el mapeo de una identidad autenticada a una ubicación sabida. La
presencia es importante en computación en nube porque añade contexto que puede modificar servicios y entrega de
servicio.

La computación en nube requiere el siguiente:

• Aquello estableces una identidad

• Aquello la identidad ser autenticado

• Aquello el authentication ser portátil

• Aquel authentication proporciona acceso a recursos de nube

Cuándo aplicado a un número de usuarios en un sistema de computación en nube, estos requisitos describen sistemas
que tener que identidades de provisión, proporcionar mecanismos que dirige credentials y authentication, dejar
identidades para ser federated, y apoyar una variedad de perfiles de usuario y políticas de acceso. Automatizando
estos procesos pueden ser una tarea de administración importante, tan son para encima-operaciones de premisas.

Estándares de protocolo de la identidad

Los protocolos que proporciona servicios de identidad han sido y es bajo desarrollo activo, y muchos forman la base
para esfuerzos para crear interoperabilidad entre servicios.

OpenID 2.0 (http://openid red/) es el estándar asociado con crear una identidad y teniendo un tercer-servicio de
partido autentica el uso de aquella identidad digital. Es el clave a crear Señal Sola-Encima (SSO) sistemas. Algunos
proveedores de servicio de la nube han adoptado OpenID como servicio, y su uso está creciendo.

En Capítulo 4, aprendiste qué OpenID está asociado con tarjetas de contacto como vCards e InfoCards. En aquel
capítulo, yo brevemente hablado cómo OpenID proporciona acceso a sitios de Web importante y cómo algunos sitios
de Web te dejan para utilizar vuestro logins basó en OpenID de otro sitio para obtener acceso a su sitio.

OpenID No especifica el medio para authentication de una identidad, y es hasta el sistema particular cómo el
authentication el proceso está ejecutado. Authentication Puede ser por un Reto y Protocolo de Respuesta (CHAP), a
través de una tarjeta lista física, o utilizando un dedo de vuelo u ojo de mal a través de un biometric medida. En
OpenIDL, el authentication el procedimiento tiene los pasos siguientes:

1. El fin-el usuario utiliza un programa como un navegador que se apellida un agente de usuario para introducir un
OpenID identificador, el cual es en la forma de un URL o XRI.
Un OpenID podría tomar la forma de name.openid.provider.org. 2. El OpenID está presentado a un servicio que
proporciona acceso al recurso que está deseado.

3. Una entidad llamó un relaying consultas de partido el OpenID proveedor de identidad para autenticar el veracity del
OpenID credentials.

4. El authentication está devuelto al relaying partido del proveedor de identidad y el acceso es tampoco proporcionado
o negó.

Según un informe por uno de OpenID los directores llamaron “OpenID 2009 Año en Revisión” por Brian Kissel
(http://openid red/2009/12/16/openid-2009-año-en-revisión/), había encima 1 billones OpenID las cuentas aceptaron
por 9 millones de sitios en el Internet.

El segundo protocolo utilizó a identidad presente-basó las reclamaciones en computación en nube es un conjunto de
autorización markup lenguas que crea archivos en la forma de ser XACML y SAML. Estos protocolos estuvieron
descritos en Capítulo 4 en detalle, así que sólo les menciono en pasar aquí. SAML (Aserción de seguridad Markup
Lengua; http://www.oasis-open.org/committees/tc casa.php?wg abbrev=Seguridad) está obteniendo creciendo
aceptación entre proveedores de servicio de la nube. Es un estándar de OASIS y un estándar de XML para pasar
authentication y autorización entre un proveedor de identidad y el proveedor de servicio. SAML Es un complimentary
mecanismo a OpenID y suele crea SSO sistemas.

Tomado como unidad, OpenID y SAML está siendo colocado para ser el estándar authentication mecanismo para los
clientes que acceden servicios de nube. Es particularmente importante para servicios como mashups que información
de sorteo de dos o más servicios de dato.

Un estándar abierto llamó OAuth (http://oauth.net/) proporciona un token servicio que puede soler acceso validado
presente a recursos. OAuth Es similar a OpenID, pero proporciona un mecanismo diferente para

Acceso compartido. El uso de OAuth tokens deja clientes para presentar credentials aquello contiene ninguna
información de cuenta (userID o contraseña) a un servicio de nube. El token viene con un periodo definido después de
que que lo ya no puede ser utilizado. Varios proveedores de servicio de nube importantes han empezado para hacer
OAuth APIs disponible basado en el OAuth 2.0 estándar, más notablemente Facebook Graph API y el Dato de Google
API.

