一.什麼是雲計算
簡單地講,雲計算就是Internet爲中心的軟件。這個軟件需要動態改變的訪問資源與服務,應用和服務請求的資源來自“雲”,而不是固定的有形的實體。雲就是一些可以自我維護和管理的虛擬資源。
雲計算的基本原理是,通過使計算分佈在大量的分佈式計算機上,而非本地計算機或遠程服務器中,企業數據中心的運行將更與互聯網相似。這使得企業能夠將資源切換到需要的應用上,根據需求訪問計算機和存儲系統。
這可是一種革命性的舉措,打個比方,這就好比是從古老的單臺發電機模式轉向了電廠集中供電的模式。它意味着計算能力也可以作爲一種商品進行流通,就像煤氣、水電一樣,取用方便,費用低廉。最大的不同在於,它是通過互聯網進行傳輸的。
雲計算的藍圖已經呼之欲出:在未來,只需要一臺筆記本或者一個手機,就可以通過網絡服務來實現我們需要的一切,甚至包括超級計算這樣的任務。從這個角度而言,最終用戶纔是雲計算的真正擁有者。
雲計算的應用包含這樣的一種思想,把力量聯合起來,給其中的每一個成員使用。
從最根本的意義來說,雲計算就是利用互聯網上的軟件和數據的能力。
對於雲計算, 李開復(現任Google全球副總裁、中國區總裁)打了一個形象的比喻:錢莊。 最早人們只是把錢放在枕頭底下,後來有了錢莊,很安全,不過兌現起來比較麻煩。現在發展到銀行可以到任何一個網點取錢,甚至通過ATM,或者國外的渠道。就像用電不需要家家裝備發電機,直接從電力公司購買一樣。
“雲計算”帶來的就是這樣一種變革——由谷歌、IBM這樣的專業網絡公司來搭建計算機存儲、運算中心,用戶通過一根網線藉助瀏覽器就可以很方便的訪問,把“雲”做爲資料存儲以及應用服務的中心。
二.雲計算的特點
首先,雲計算提供了最可靠、最安全的數據存儲中心,用戶不用再擔心數據丟失、病毒入侵等麻煩。
其次,雲計算對用戶端的設備要求最低,使用起來也最方便。
此外,雲計算可以輕鬆實現不同設備間的數據與應用共享。
最後,雲計算爲我們使用網絡提供了幾乎無限多的可能,爲存儲和管理數據提供了幾乎無限多的空間,也爲我們完成各類應用提供了幾乎無限強大的計算能力。
三.雲計算的優點
1、數據集中存儲
減少數據泄露:這也是雲服務供應商談論最多的一個。在雲計算出現之前,數據常常很容易被泄露,尤其是便攜筆記本電腦的失竊成爲數據泄露的最大因素之一。爲此需要添置額外備份磁碟機,以防數據外泄。而且隨着雲技術的不斷普及,數據“地雷”也將會大爲減少。掌上電腦或者Netbook的小量、即時性的數據傳輸,也遠比筆記本電腦批量傳輸所面臨的風險小。你可以問任何一家大公司的信息安全管理人員(Certified Information Security Office,簡稱CISO),是不是所有的筆記本電腦都安裝有公司授權的安全技術,比如磁盤加密技術(Full Disk Encryption),他們會告訴你這是不大現實的。儘管在資產管理和數據安全上投入了不少精力,但是他們還是面臨不少窘境和困難,更何況那些中小企業?那些使用數據加密或者對重要數據分開存儲的企業,可以說少之又少。
可靠的安全監測:數據集中存儲更容易實現安全監測。如果數據被盜,後果不堪想象。通過存儲在一個或者若干個數據中心,數據中心的管理者可以對數據進行統一管理,負責資源的分配、負載的均衡、軟件的部署、安全的控制,並擁有更可靠的安全實時監測,同時,還可以降低使用者成本。
2、事件快速反應
取證準備:在必要的時候,我可以利用基礎架構即服務(Infrastructure-as-a-Service,簡稱IaaS)供應商提供的條件,爲自己公司建立一個專門的取證服務器。當事件發生需要取證時,我只需要支付在線存儲所產生的費用。而不需要額外配置人員去管理遠程登陸及其軟件,而我所要做的,就是點擊雲提供商Web界面中的一些按鈕即可。如果一旦產生多個事件反應,我可以先複製一份,並把這些取證工作分發到不同部門或者人員手中,然後進行快速分析並得出結論。不過,爲了充分發揮這項功能,取證軟件供應商需要由過去傳統的軟件授權許可轉變到新型網絡許可模式。
縮短取證時間:如果有某個服務器在雲中出現了故障,我只要在雲客戶端點擊鼠標,克隆該服務器並使得克隆後的服務器磁盤對取證服務器開放。我根本不需要臨時尋找存儲設備,並花時間等待其啓動並進入使用狀態,從而,大大縮短取證時間。
降低服務器出錯概率:和剛纔講述的情況類似,即使有某臺服務器出現故障,也可以在極短時間內,快速克隆並擁有全新的服務器供使用。另外,在某些情況下,更換出故障的硬件也不會影響到取證的正常進行。
