·译者简介·

詹静 女，博士，北京工业大学计算机学院讲师，硕士生导师，曾任德国HGI信息安全研究所、波鸿鲁尔大学科研助理。主要从事系统安全、可信计算等方面的教学科研工作。主持863计划子课题，教育部基金及国防项目各一项，参与多项省部级项目，发表EI、SCI检索科研论文数十篇，专利及软件著作权多项。主编《计算机组网技术》教材（第1版及第2版），参与译著《面向服务器平台的英特尔可信执行技术》，主讲计算机网络基础、密码学入门、信息安全测试等信息安全专业本科课程。

庄俊玺 女，博士，北京工业大学计算机学院讲师。主要从事网络安全、可信计算等方面的理论与应用教学科研工作。参与多项省部级项目，发表学术论文及专利多项。主讲移动互联网应用安全、防火墙技术等信息安全专业本科课程。

张建标 男，博士，北京工业大学计算机学院信息安全系主任，教授，博士生导师，可信计算北京市重点实验室副主任，中关村可信计算产业联盟副理事长，教育部信息安全专业教学指导委员会委员。主要从事可信计算、网络安全等方面的教学科研工作。主持或参与国家、省部级等项目20余项，包括国防预研课题、863课题、973课题、省级重大科技专项等，部分成果与企业合作推向市场，发表学术论文60余篇，申请国家发明专利25项（已授权15项）。出版教材《TCP/IP协议分析及应用》（北京市精品教材）和《信息安全体系结构》，译著《网络安全评估》。主讲信息安全体系结构、信息安全理论与技术等信息安全专业本科及研究生课程。

本书以可信计算技术为基石，全面介绍了建立云安全基础设施相关的
应用模型、解决方案、具体实现所需的软硬件组件

安全对云用户和云服务提供商而言都非常重要，然而专门讨论云安全的书却不多。本书有助于弥补信息技术手段和用户眼中的云安全之间的差距。本书还特别说明了建立可信云的基本技术，并详尽解释了机构组织在向云迁移应用任务时面临的安全和合规性挑战，以及如何使用具有根植于硬件完整性的可信云应对这些挑战。

本书内容：
基于英特尔可信执行技术（TXT）创建可信池、保障基础设施完整性的应用案例和参考方案架构。
云中可信地理位置管理概念及方法，使得工作负载和数据位置符合合规性及云使用边界控制的要求。
云中基于OpenStack的租户控制虚拟机及云工作负载保护的参考架构。
为云爆发案例提供安全混合云的参考设计，并为组织机构提供基础设施可见性和控制能力。


“本书是一本宝贵的指南，介绍了下一代云安全及基于硬件的可信根。不仅解释了云安全是什么，如何达到，还阐述了为什么这么做，是一本不可错过的好书！”
—— Vince Lubsey　Virtustream公司副总裁


英特尔一直在努力与合作伙伴提供全面解决方案架构和整套的产品，不仅提出这些问题，还在私有云、公有云上大规模部署电子解决方案。本书汇集了来自英特尔技术专家、架构师、工程师、市场和解决方案开发经理，以及一些关键合作伙伴架构师的贡献。

本书分为四部分:
第1章和第2章涵盖云计算的背景和安全理念,引入可信云的概念。讨论了启用和实例化可信基础设施的关键应用模型，这是可信云的基础。此外，这部分还讨论了包括解决方案架构和组件说明的应用模型。
第3章至第5章包括启用可信基础设施的用例,解决方案架构和技术组件,强调可信计算,证明的作用,证明方案,以及云中的地理围栏和边界控制。
第6章和第7章提供了云中身份管理和控制，以及网络安全相关的有趣观点。
第8章将可信的概念扩展到虚拟机和工作负载,包括建立在先前讨论过的可信计算池基础之上的参考架构和组件。第9章全面阐述了安全云爆发参考架构，并汇集此前章节讨论过的所有概念和方法的具体实现。