El DataPortability Proyecto (http://dataportability.org/) es una industria grupo laborable que promueve

interoperabilidad de dato entre aplicaciones, y los tactos de trabajo del grupo en un número de los estándares de
emerger mencionó en esta sección. El sitio de Web del grupo está mostrado en Figura 12.6.

FIGURA 12.6 La página de casa del DataPortability Proyecto, una industria grupo laborable que promueve estándares
de identidad abierta

Un número de vendedores ha creado productos de servidor, como Identidad y Directores de Acceso (IAMs), para
apoyar estos varios estándares.

Windows Azure estándares de identidad

El Windows Azure la plataforma utiliza unas reclamaciones-la identidad basada basada en abierto authentication y
protocolos de acceso y es un ejemplo bueno de un servicio que implementa los estándares describieron en la sección
anterior. Estos estándares pueden ser utilizados sin modificación en un sistema que está corriendo en la nube o
encima-premisas, en mantener con Microsoft S+S (software más servicios) aproximación a computación en nube.

Windows Azure sorteos de seguridad en el siguientes tres servicios:

• Servicios de Federación de Directorio activos 2.0

• Windows Azure AppFabric Servicio de Control del Acceso

• Fundación de Identidad del Windows (WIF)

Las ofertas de Fundación de Identidad de Windows .Desarrolladores NETOS integración de Estudio Visual de WS-
Federación y WS-Trust estándares abiertos. ASP.NET Aplicaciones de web crearon con WIF integrar el JABÓN de
Fundación de Comunicación de Windows servicio (WCF-JABÓN) a un modelo de objeto unificado. Esto deja WIF para
tener acceso lleno a las características de WS-Seguridad y para trabajar con tokens en el SAML formato.

WIF Confía encima tercer-partido authentication y acepta authentication peticiones de estos servicios en la forma de
un conjunto de reclamaciones. Las reclamaciones son independientes de donde una cuenta de usuario o la aplicación
está localizada, por ello dejando reclamaciones para ser utilizadas en señal sola-en sistemas (SSO). Las reclamaciones
apoyan ambos acceso de recurso sencillo y la Función Control de Acceso Basado (RBAC) políticas que puede ser
aplicado por políticas de grupo del Windows.

Servicios de Federación de Directorio activos 2.0 (ANUNCIO FS) es una Seguridad Token Servicio (STS) aquello deja
usuarios para autenticar su acceso a aplicaciones tanto localmente y en la nube con unas reclamaciones-identidad
basada. Cualquiera quién tiene una cuenta en el directorio de Windows local puede acceder una aplicación; ANUNCIO
FS crea y retiene relaciones de confianza con federated sistemas. ANUNCIO FS utiliza WS-Federación, WS-Trust, y
SAML, el cual deja usuarios para acceder un sistema basó encima IBM, Novell, SAVIA, y muchos otros vendedores.

La pieza final del Windows Azure reclamaciones de Plataforma-sistema de identidad basada está construido
directamente al AppFabric Control de Acceso (AC) servicio. Puedes recordar de Capítulo 10 que AppFabric es un
autobús de servicio para Azure componentes que servicios de Web de RESTO de soportes. Incluido en AppFabric es
authentication y reclamaciones-acceso de autorización basada. Estos pueden ser sencillos logons o esquemas más
complejos apoyados por ANUNCIO FS. AC Deja autorización para ser localizada anywhere y deja desarrolladores para
separar identidad de su aplicación.

Las reclamaciones-identidad basada en AC está basado en el OAuth Protocolo de Autorización de Recurso de Web
(OAuth ENVUELVE), el cual trabaja con varios RESTO APIs. El Oauth 2.0 protocolo parece para ser obteniendo
aceptación en la industria de computación en nube, porque SAML tokens puede ser aceptado por muchos vendedores.

Presencia

La presencia es un concepto fundamental en informática. Está utilizado en redes para indicar el estado de partidos
disponibles y su ubicación. Órdenes como el QUIÉNES mandan en Linux aquellos usuarios de lista logged a la red va
completamente atrás a los primeros sistemas operativos de red. La presencia proporciona no identidad única, pero
estado y, cuando parte de estado, ubicación. El estado está referido a como el estado de presencia, la identidad es el
presentity, y el servicio que dirige la presencia se apellida el servicio de presencia. Muchos servicios de presencia
confían en los agentes llamaron watchers, los cuales son programas pequeños que relé la habilidad de conectar de un
cliente. Entre los servicios de computación en nube que confía encima información de presencia es sistemas de
telefonía como VoIP, instante messaging servicios (IM), y geo-ubicación-basó sistemas como GPS. La presencia está
jugando una función importante en teléfonos celulares, particularmente teléfonos listos.

