无资产支出

更敏捷

无限的规模

提升资源利用率

客户可控制的迁移（镜像可迁移）

弹性（业务峰值时可以弹性支出，峰值过后，可以回收）

按用量付费

卷存储：虚拟磁盘

裸存储：存储阵列柜

保护云基础设施：

云计算基础设施安全：openstack

基本基础设施-责任由云提供者承担

虚拟基础设施-责任在消费者这（虚拟机管理程序）：QM，

管理平面-管理后台

控制器：API服务器、消息队列、数据库

网络：SDN管理器、DHCP、安全组

计算：虚拟机管理程序

存储：卷管理、裸存储

所有的这些核心组件都需要安全的配置、打补丁、加固和维护

加固主机（WAF/IPS/停掉不必要的服务）、加固基础设施服务（多做副本、负载均衡、VPC）、安全网络、加固管理平面（登陆多因素认证）

Iaas基础网络：管理网络、存储网络、服务网络

实现物理隔离

SDN 软件定义网络：可以实现有效的安全屏障、实现了控制平面与底层硬件的解耦OpenFlow，几乎所有的实现都支持api，不需要考虑硬件、无兼容性问题

数据转发和控制分离将基础硬件与业务实现分离, 其硬件仅负责数据转发和存储 , 因此可以采用相对廉价的通用设备构建网络基础设施。且将控制与转发分离后，更利于网络的集中控制，使得控制层获得网络资源的全局信息，并根据业务需求进行资源的全局调配和优化，例如流量工程、负载均衡等。

爆炸半径BOOM：使用多账户隔离控制

虚机导致网络可见性缺失，可以把网络流量路由到物理网络上

堡垒网络/账号混合

SDP 软件定义边界

最小化对限制弹性或性能的虚拟设备的依赖

保护计算工作负载：

不可变基础设施

尽可能利用不可变的工作负载

管理平面安全：身份验证、访问控制、日志/监控

DRP/BCP：混沌工程是随机关掉一些server，看是不是会影响到整个网络