对于云中的应用和数据而言，安全是个永远存在的问题。这对试图制定迁移应用准则的企业主管、试图定位成革新技术采用者的营销组织、试图建立安全基础设施的应用架构师，以及试图保证坏人不能为所欲为的运营人员来说，都是必须考虑的问题。应用是否准备迁移到云或是否已经基于云组件运行并不重要，甚至应用成功运行多年并没有发生重大安全事件也不重要：因为完美无缺的记录并不代表其所有者能声称自己在安全上无懈可击。企业主管已敏锐地意识到，完美无缺的记录所代表的荣誉其实只是对攻击的邀请。自然，过去的表现也绝不代表未来。
无论问谁，安全都是抑制云计算广泛应用的最大障碍。要弃用本地部署系统转而采用云计算，企业组织需要设定一个更高的标准，也就是应用安全标准的最佳实践。迁移或采用云服务可以提供一个优势，让公司可以从头开始设计内嵌安全的、新的、基于云的基础架构，从而避免当前大部分数据中心在安全建设上出现的零碎化、事后扩充化的问题。但不同的建立内在安全性的方法也有细微差别，在第1章中我们将会看到。云服务提供商努力构建的安全基础架构，启用多租户环境，为用户提供工具、可视化和控制的基石。他们开始把安全看成云服务触力的一个重要关注点，与性能、功耗、正常运行时间等需综合考量。这为方案架构师在安全设计上根据所在场景实现不同灵活性和安全粒度提供了可能，例如，金融服务业和企业资源管理应用的安全需求在产品宣传册上就截然不同，然而它们都可能使用相同存储服务商的存储服务，这些服务将要求高级别的完整性、机密性和安全防护。
一些具体实践方式可能会带来一些战术优势，例如使用内部私有云而不是使用第三方托管的公有云资源，但其实并没有从根本上解决安全问题，比如，还是采用如“瑞士奶酪”似的边界设施，导致数据可以随时通过。我们想提出一个不同的方法：将安全体系架构锚定在芯片，而运行该芯片的服务器遍布每个数据中心。然而，运行移动应用的终端用户并不能看到服务器。我们要做的就是定义一个根植于硬件的逻辑信任链，与基于一组公理建立的几何系统并无不同。我们使用硬件以确保固件的完整性：包括运行在芯片组上的BIOS代码和管理服务器基本功能的固件。从而提供了一个可靠的平台，在此之上运行包括虚拟机监视器和操作系统环境在内的软件。每个软件组件在启动之初都被根植于硬件可信链中的可信根“度量”并与“已知的正确值”比较验证过，从而提供一个未启动各应用可信平台。
我们假设读者已经熟悉云技术，并对深入探索云安全感兴趣。我们将讨论一些云技术原则，主要目的是为安全议题的讨论建立一个术语表。我们的目标是讨论云安全的原则，公司迁移到云后所面临的挑战，以及为了满足安全需求提出的基础设施需求。本书面向技术读者，为他们提供创建和部署可信云所需要的架构、参考设计和代码示例。虽然底层技术组件文档（如可信平台模块和基本的安全启动）不难从开发商规范中获得，但其上下文相关内容还是缺失的，例如描述不同组件如何集成到可信虚拟化平台的以使用为中心的方法。本书首次尝试通过实际的概念验证实现和一些初级商业化实现来填补这一空白。安全平台实现是一个新兴和快速发展的问题，长期来看，还不是一个能确定不变的方法，试图达成一个确定方法还为时尚早。及时提供实践方法则更为紧迫，作者希望这些材料能刺激读者的好奇心，鼓励社区复制我们的成果，从而产生新的方法，并在此过程中不断前进。
影响企业和云数据中心安全的趋势主要有三个：
IT体系结构的演化。这与虚拟化及现在云计算技术的采用紧密相关。多租户和服务整合推动运营效率大幅提高，使多条业务线和租户得以共享基础设施。这种整合和合租导致了新的维度和攻击向量。如何确保不属于和不由自己具体运营的基础设施具有相同级别的安全性和控制能力？外包、跨业务和跨供应链协同突破了传统的安全模型边界。这些新模型模糊了组织“内部”数据和边界“之外”数据的区别。这些数据本身就是新的边界。
攻击的复杂度。攻击不再只针对软件，黑客也不再在乎吹嘘胜利。攻击变得更加复杂，目标针对资产控制权，并且保持隐蔽。这些攻击逐步逼近平台底层：固件、BIOS和管理虚拟机操作系统的虚拟机监视器。以往这些底层的安全控制措施较少，恶意软件易于隐藏。由于采用了基于虚拟化的多租户和整合技术，取得平台控制就意味着攻击者得到了重要筹码和加大了攻击面。企业组织如何摆脱这种困境，创立控件来验证运行关键业务应用的平台的完整性？如何向审计方证明即使他们的信息系统是由云服务商来提供，安全控件和流程仍然有效执行？
更多的法规要求。对IT从业者和企业所有者的合规性要求显著增加。保护数据的成本和不安全的个人身份数据、知识产权、金融数据以及不合规的可能性导致的风险非常高。此外，相关规章要求也为IT组织增加了额外的负担。
显然，云安全是一个需要跨领域考虑的广阔议题，包括技术、产品和解决方案，涉及移动、网络安全、Web安全、消息安全、数据或内容保护和存储、身份管理、虚拟机监视器和平台安全、防火墙、审计和合规性等内容。从工具和产品的角度审视安全是一个有趣的方法。然而，企业IT从业者和云服务商都必须仔细考虑基础设施级别的使用和需求，并提供一套无缝方案解决企业安全问题和需求。同样有趣的是审视私有云和公有云如何具体使用，表述为如下需求：