Cuándo accedes una aplicación como AroundMe en el iPhone de Manzana, el cual lista negocios, servicios, y
restaurantes en vuestra proximidad, estás utilizando un ejemplo de un servicio de presencia. Figura 12.7 espectáculos
el AroundMe aplicación con algunos resultados de muestra. El servicio de presencia está proporcionado por el GPS
locator dentro del teléfono, el cual proporciona una ubicación a través de EN&T (el proveedor de servicio) a la
aplicación. La presencia es un esencial y creciendo componente de nube-basó servicios, y añade una cantidad enorme
de valorar a la ubicuidad que unas ofertas de red de la nube.

FIGURA 12.7 El AroundMe aplicación de iPhone es un ejemplo de una aplicación que uso de marcas de un servicio de
presencia.

Cuando la computación en nube deviene más pervasive e intento de vendedores para crear federated sistemas,
emergiendo servicios de presencia devendrán más importantes. La fundación de Identidad del Windows de Microsoft
(descrito en la sección anterior) creó bajo el proyecto de Marco de la Geneva es un ejemplo de un intento de crear
unas reclamaciones-sistema de presencia basada. WIF Deja sistemas diferentes a interoperate utilizando una variedad
de authentication métodos, incluyendo LDAP y Directorio Activo, OpenID, LiveID, Microsoft CardSpace, y Novell Digital
Me.

La Fuerza de Tarea de Ingeniería de Internet (IETF) ha desarrollado un estándar llamó el Extensible Messaging y
Protocolo de Presencia (XMPP) que puede ser utilizado con un sistema de federación llamó el Jabber Plataforma de
Comunicaciones Extensibles (Jabber XCP) para proporcionar información de presencia. Entre los servicios que uso
Jabber XCP es la Agencia de Sistemas de Información de Defensa (DISA), Charla de Google, Earthlink, Facebook, el
Servicio de Tiempo Nacional, Twitter, los EE.UU. Cuerpo Marino, y la Orden de Fuerzas de Junta de EE.UU. (USJFCOM).

Jabber XCP Es popular porque es una plataforma de desarrollo extensible que es plataforma-independiente y apoya
varios protocolos de comunicaciones, como el Protocolo de Iniciación de la Sesión para Instante Messaging y Presencia
Leveraging Extensiones (SENCILLOS) e Instante Messaging y Servicio de Presencia (IMPS).

La idea de aplicar servicios de presencia sobre el Servicio estándar Arquitectura Orientada (SOA) los protocolos como
HTTP/de RESTO/del JABÓN es que en SOA todos estos protocolos apoyan intercambio de dato unidireccional. Pides un
dato/de servicio, y una respuesta está suministrada. SOA Arquitecturas no escala bien y no puede suministrar alto-
transferencias de dato de la velocidad requirieron por los servicios de colaboración que está basado encima
tecnologías de servicio de la presencia. SOA También tiene el problema de servicios que tiene problema penetrando
firewalls. Sea estas barreras que Jabber y XMPP estuvo creado para solucionar, y encontrarás aquel protocolo
incorporado a un número de computación en nube SaaS servicios. AOL, Manzana, Google, IBM, y otros están utilizando
esta tecnología en algunos de sus aplicaciones hoy.

Resumen

En este capítulo, aprendiste aproximadamente muchos de los asuntos que se preocupan seguridad y computación en
nube. Esto es un rápidamente cambiando área de importancia grande a cualquiera considerando desplegando sistemas
o almacenando dato en la nube. La seguridad puede, de hecho, ser el solo la mayoría de área importante de
computación en nube que necesitas planear para. De según qué el tipo de servicio utilizas, puedes encontrar muchos
servicios de seguridad ya construidos a vuestro sistema.
Un asunto necesitas considerar es cómo para proteger dato en transit a y almacenado en la nube. Encriptación de dato,
restricciones de acceso, y servicios de protección de datos estuvieron descritos. Multi-tenancy, sistema virtualization, y
otro control de marca de los factores, conformidad reguladora, y respuesta de incidencia más desafiante que encima-
sistemas de premisas son. Un concepto clave para controlar el acceso a recursos de nube es administración de
identidad.

En Capítulo 13, los estándares utilizaron para crear sistemas de nube están descritos. Estos estándares crean qué se
apellida el Servicio Arquitectura Orientada. También aprendes cómo sistemas de nube pueden ser construidos de
muchos diferentes interoperable partes modulares.