從云計算到云安全的安全發(fā)展之路
“云計算”一詞正在變身一只超大容量的筐,SOA、虛擬化、SaaS、網(wǎng)絡(luò)服務(wù)、網(wǎng)格都能往里裝。而對計算本身而言,“云”模式讓網(wǎng)絡(luò)成為一個界面,一個標(biāo)準(zhǔn)交流插座,而這正是新一輪技術(shù)創(chuàng)新的動力。
云計算(Cloud Computing)正在成為技術(shù)界的行話甚至暗語。不僅Google、IBM、微軟和雅虎等大公司是云計算的擁躉,規(guī)模較小的公司也在逐漸向其靠攏。CRM軟件在線服務(wù)提供商Salesforce.com開始稱自己為云計算應(yīng)用,而在此前它的定位是“取代傳統(tǒng)軟件交付”的SaaS(軟件即服務(wù))模式;Facebook(www.Facebook.cn)干脆宣稱自身是云計算平臺,開發(fā)人員可以在平臺上開發(fā)應(yīng)用并在這個平臺上分發(fā)這些應(yīng)用。
“真的,我們沒有創(chuàng)造存儲、數(shù)據(jù)庫、計算機或數(shù)據(jù)庫功能,只是提供一種較為經(jīng)濟的數(shù)據(jù)處理途徑?!眮嗰R遜網(wǎng)絡(luò)服務(wù)資深副總裁安迪·杰西說。他的部門創(chuàng)建于2006年,是云計算基礎(chǔ)架構(gòu)服務(wù)提供者里的先行者,《紐約時報》利用這項名為“彈性計算云”(Elastic Compute Cloud)的服務(wù)在互聯(lián)網(wǎng)上提供1851年到1922年間的該報版本。
簡單說來,云計算意味著計算資源的獲得、處理、存儲,信息傳遞和數(shù)據(jù)庫都來自公司本身的四堵墻之外,而用戶只需為自己使用的那部分資源埋單。在過去數(shù)年,這種計算模式也被叫做網(wǎng)格(Grid Net)或效用計算(Utility Computing)—在需要的時候接入它,就像使用電力網(wǎng)絡(luò)或者自來水一樣,并且只為使用的那一部分付費。同時,它的應(yīng)用邊際成功擴張到SOA、虛擬化、SaaS、網(wǎng)絡(luò)服務(wù)等等領(lǐng)域。
無所不能的“云”?
就像MP3播放器殺死CD碟片,云計算的產(chǎn)生必然會打破舊有的計算模式,并引發(fā)在此基礎(chǔ)上“無所不能”的熱切狂想:有了高速互聯(lián)網(wǎng)接入、近乎無限的存儲空間,集結(jié)的處理能力,還有什么不能做?
6月24日一天內(nèi),IBM同時在中國和南非的約翰內(nèi)斯堡成立了兩家云計算中心。在IBM的計劃中,今年年底全球要建成至少10家云計算中心。IBM把自己的創(chuàng)意稱為“藍云(Blue Cloud)”,目前至少有200位研究員專注于云計算的工作。
“隨著時間的流逝,一些老東西又以新的面貌出現(xiàn)了。”IBM全球創(chuàng)新與技術(shù)執(zhí)行副總裁Nickolas Donofrio感嘆。近幾年,IBM在數(shù)據(jù)中心高效運行方面做了很多努力,如網(wǎng)格計算集中了桌面電腦和其他設(shè)備,用戶擴展橫跨很多機器的計算工作,并且使編程更加簡單。在有了遠遠超出當(dāng)年的網(wǎng)絡(luò)帶寬和虛擬化技術(shù)之后,網(wǎng)格等技術(shù)借助云計算得以發(fā)揚光大?!皬哪撤N意義上說,云計算是網(wǎng)格計算模型自然而然的進一步發(fā)展。”IDC分析師Frank Gens認為,“所不同的是,Google的編程模式以及它真正的開放性—普通人也可以編寫應(yīng)用程序,而不必非得是斯坦?;蛘呖突仿〈髮W(xué)的博士?!?/P>
一個展示云計算魅力的生動例子來自于Animoto,這個成立于紐約、僅18個月的公司,允許客戶上傳他們的圖片和音樂并提供自動生成定制的基于網(wǎng)絡(luò)的視頻展示服務(wù),人們可以和他們的朋友分享這些視頻,每天約有5000個訪客使用這項服務(wù)。