为服务供应商提供企业级解决方案。合规的云是什么？有什么属性和行为？
为开发者、服务集成商和运营商提供进出云的应用和荷载保护。不管云服务是什么类型，服务开发者如何保护静态和动态荷载的内容和数据
为服务组件和用户提供细粒度管理、认证、分配设备和用户信任的功能。
英特尔一直在努力与合作伙伴提供全面解决方案架构和整套的产品，不仅解决这些问题，还在私有云、公有云上大规模部署电子解决方案。这本书汇集了来自英特尔技术专家、架构师、工程师、市场和解决方案开发经理以及一些关键合作伙伴架构师的贡献。
本书分为四个部分：
第1章和第2章涵盖云计算的背景和安全的概念，引入可信云的概念。讨论了启用和实例化可信架构的关键应用模型，这是可信云的基础。此外，这些章节还讨论了包括解决方案架构和组件说明的应用模型。
第3～5章包括建立可信架构的用例、解决方案架构和技术组件，强调可信计算、可信证明的作用、可信证明方案，以及云中的地理围栏和边界控制。
第6章和第7章提供了云中身份管理和控制、以及网络安全相关的有趣观点。
第8章将可信的概念扩展到虚拟机和荷载，包括建立在先前讨论过的可信计算池基础之上的参考架构和组件。第9章全面阐述了安全云爆发参考架构，并汇集了此前章节讨论过的所有概念和方法的具体实现。
这些章节将带我们开始一段获益匪浅的旅行。一切从一组基本的根植于硬件的技术组件开始，即安全加载程序的功能。我们不仅在软件，还在服务器平台固件（BIOS和系统固件）中对此功能进行了实现。我们还添加了其他平台传感器和设备支持，例如可信平台模块（Trusted Platform Module，TPM）、位置传感器。最终可能还会整合平台其他安全相关测度方法的信息，如密码加速器、密钥使用的安全随机数生成器、安全容器、压缩加速器和其他相关实体。
定义了硬件加固平台之后，就可以将最初的安全特性扩展到云环境中。我们将初始的启动完整性和保护功能扩展到下一个目标，即整个完整生命周期的数据：静止的数据、传输的数据、使用中的数据。我们最初的重点在于服务器平台。实际上，我们使用的方法类似于建立数学系统，从一套断言或公理慢慢扩展，直到达到进行云部署的范围。在计算方面，我们将保护引导概念扩展到裸机上运行的虚拟机监视器和操作系统，然后是其后运行的虚拟机。鉴于业界对安全平台的强烈需求，我们希望这一需求能激励应用开发商和系统集成商将信任链扩展到用户端应用。
在安全启动建立的可信概念基础之上，第二个抽象概念是平台上应用的可信级别。这涉及可信认证相关讨论和完成可信认证所需的框架和流程。衡量，还有在部署工作中需要的具体功能，包括地理定位监控和控制（地理围栏），将可信概念扩展到工作负载，即工作负载的保护启动，以及确保运行时工作负载和数据的完整性。
与之前的操作环境（包括整合的虚拟环境）相比，云计算提供了更加动态的环境。例如，虚拟机可能出于性能或商业原因发生迁移，在安全架构下，保证虚拟机及数据安全地迁入或迁出是至关重要的。这就引出了可信计算池的概念。
接下来将讨论云中的网络安全。目前一个有待开发的问题是如何发挥硬件加固的网络设施优势，利用安全启动补充现有的安全实践措施。身份管理也是一个永恒的挑战，云计算比其前身网格计算的分布特性更为突出，因为云中的分布式、多租户和动态行为应用远远超出了网格计算。
随着对这些概念的讨论，我们用零星的项目研究来验证这些讨论的概念，验证那些由具备前瞻思维的服务商提供的部署方案。对于正在整合安全启动基础和其他大量技术的架构师而言，这些项目方案提供了宝贵的可行性证据，以及识别技术和接口差距并提供精确反馈给标准化组织的机会。这将有助于加快产业整体技术学习曲线，从而快速减少部署特定实现的时间成本和花销。
计算只是云的一个方面。我们还需要找到将保护扩展到云网络和云存储的方法。建立基于安全启动的信任链的经验对云网络和云存储安全都有帮助，因为网络和存储设施也运行在相同的构建服务器的组件上。我们相信，如果严格遵循建立计算信任链的方法，应该可以加固网络和存储设备，使之达到在计算子系统上实现的同等效果。从这个角度看，本书展示的长途旅行看起来更像一趟开拓之旅。
一些读者会敏锐地注意到，数据中心的IT基础设施不仅包括服务器，还包括网络和存储设备。本书讨论的安全主要涉及服务器设备上的软件栈，并且仍在发展。但必须指出网络和存储设备也在计算设备上运行，因此确保网络和存储设备安全的策略之一就是精确地建立适用于这些设备的类似信任链。虽然这些讨论已经超出本书范围，但确实和相关从业者关系密切，因此，它们也是相关专题专家在以后的论文和书籍中讨论的绝好主题。
我们承认还有大量工作需要继续完善，但这也说明还有大量激动人心的领域值得探索，具备向不断被看似无尽且不断升级的攻击所动摇、饱受困扰的安全产业交付同样巨大价值的潜力。我们邀请所有的业界同行，无论你是高管、架构师、工程师、系统整合师，还是开发人员，请加入我们一同前行。实际上，创新之路永远不会停止——这就是安全的本质。然而，在前行过程中，业界人员将为云建立更健壮的基础，为用户带来更好的保障。