取證更有針對性:在同一個雲中,擁有克隆服務器的速度會快很多——克隆服務器可以更快的速度分發雲提供商專門設計的文件系統。如果從網絡流量角度來看的話,在同一個雲中的服務器副本,可能並不會產生額外的費用。而如果沒有云的話,要實現同樣的目的,需要花費大量寶貴的時間和昂貴的硬件成本。在雲環境下,我只需要對有用的取證支付存儲費用。
隱藏取證痕跡:有一些雲存儲可以執行加密校驗和散列( hash)。比如,Amazon S3 會在你存儲數據的時候自動生成一個MD5 散列(hash)。在理論上,你也並不需要浪費時間去使用外部工具生成MD5加密校驗,因爲雲已經完全具備這些功能。
縮短存取受保護數據時間:現在CPU性能已經十分強大。保護數據的密碼,需要花費很長時間來檢驗,而現在雲環境下配置強大的CPU,可以在短時間更大範圍內檢驗出保護數據的密碼性能。從而,批量處理受保護數據的存取工作也會變得簡易快速
3、密碼可靠性測試
減少密碼破解時間:如果你的公司需要使用密碼破解工具定期對密碼強度進行測試,那麼你可以使用雲計算減少密碼破解時間,並更能保證密碼強度的可靠性,而你只需要支付相關費用即可。
密碼破解專用機器:如果你使用分佈式密碼破解測試密碼強度的話,工作量會波及到很多相關機器,從而影響使用效率。在雲條件下,你可以設立密碼破解專用機器,這樣一來,既可以提供工作效率,又可以減少敏感數據外泄和工作超負荷的發生。
4、日誌
無限期記錄,按次數收費:日誌往往都是事後的,如果磁盤空間不足,可以重新分配,並不會影響日誌的存儲使用。雲存儲可以幫你隨心所欲地記錄你想要的標準日誌,而且沒有日期限制,你所需要的也僅僅是按使用量支付費用。
完善日誌索引機制:在雲計算中,你可以根據你的日誌實現實時索引,並享受到instant search帶來的好處。如果需要,還可以根據日誌記錄探測到計算機的動態信息,輕鬆實現實時監測。
符合擴展日誌記錄:現在,大部分的操作系統都使用C2審覈跟蹤模式支持擴展日誌記錄,這種方式能夠保證系統能夠保護資源並具有足夠的審覈能力,C2模式還允許我們監視對所有數據庫的所有訪問企圖。現在,我們在雲環境下更容易實現這一目的,而且Granular logging也會讓取證調查變得更加容易。
5、提升安全軟件的性能
需求是前進的動力:CPU更新換代步伐越來越快。如果處理器性能成爲機器運行瓶頸,那麼用戶必然會把目光投向更昂貴的CPU。同樣的情況,安全產品廠商也明白這個道理。相信在雲計算中,會出現越來越多的高性能安全軟件,也可以在某種程度上說,雲帶來了安全產品的整體提升。
6、可靠的構造
預控制機制:基於雲計算的虛擬化能夠獲得更多的好處。你可以自定義“安全”或者“可靠”的狀態,並且創建屬於自己的VM鏡像同時不被克隆。不過,需要指出的是這可能要求有第三方工具的配合。
減少漏洞:通過離線安裝補丁,可以極大減少系統漏洞。鏡像可以在安全的狀態下做到實時同步,而即使離線VM也可以很方便地在斷網情況下安上補丁。
更容易檢測到安全狀況:這是個很重要的方面。通過你的工作環境的一個副本,可以更低的成本和更少的時間執行安全檢測。這可以說,在安全工作環境上前進了一大步。
7、安全性測試
降低安全測試成本:SaaS供應商只承擔他們安全測試成本中的一部分。通過共享相同的應用程序服務,你可以節省不少昂貴的安全性測試費用。甚至通過軟件即服務(Platform as a Service ,PaaS),也可以讓你的軟件開發人員在潛在成本規模經濟下撰寫程序代碼( 尤其是利用掃描工具掃描安全漏洞的程序編碼)。
四.雲計算的不足
Gartner公司的兩名分析師Jay Heiser和Mark Nicolett共同撰寫了《評估雲計算的安全風險》,這份報告列出了雲計算存在的許多危險因素。
他們想要傳達的主題倒不是建議公司不要使用雲計算。確切地說,公司在採用雲計算時要睜大眼睛,完全明白相關風險,並且採取必要的防範措施來確保安全,或者說盡量確保安全,這是由於雲計算具有“黑盒子”的性質,充滿了未知因素。
Heiser說:“要是人們對相關風險沒有顧慮,雲計算恐怕已經更加流行了。我認爲大多數潛在的用戶沒有真正認識到相關風險。他們都是直覺上覺得這是一種新技術;不應該草率對待。”
的確,高盛公司最近調查了CIO們對2009年的計劃,他們覺得明年的經濟形勢讓人不安。調查結果對雲計算服務來說不是什麼好兆頭:只有不到2%的調查對象把雲計算列爲優先考慮的項目。
雲計算的衆多安全問題足以讓人提出這樣一個問題:難道我們就不能繼續使用那種傳統而可靠的客戶機/服務器架構嗎?畢竟,服務器的價格在一路下滑,毫無止跌的勢頭,而從事維護工作的IT員工勢必不會像過去那樣領取高得離譜的薪水。爲什麼要尋求外界的幫助呢?