今年4月中旬,F(xiàn)acebook的用戶對這個應(yīng)用產(chǎn)生的興趣出現(xiàn)了一個小小的高潮,三天時間里有約75萬人在Animoto上進行了注冊。在高峰期,每小時約有兩萬五千人使用Animoto的服務(wù)。
為了填補服務(wù)器的需求缺口,這家公司需要在現(xiàn)有基礎(chǔ)上對服務(wù)器擴容100倍。但創(chuàng)辦人既沒有資金進行如此規(guī)模的服務(wù)器擴容,也沒有技術(shù)能力和興趣來管理這些服務(wù)器。
所以,他們開始和Rightscale—一家位于加利福尼亞圣塔芭芭拉的云計算服務(wù)供應(yīng)商合作,這家公司為亞馬遜的云計算設(shè)計應(yīng)用軟件。通過這個合作,Animoto只需為應(yīng)付三天的流量激增付費,并且不需購買或配置任何新的服務(wù)器。它把負載交給亞馬遜承擔(dān),一臺服務(wù)器一小時的費用只有約10美分,包含了帶寬,存儲和相關(guān)服務(wù)帶來的一些邊際成本。當(dāng)服務(wù)器需求下降時,Animoto自動降低他們的服務(wù)器使用,也降低了他們的賬單。
像Facebook一樣把快速反應(yīng)的能力和新銷售和市場渠道結(jié)合在一起正是引起軟件企業(yè)對云計算產(chǎn)生濃厚興趣的原因。這甚至對那些非軟件行業(yè)的公司也適用—傳統(tǒng)公司也正在改動他們的計算機架構(gòu)以使用云計算。
“事實上,云計算對技術(shù)產(chǎn)生的作用就像電力網(wǎng)絡(luò)對電力應(yīng)用產(chǎn)生的作用”,《哈佛商業(yè)評論》前執(zhí)行主編Nick Carr在新書《大轉(zhuǎn)換》(The Big Switch)中比較了云計算和電力網(wǎng)絡(luò)的發(fā)展。電力網(wǎng)絡(luò)改進了公司的運行,當(dāng)每個家庭都擁有便宜的能源和接入時,“就有了令人難以置信的創(chuàng)造力來利用這些便宜的能源,”Carr 說。他認為云計算也會在下一個十年促成和電力網(wǎng)絡(luò)發(fā)展類似的循環(huán)。
安全在“云端”
從理論上講,云計算的強大數(shù)據(jù)運算與同步調(diào)度能力,可以極大的提升安全公司對新威脅的響應(yīng)速度,同時第一時間將補丁或安全策略分發(fā)到各個分支節(jié)點。
趨勢科技全球副總裁暨大中華區(qū)執(zhí)行總裁張偉欽表示,趨勢早在三年前就開始關(guān)注云計算模式,探索如何將客戶端日漸龐大的資料庫擺在云端。
對于傳統(tǒng)反病毒廠商而言,云計算的引入可以極大的提升其對病毒樣本的收集能力,減少威脅的響應(yīng)時間。趨勢科技、瑞星都已經(jīng)打出了“安全云”計算口號,網(wǎng)絡(luò)安全廠商Websense在惡意代碼收集及應(yīng)急響應(yīng)方面也充分利用了云計算的特征,其在全球范圍部署的蜜罐和網(wǎng)格計算的緊密結(jié)合,可以及時應(yīng)對網(wǎng)絡(luò)中不斷出現(xiàn)的新型攻擊行為,為其規(guī)則庫的及時更新提供了有力的支持。
實施安全云計算的前提是快速高效的收集用戶的安全威脅。通過云計算的實施數(shù)據(jù)分析,來響應(yīng)用戶的安全需求。那么如何快速準(zhǔn)確的收集用戶的異常信息,成為安全云計算實施的第一個難題。
趨勢科技借助威脅信息匯總的全球網(wǎng)絡(luò),在Web威脅到達網(wǎng)絡(luò)或計算機之前對其予以攔截。包括微軟在內(nèi),幾乎所有的安全廠商都對用戶的終端設(shè)備使用情況進行實時的跟蹤。
同時,為了便于更加準(zhǔn)確快速的獲取信息,賽門鐵克、趨勢等廠商設(shè)立專門的“蜜罐系統(tǒng)”,來廣泛收集網(wǎng)絡(luò)中存在的攻擊行為,“蜜罐+網(wǎng)格計算”的架構(gòu)被認為是云計算的一種簡單實現(xiàn)。