计算机\安全

安全对云用户和云服务提供商而言都非常重要，然而专门讨论云安全的书却不多。本书将帮助弥补信息技术手段和用户眼中的云安全之间的差距。本书还特别说明了建立可信云的基本技术，并详尽解释了机构组织在向云迁移应用任务时面临的安全和合规性挑战，以及如何使用具有根植于硬件的完整性的可信云应对这些挑战。

本书内容：
·基于英特尔可信执行技术（TXT）创建可信池、保障基础设施完整性的应用案例和参考方案架构。
·云中可信地理位置管理概念及方法，使得工作负载和数据位置符合合规性及云使用边界控制的要求。
·云中基于OpenStack的租户控制虚拟机及云工作负载保护的参考架构。
·为云爆发案例提供安全混合云的参考设计，并为组织机构提供基础设施可见性和控制能力。


“本书是一本宝贵的指南，介绍了下一代云安全及基于硬件的可信根。不仅解释了云安全是什么，如何达到，还阐述了为什么这么做。不可错过的好书！”
—— Vince Lubsey, 副总裁，产品开发部，Virtustream公司

随着云计算技术的深入发展，国内外越来越多的企业和个人用户通过租用云来快速开展业务、随时随地使用服务。然而，由于云计算较之传统网络服务具有多租户租赁、虚拟化共享、数据及计算完全外包等新特点，显见云基础设施的攻击价值更高，安全防范难度也更大。近年来云安全事件更是不断出现，极大影响了用户对云计算的信任程度。
信任是网络空间安全交互的基础，可信计算作为一种向人们提供基于硬件的可信功能及服务的信息系统安全技术，近年来备受关注。可信计算的发展也印证了IT技术发展的浪潮，从早期对高可靠、高容错能力服务器的研究，逐步转向对终端节点计算机的安全性研究，以及当前对云计算、物联网、移动互联网和工业控制系统等新兴大规模复杂信息系统的主动、动态的安全保障研究。
本书以可信计算技术为基石，全面介绍了建立安全云基础设施相关的应用模型、解决方案、具体实现所需的软硬件组件。为了填补用户理解的云安全与业界的安全技术之间的空白，本书在介绍当前云计算安全与合规性需求的基础上，详细阐述了如何采用可信计算技术建立云安全基础设施和提供云安全方案，这些方案包括基本的可信计算池TCP，可信证明平台TAP，使用地理标记的可信计算池和可信虚拟机，分别用于保护云平台启动完整性，保证云平台可信性能够被验证，保护云边界和保护云虚拟机的完整性。除此之外，本书还对云安全相关的网络安全技术、身份管理控制技术以及安全云爆发技术进行了介绍。对急需了解云安全的读者来说是一本不可多得的专业技术书。
由于原著者都来自Intel数据中心、云安全相关一线部门，具有丰富的云安全工程经验，书中提供了大量可信云技术细节和Intel及其合作伙伴的真实技术案例资料，以帮助读者掌握建立可信云基础设施的方法。本书的目标读者包括已经熟悉云计算，了解基本可信计算知识的云基础设施运维人员、应用方案师、系统架构师以及公司高管，通过阅读本书能让他们认识到云安全的重要性，理解和掌握云安全保障方法。
