Mô hình điện toán đám mây hiện đang được triển khai bởi nhiều nhà cung cấp khác nhau, nhưng nhìn chung có thể quy ra một mô hình chung gồm ba lớp sau :
Hình 2.1: Kiến trúc điện toán đám mây
Tầng ứng dụng (dịch vụ ứng dụng): tầng này cung cấp những ứng dụng chạy trong môi trường đám mây và được cung cấp theo yêu cầu (về thời gian, chất lượng, số lượng…) theo yêu cầu của người dùng. Đôi khi các dịch vụ này được cung cấp miễn phí và các nhà cung cấp dịch vụ tạo ra doanh thu từ những thứ khác như là các quảng cáo Web và nhiều khi các nhà cung cấp ứng dụng tạo ra doanh thu trực tiếp từ việc sử dụng dịch vụ.
Tầng nền tảng dịch vụ: đây là tầng cơ sở hạ tầng ứng dụng được hiểu như là một tập hợp các dịch vụ. Nhưng các dịch vụ này không trực tiếp giao tiếp với khách hàng, người dùng. Nói cách khác, các dịch vụ ở tầng này được dành để hỗ trợ cho các ứng dụng. Các ứng dụng này có thể đang chạy trong đám mây và chúng có thể đang chạy trong một trung tâm dữ liệu của doanh nghiệp. Để đạt được khả năng mở rộng cần thiết trong một đám mây, các dịch vụ khác nhau được đưa ra ở đây thường được ảo hóa.
Tầng cơ sở hạ tầng: tầng đáy của đám mây là tầng các dịch vụ cơ sở hạ tầng. Tầng này chứa đựng một tập hợp các thiết bị vật lí như các máy chủ, các thiết bị mạng và các đĩa lưu trữ được đưa ra như là các dịch vụ được cung cấp cho người tiêu dùng. Các dịch vụ ở đây hỗ trợ cơ sở hạ tầng ứng dụng - bất kể cơ sở hạ tầng đó đang được cung cấp qua một đám mây hay không- và nhiều người tiêu dùng hơn. Cũng như tầng nền tảng dịch vụ, công nghệ ảo hóa là một giải pháp thường được sử dụng để tạo ra khả năng phân phối các nguồn tài nguyên theo yêu cầu.
Với sự lựa chọn một đám mây công cộng, một phần lớn mạng, hệ thống, ứng dụng và dữ liệu sẽ được chuyển đến bên cung cấp thứ ba để kiểm soát. Các đám mây dịch vụ chuyển mô hình sẽ tạo ra các đám mây ảo cũng như một mô hình bảo mật với trách nhiệm chia sẻ giữa khách hàng và nhà cung cấp dịch vụ đám mây (CSP).
Hình 2.2: Quản lý bảo mật và giám sát phân vùng
Mặc dù khách hàng có thể chuyển giao một số trách nhiệm hoạt động cho các nhà cung cấp, nhưng mức độ trách nhiệm khác nhau phụ thuộc vào nhiều yếu tố, bao gồm các mô hình cung cấp dịch vụ (SPI), nhà cung cấp các loại hợp đồng dịch vụ (SLA), và nhà cung cấp các khả năng đặc biệt để hỗ trợ các phần mở rộng của
Để bảo mật cho dữ liệu, các tổ chức công nghệ thông tin sử dụng khung quản lý bảo mật như ISO / IEC 27000 và thư viện cơ sở hạ tầng công nghệ thông tin (ITIL). Đó đều là các khung tiêu chuẩn sẽ hướng dẫn việc lập kế hoạch và thực hiện một chương trình quản trị nhà nước với quy trình quản lý bảo vệ tài sản thông tin. Các khung quản lý như ITIL sẽ giúp cải thiện dịch vụ liên tục khi cần thiết để sắp xếp và tổ chức lại các dịch vụ công nghệ thông tin phục vụ cho nhu cầu kinh doanh ngày càng thay đổi.
Trong một thời gian ngắn, quản lý bảo mật là một quá trình liên tục và sẽ liên quan nhiều đến quản lý bảo mật đám mây.
Mục đích của khuôn khổ quản lý bảo mật ITIL được chia thành hai phần: - Thực hiện các yêu cầu an ninh : các yêu cầu về bảo mật thường được quy định trong SLA cũng như các yêu cầu bên ngoài, nó được quy định trong hợp đồng cơ sở, pháp luật, và trong chính sách nội bộ hay chính sách bên ngoài.
- Thực hiện cấp độ bảo mật cơ bản : điều này là cần thiết để đảm bảo tính an toàn và liên tục của tổ chức.
Việc thành lập các quy trình quản lý bảo mật cũng liên kết với một tổ chức về các chính sách và tiêu chuẩn công nghệ thông tin, với mục tiêu bảo vệ bí mật, toàn vẹn và sẵn có của thông tin. Hình dưới minh hoạc các vòng đời ITIL trong một doanh nghiệp, quản lý bảo mật tuân theo tiêu chuẩn ISO và các chức năng ITIL.
Hình 2.3: Minh họa vòng đời ITIL trong một doanh nghiệp