Forrester Research的分析師指出,云計算是一個具備高度擴展性和管理性并能夠勝任終端用戶應(yīng)用軟件計算基礎(chǔ)架構(gòu)的系統(tǒng)池。但如果每個云的基礎(chǔ)架構(gòu)都是與眾不同的,假如基礎(chǔ)架構(gòu)要應(yīng)用虛擬化技術(shù),如何解決許可證授權(quán)成為實施云計算需要思考的問題。同時,需要解決云計算特權(quán)用戶的訪問權(quán)限,數(shù)據(jù)存儲以及數(shù)據(jù)隔離等現(xiàn)實問題。
市場研究公司Gartner稱,安全軟件將從PC端點轉(zhuǎn)向云計算。在未來五年里,基于云計算的電子郵件和即時消息中惡意軟件和垃圾信息檢測收入占全部消息安全收入的比例將從目前的20%提高到60%。
安全公司賽門鐵克也預(yù)測了這種轉(zhuǎn)變,家庭用戶和企業(yè)用戶將從在單個電腦上安裝安全軟件轉(zhuǎn)向通過遠程計算機在線訪問安全服務(wù)。賽門鐵克稱,企業(yè)已經(jīng)在使用代理安全服務(wù)器來減少安全軟件對性能的影響。
基于云計算的代理計算機能夠提供過去在本地執(zhí)行的安全服務(wù),如強制進行身份識別、防止數(shù)據(jù)丟失、入侵檢測、網(wǎng)絡(luò)接入控制和安全漏洞管理等。
Gartner分析師Kelly Kavanagh稱,在云計算中提供大規(guī)模可升級的處理、存儲和帶寬的能力將要求以新的方式和由新的服務(wù)提供商向用戶提供安全控制和功能。
云的隱憂
然而一些實際問題仍然可能會把“云”變成“雨”。
Carr在《大轉(zhuǎn)換》中也描繪了云計算不太光明的一面。他認為計算器既是解放的技術(shù),又是控制的技術(shù)。尤其是當(dāng)系統(tǒng)變得更加集中化時,個人數(shù)據(jù)被越來越多地暴露;數(shù)據(jù)挖掘軟件越來越專業(yè)時,控制之手將占上風(fēng),系統(tǒng)將變成監(jiān)視和操控人類的絕佳機器。
谷歌的隱私政策規(guī)定:如果該公司“善意地理由”必須提供相關(guān)數(shù)據(jù),以滿足“任何可適用的法律、法規(guī)、法律程序或者強制執(zhí)行的政府要求”,那么它將與政府共享數(shù)據(jù)。谷歌的產(chǎn)品管理主管Scott Petry說:“我們在對待客戶的數(shù)據(jù)時,投入的審計和監(jiān)管力度比許多顧客自己還要來得大。但如果我們接到傳票,就會按法辦事?!彼a充說,在某些情況下,傳票可以是“保密的”,也就是說,谷歌公司可以按照法律不用告知用戶他們的數(shù)據(jù)提供給了政府。
Gartner咨詢公司副總裁兼分析家David Cearley表示,“使用云計算的局限是企業(yè)必須認真對待的敏感問題,企業(yè)必須對云計算發(fā)揮作用的時間和地點所產(chǎn)生的風(fēng)險加以衡量?!逼髽I(yè)通過減少對某些數(shù)據(jù)的控制,來節(jié)約經(jīng)濟成本,意味著可能要把企業(yè)信息、客戶信息等敏感的商業(yè)數(shù)據(jù)存放到云計算服務(wù)提供商的手中,對于信息管理者而言,他們必須對這種交易是否值得做出選擇。
最近一系列影響較大的網(wǎng)絡(luò)故障,讓人們對云計算的可靠性產(chǎn)生了實質(zhì)性的擔(dān)憂。今年2月和7月,亞馬遜的“簡單存儲服務(wù)”(Simple Storage Service,簡稱S3)兩次中斷,導(dǎo)致依賴于網(wǎng)絡(luò)單一存儲服務(wù)的網(wǎng)站被迫癱瘓。亞馬遜解釋服務(wù)中斷是鑒定請求的數(shù)量增多造成的,S3問題阻止了新虛擬機在計算云上的注冊,以至于有些虛擬機無法啟動。對這些處于初創(chuàng)期、公司的用戶黏性還不大的企業(yè)來說,網(wǎng)站癱瘓的損失極易動搖他們的信心。
今年7月,被認為將要取代微軟Office等傳統(tǒng)應(yīng)用程序的Google Apps(在線辦公應(yīng)用軟件)中斷服務(wù),用戶的文件只能“呆”在“云”中;8月,Google的云計算服務(wù)出現(xiàn)嚴重問題,Blogger和Spreadsheet等服務(wù)均長時間當(dāng)機,Gmail服務(wù)兩周內(nèi)三次停擺,不滿的用戶紛紛到Twitter網(wǎng)站上發(fā)出抱怨。經(jīng)Google調(diào)查,這主要是因為Gmail所用的聯(lián)系人系統(tǒng)存在儲運損耗問題,從而導(dǎo)致Gmail郵箱無法正常下載數(shù)據(jù)。