最后，感谢原著者Raghu Yeluri以及Intel公司首席架构师李彦在本书翻译期间与笔者的讨论，感谢北京工业大学可信计算实验室硕士生王霞、吴欢、蔡磊和杨静等同学为本书所作出的贡献，感谢机械工业出版社的张梦玲和陈佳媛编辑在翻译过程中给予的耐心帮助，感谢国家高技术研究发展计划（No. 2015AA016002）及高等学校博士学科点专项科研基金（No. 20131103120001）对译者在可信云调研过程中的支持，感谢家人在翻译本书过程中的关心和帮助。

詹静
2017年6月20日于北京

在我的职业生涯之中，我扮演过很多角色，从投资银行家到风险投资人再到商业企业家。我很幸运一直处于几大技术浪潮前沿，这些技术浪潮包括大型机向客户机/服务器计算的转变、互联网的兴盛，以及现在移动和云计算的兴起。每一次新的浪潮都带来技术颠覆，并且每一次浪潮都会推动生产效率和运营生产力提升到新的水平。然而，随之而来每次新的浪潮也带来了新的安全风险和运营问题。
虚拟化和云技术与以前的技术浪潮并没有什么不同。在过去的20年它们带来的最显著的变化就是数据中心转型，而且在节约成本、提升灵活性和业务敏捷性方面都取得了巨大的成效。但与此同时，安全风险态势也发生着显著变化。云环境创建的新平台将组织的所有关键系统、应用和数据汇聚在一起，在本质上导致了风险的集中。这些变化应该引起公司高管们的特别注意。如果没有适当的控制（你能想象到后果），数据中心甚至整个企业会面临灭顶灾难。关键系统和数据可能只需轻触按钮就能被轻易访问、复制或删除。服务器，在过去的IT技术中是堆叠的物理设备，而现在可以看成仅仅是文件集。数据中心正在变成为一个可以完全被远程控制的软件抽象（softwore abstraction）。
另外，在这个新的环境中，最高特权被赋予能控制所有虚拟化资源的权力。一个系统管理员或劫持他人权限就能发起一次严重的攻击事件，例如在几分钟之内复制一台虚拟机或删除整个完整的虚拟数据中心。由于各种系统数量庞大，即使简单的配置错误在现在都可能造成严重的宕机事件。同时，由于要求审计新的平台，所以很可能会造成审计失败。
此外还有更多问题，当前技术正在走向软件定义的网络和存储，并产生“软件定义的数据中心”，这将使风险更加集中，带来更多的安全和合规的挑战。
正是这些根本性的变化，迫使我们需要寻求新的、专门针对这些风险的方法来建立安全和信任链。现在的形势比以往更为严峻，主要基于这些因素：（1）如前所述风险的集中化；（2）攻击变得更加复杂；（3）更高的风险，如内部威胁和数据泄漏、高级外部威胁、特权劫持以及升级持续攻击。一些明显的例子如爱德华·斯诺登泄露美国国家安全局机密文件；美国零售巨头塔吉特公司数以亿计的客户个人信息被窃取；Adobe公司的攻击导致数千万用户的账户和支付信息泄露，更别提绝密级的源代码泄露。
新的信任链必须从硬件以及虚拟基础设施开始，确保用户能信任在虚拟机上运行的操作系统和各种应用。不论私有云、混合云和公有云上都是如此，以确保荷载所需的策略可以自动制定并执行。同时新的信任链必须与数据安全绑定，确保虚拟机是加密的，除非虚拟机已经运行在授权环境中。
展望未来，云安全（从硬件到数据）将成为云服务快速推广的重要因素。
这本书对寻求为云环境建立安全基石的读者来说尤其值得一读。作为经验丰富的虚拟化、企业架构和安全技术专家，Raghu和Enrique在本书中提供了非常有价值的讨论，包括迁移到云后公司所面临的挑战和云安全问题，应对新的安全需求和安全控制要求的基础设施解决方案组件。