云計算模式下,所有的業(yè)務(wù)處理都將在服務(wù)器端完成,服務(wù)器一旦出現(xiàn)問題,就將導(dǎo)致所有用戶的應(yīng)用無法運行,數(shù)據(jù)無法訪問。由于網(wǎng)絡(luò)工程師的及時修復(fù),解決云故障的時間并不長,然而足以作為一個對云計算的警示。畢竟這些云服務(wù)的規(guī)模十分龐大,在出現(xiàn)問題之后,很容易導(dǎo)致網(wǎng)民對于云計算模式的懷疑,動搖用戶對云服務(wù)的信心。由此可見,如果云計算的可靠性和安全性的軟肋不能很好解決的話,云計算的普及仍有很長一段路要走。
云層解憂
針對云計算的合理成本、可靠性以及安全性,Google Apps業(yè)務(wù)開發(fā)經(jīng)理Jeff Keltner反駁道:“人們認為駕駛自己的汽車要比乘坐飛機更舒適,但是統(tǒng)計數(shù)字顯示乘坐飛機更加安全。當(dāng)我們想到云計算的時候,應(yīng)該把云計算的風(fēng)險與現(xiàn)有業(yè)務(wù)環(huán)境的風(fēng)險做一個對比。”
但美國利福尼亞州公用事業(yè)委員會的CIO Carolyn Lawson顯然不同意這一觀點——“從政府的角度來講,我們不會將所有的數(shù)據(jù)信息都遷移到‘云’中,因為我們的數(shù)據(jù)包括個人社會保障號碼、駕駛執(zhí)照、還有子女信息等等,公眾把他們的個人信息交給我們希望我們能夠很好的保護這些信息。如果我們將這些信息交給一家云計算公司,而這家公司非法將這些信息出售的話,我們該怎么解決?我們要承擔(dān)這個責(zé)任。”
在現(xiàn)階段,云計算模式似乎更加適合那些因為新項目而緊急需要計算處理能力的用戶,他們可以調(diào)動云環(huán)境中的所有計算實例,而且在不需要的時候關(guān)閉這些應(yīng)用。
另一方面,“云”應(yīng)用也是某些行業(yè)和用戶不得以選擇的道路。在殺毒軟件領(lǐng)域,爆發(fā)式的病毒傳播速度讓原來架設(shè)在用戶終端的病毒庫不堪重負?!叭绾谓鉀Q每3秒鐘一只新病毒的問題,是趨勢當(dāng)初走上云端技術(shù)的原因。如果單純走傳統(tǒng)的方法,我們覺得沒有辦法解決問題?!睆垈J說。
從習(xí)慣上來說,發(fā)達國家的多數(shù)企業(yè)已經(jīng)擁有依賴于傳統(tǒng)的硬件、軟件和常規(guī)的工作方式的基礎(chǔ)設(shè)施,一些企業(yè)對于現(xiàn)有本地數(shù)據(jù)和業(yè)務(wù),甚至已經(jīng)建立了本地的數(shù)據(jù)中心;在東南亞、印度、中國等地,中小企業(yè)很少擁有復(fù)雜的客戶機/服務(wù)器基礎(chǔ)設(shè)施。而且,服務(wù)器的價格在持續(xù)下降,繼續(xù)使用價格便宜的傳統(tǒng)設(shè)備架構(gòu)并不是不可以。
自云計算問世那天起,質(zhì)疑之聲一刻也沒有平息。盡管人們存在這樣那樣的疑慮,但我們把它歸結(jié)為善意的質(zhì)疑。畢竟,云計算還只是處于初級階段,有著諸多不足,遇到很多困難和挑戰(zhàn)多于直接利益,但是如果輕易地否定它,無異于拒絕信息時代的新發(fā)展,扼殺了一棵正在崛起的幼苗。云計算存在著許多安全風(fēng)險,并不是要勸說用戶不要使用云計算。對用戶而言,更重要的是在云計算下增強安全意識,清楚地認識到風(fēng)險,并采取必要的防范措施來確保安全。
云的傳承
云計算宣告了以設(shè)備為中心計算時代的終結(jié),取而代之的是以互聯(lián)為中心的計算方式。但是并非只停留在空中,靠嘩眾取寵來贏得贊譽。由于云計算與公用計算、按需計算等概念非常相似,不少人把它們混為一談。其實,但是從基礎(chǔ)層面看,云的容量更加博大,云計算環(huán)境可能實際存在于網(wǎng)格中,存在于公用計算環(huán)境中,或存在于按需計算中,但這對服務(wù)的用戶來說,可能并不重要,他們不一定知道云在哪里,但是卻可以很方便地拿來用。