——Eric Chiu，HyTrust公司董事长及创始人

序
推荐序
译者序
作者简介
审校者简介
前言
致谢
第1章 云计算基础　1
1.1 云的定义　2
1.1.1 云的本质特征　2
1.1.2 云计算服务模型　3
1.1.3 云计算部署模型　4
1.1.4 云计算价值定位　5
1.2 历史背景　6
1.2.1 传统的三层架构　7
1.2.2 软件的演进：从烟筒式应用到服务网络　8
1.2.3 云计算是IT新模式　10
1.3 服务即安全　11
1.3.1 新的企业安全边界　12
1.3.2 云安全路线图　16
1.4 总结　16
第2章 可信云：安全与合规性表述　17
2.1 云安全考虑　17
2.1.1 云安全、信任和保障　19
2.1.2 影响数据中心安全的发展趋势　20
2.1.3 安全性和合规性面临的挑战　22
2.1.4 可信云　24
2.2 可信计算基础设施　24
2.3 可信云应用模型　25
2.3.1 启动完整性应用模型　27
2.3.2 可信虚拟机启动应用模型　29
2.3.3 数据保护应用模型　30
2.3.4 运行态完整性和证明应用模型　30
2.4 云租户的可信云价值定位　31
2.5 总结　32
第3章 平台启动完整性：可信计算池的基础　34
3.1 可信云构件　34
3.2 平台启动完整性　35
3.2.1 英特尔TXT平台的信任根——RTM、RTR和RTS　36
3.2.2 被度量的启动过程　36
3.2.3 证明　39
3.3 可信计算池　40
3.3.1 TCP的操作原则　41
3.3.2 池的创建　42
3.3.3 工作负载配置　42
3.3.4 工作负载迁移　43
3.3.5 工作负载/云服务的合规性报告　43
3.4 TCP解决方案参考架构　43
3.4.1 硬件层　44
3.4.2 操作系统/虚拟机监视器层　45
3.4.3 虚拟化/云管理和验证/证明层　46
3.4.4 安全管理层　47
3.5 参考实现：台湾证券交易所案例　49
3.5.1 TWSE的解决方案架构　50
3.5.2 可信计算池用例的实例化　51
3.5.3 HyTrust的远程证明　52
3.5.4 使用案例：创建可信计算池和工作负载迁移　54
3.5.5 McAfee ePO的安全性和平台可信性集成与扩展　54
3.6 总结　58
第4章 证明：可信性的验证　59
4.1 证明　59
4.1.1 完整性度量架构　61
4.1.2 基于简化策略的完整性度量架构　61
4.1.3 基于语义的远程证明　62
4.2 证明流程　62
4.2.1 远程证明协议　62
4.2.2 完整性度量流程　64
4.3 首个商业化证明实现：英特尔可信证明平台　65
4.4 Mt.Wilson平台　67
4.4.1 Mt.Wilson架构　68
4.4.2 Mt.Wilson证明流程　70
4.5 Mt.Wilson的安全性　73
4.6 Mt. Wilson的可信、白名单和管理API　74
4.6.1 Mt.Wilson API　75
4.6.2 API请求规范　75
4.6.3 API响应　77
4.6.4 Mt. Wilson API的使用　78
4.6.5 部署Mt. Wilson　78
4.6.6 Mt.Wilson编程示例　79
4.7 总结　82
第5章 云的边界控制：地理标记和资产标记　83
5.1 地理定位　84
5.2 地理围栏　84
5.3 资产标记　86
5.4 使用地理标记的可信计算池　86
5.4.1 阶段一：平台证明和安全虚拟机监视器启动　88
5.4.2 阶段二：基于可信性的安全迁移　89
5.4.3 阶段三：基于可信性和地理定位信息的安全迁移　89
5.5 将地理标记加入到可信计算池解决方案　90
5.5.1 硬件层（服务器）　90
5.5.2 虚拟机监视器和OS层　91