云計算的演進,大致經(jīng)歷了網(wǎng)格計算,公用計算,軟件即服務(wù)三個階段。上個世紀80年代,網(wǎng)格計算伴隨著互聯(lián)網(wǎng)技術(shù)而迅速發(fā)展起來。它利用互聯(lián)網(wǎng)把分散的電腦組成一個“虛擬的超級計算機”,每一臺參與計算的計算機構(gòu)成一個“節(jié)點”,而整個計算是由成千上萬的“節(jié)點”組成一張“網(wǎng)格”,提供此前無法完成的新服務(wù)??梢哉f,網(wǎng)格計算第一次把IT計算世界推向了資源與服務(wù)。
上世紀末,虛擬化逐步由概念走向了應(yīng)用層次,公用計算應(yīng)運而生。它利用將網(wǎng)格計算統(tǒng)領(lǐng)的計算機集群作為虛擬平臺,采用可計量的業(yè)務(wù)模式進行計算。通過公用計算服務(wù),包括硬件、軟件在內(nèi)的所有計算資源都由服務(wù)提供商提供,客戶只需通過專有網(wǎng)絡(luò)或Internet訪問所需資源并按照實際使用情況付費即可。其中,計費的項目包括CPU時間、存儲容量、軟件使用等。
作為一種完全創(chuàng)新的軟件應(yīng)用模式,SaaS開始蓬勃發(fā)展。用戶不用再購買軟件,而是根據(jù)自己的實際需求,向提供商租用基于Web的軟件,來管理企業(yè)經(jīng)營活動。SaaS供應(yīng)商在向客戶提供互聯(lián)網(wǎng)應(yīng)用的同時,也提供軟件的離線操作和本地數(shù)據(jù)存儲,讓用戶隨時隨地都可以使用其定購的軟件和服務(wù)。與公用計算不同,它不是按消耗的資源收費,而是根據(jù)向訂戶提供的應(yīng)用程序的價值收費。
縱觀云計算的演進,其中公用計算往往也需要類似“云”那樣的基礎(chǔ)架構(gòu),但它的重點在于商業(yè)模式,企業(yè)只為他們真正需要時所使用的計算資源付費。隨著SaaS軟件客戶的增長,客戶消耗的網(wǎng)絡(luò)存儲和帶寬基礎(chǔ)等資源越來越多,迫使SaaS供應(yīng)商提供更多的硬件資源。這時,云計算廣闊的網(wǎng)絡(luò)資源便成了SaaS增加容量的不二之選。
傳統(tǒng)的數(shù)據(jù)中心對能源,冷卻系統(tǒng)和服務(wù)器機架的需求正超出大多數(shù)機構(gòu)的IT資源能力。那些對于運算能力需求的增長遠大于摩爾定律的紅移(Redshift)機構(gòu),正在將它們龐大的計算資源提供給所有人,從而避免機構(gòu)單獨擁有和控制非常龐大和昂貴的數(shù)據(jù)中心。在拋出紅移理論后,Sun迅速挖掘到了自己的“長尾”——數(shù)據(jù)倉庫,網(wǎng)格計算等高性能計算將是很普通的事。這一發(fā)現(xiàn)也令暮色中的Sun重新煥發(fā)出活力,并調(diào)整策略,繼續(xù)在高性能計算方向有所突破,在為數(shù)目穩(wěn)定的大型客戶服務(wù)之外拓展另一極的市場。
Sun的Papadopoulos用能源公用事業(yè)比喻這個問題的解決:正如機構(gòu)從自己發(fā)電轉(zhuǎn)向從電網(wǎng)購買電力。他建議,計算應(yīng)該是一個公共資源,機構(gòu)從一個相當(dāng)“電網(wǎng)”的地方采購他們所需的數(shù)據(jù)處理服務(wù),而不是擁有自己的數(shù)據(jù)中心。
可以說,網(wǎng)格計算邁出了充分利用計算機資源并進行整合的第一步,為云計算奠定了技術(shù)基礎(chǔ);公用計算將整合后的計算資源作為可計量的業(yè)務(wù),為云計算的商業(yè)模式提供了可能性;而SaaS這種按需計費的應(yīng)用,為云計算模式提供了典型的案例。相信有了以上幾個方面的積累,加上微軟、雅虎、IBM等IT巨頭的探索、研究,一旦業(yè)界找到較為完善的安全保障解決方案,云計算的普及應(yīng)用風(fēng)潮將勢不可擋。
評論