5.5.3 虚拟化、云管理、验证和证明层　91
5.5.4 安全管理层　92
5.5.5 地理标记的创建和生命周期管理　92
5.6 地理标记的工作流程和生命周期　93
5.6.1 创建标记　93
5.6.2 发布标记白名单　94
5.6.3 部署标记　94
5.6.4 资产标记和地理标记的生效和失效　96
5.6.5 地理标记证明　97
5.7 地理标记部署架构　97
5.7.1 标记部署服务　98
5.7.2 标记部署代理　99
5.7.3 标记管理服务和管理工具　99
5.7.4 证明服务　100
5.8 地理标记部署过程　102
5.8.1 推模型　102
5.8.2 拉模型　102
5.9 参考实现　104
5.9.1 步骤1　104
5.9.2 步骤2　105
5.9.3 步骤3　106
5.9.4 步骤4　107
5.10 总结　108
第6章 云中的网络安全　110
6.1 云网络　111
6.1.1 网络安全组件　111
6.1.2 负载均衡　112
6.1.3 入侵检测设备　113
6.1.4 应用交付控制器　113
6.2 端到端的云安全　113
6.2.1 网络安全：端到端的安全——防火墙　114
6.2.2 网络安全：端到端的安全——VLAN　114
6.2.3 网络安全：端到端的安全——站点间VPN　115
6.2.4 网络安全：端到端的安全——虚拟机监视器和虚拟机　116
6.3 云中的软件定义安全　117
6.3.1 OpenStack　120
6.3.2 OpenStack网络安全　121
6.3.3 网络安全功能和示例　123
6.4 总结　125
第7章 云的身份管理和控制　127
7.1 身份挑战　128
7.1.1 身份使用　129
7.1.2 身份修改　130
7.1.3 身份撤销　131
7.2 身份管理系统需求　131
7.3 身份管理解决方案的关键需求　132
7.3.1 可问责　133
7.3.2 通知　133
7.3.3 匿名　133
7.3.4 数据最小化　134
7.3.5 安全性　134
7.3.6 隐私性　134
7.4 身份表示和案例研究　135
7.4.1 PKI证书　135
7.4.2 安全和隐私的探讨　136
7.4.3 身份联合　137
7.4.4 单点登录　138
7.5 英特尔身份技术　138
7.6 总结　143
第8章 可信虚拟机：云虚拟机的完整性保障　144
8.1 可信虚拟机的需求　145
8.2 虚拟机镜像　147
8.3 可信虚拟机概念架构　149
8.3.1 Mystery Hill客户端　150
8.3.2 Mystery Hill密钥管理和策略服务器　151
8.3.3 Mystery Hill插件　151
8.3.4 可信证明服务器　152
8.4 可信虚拟机工作流　153
8.5 利用OpenStack部署可信虚拟机　155
8.6 总结　158
第9章 安全云爆发的参考设计　160
9.1 云爆发应用模型　161
9.2 数据中心部署模型　164
9.3 云爆发的参考架构　166
9.3.1 围绕最佳实践建立安全的环境　168
9.3.2 云管理　168
9.3.3 云身份和访问管理　168
9.3.4 云资源、流量和数据的隔离　169
9.3.5 漏洞和补丁管理　169
9.3.6 合规性　169
9.4 网络拓扑及注意事项　171
9.5 安全设计考虑　174
9.5.1 虚拟机监视器硬化　174
9.5.2 防火墙和网络隔离　174
9.5.3 管理网络防火墙　176
9.5.4 虚拟网络　176
9.5.5 防病毒软件　177
9.5.6 云管理安全　177
9.6 虚拟机迁移的实践考虑　182
9.7 总结　184
附录A　中国可信云社区　186
附录B　相关开源合作项目和升级　188