Heiser認爲,儘管存在這些那樣的懷疑,但云計算這股潮流確實有潛力改變行業。這趟列車已經駛離了車站,儘管CIO們被經濟衰退嚇破了膽。簡而言之,雲計算可以大幅節省成本,顯著提高效率和靈活性,優點實在太明顯了,以至人們沒法忽視它。
Heiser說:“雲計算基本上是經濟可行的,不過存在便利問題。”
“這存在一個控制問題。我把雲計算與消費化歸爲一類,這是表明最終用戶如何從IT部門手裏奪取主動權的另一個例子。如果他們不喜歡IT部門提供的方案,就會出去、自行購買。”
比方說,“一心想擺脫IT部門、自行部署CRM的銷售經理在很大程度上促進了Salesforce.com的迅猛發展。”
另外,與斥資購買拆開包裝後就開始老化的服務器相比,購買雲計算服務更合人們的心意。Heiser說:“如果你購買雲計算服務,這只需要花費一筆小錢。如果你購買計算機之類的東西,那可是一筆大額投資。”
“所以同樣是花錢,但性質不同;人們喜歡花小錢辦大事。”
九大安全問題及相應對策
Heiser表示,要評估雲計算服務提供商,最實際的辦法就是請第三方來進行評估。牽涉的問題和顧慮實在太多了,所以要是內部開展所有工作可能會讓人望而生畏。讓這項工作難上加難的是,許多雲計算服務提供商一點也不透明。
他說:“打電話給谷歌公司,問一下對方的透明度如何。”他暗示答覆很可能這樣:“不是很透明”。“如果這樣,爲什麼你要信任對方呢?”
Heiser說:“我平時拿谷歌的透明度與Salesforce.com的透明度進行比較。我們強調,Salesforce早期在加強透明度方面確實作出過一番努力;我們其實沒有把谷歌當作是Salesforce的對立面,但它確實很不透明。”
如果你或者第三方在試着評估雲計算服務提供商,以下是要注意的一些問題,以及Gartner公司建議的相應對策。
1、特權用戶訪問
若使用雲計算,你的機密數據將由貴公司外面的人員來處理,所以可想而知:不是貴公司的員工完全可以訪問這些數據。
忠告:“要求提供商提供招聘及監管享有特權的管理員方面的具體信息以及控制訪問方面的具體信息。”
2、法規遵從
在《薩班斯-奧克斯利法案》當道的時代,公司有責任實施嚴格的數據監控和歸檔級別。即便一家公司與外部的雲計算服務提供商簽訂了合同,這些法規仍要求這家公司負有責任。雲計算服務提供商應當提交審計和安全方面的證書,確保對方能夠履行約定的承諾。
忠告:“如果雲計算提供商不願意或者沒能力做到遵從法規,這表明客戶只能用它們來處理最不重要的功能。”
3、數據位置
若使用雲計算,你不知道自己的數據到底存放在什麼地方。服務器可能建在馬來西亞、加拿大或者美國的新澤西州,說不定同時建在上述三個地方。
忠告:詢問提供商,他們是否願意給出合同承諾,遵守相關的一些隱私法?
4、數據隔離
當然,雲計算提供商會使用SSL來保護傳輸中的數據,但當貴公司的數據位於存儲設備中時,可能與其他公司的數據共用一隻“虛擬保管箱”。貴公司的數據與別人的數據經過適當隔離嗎?
提供商可能會誇耀自己的加密技術如何強大、安全。你會聽到密鑰長度有多長、採用哪種深奧的加密算法。不過,如果你的數據能夠被提供商讀取,那麼可以這麼認爲:數據也會被別人讀取。
忠告:“如果你的數據將採用加密格式來進行保存及備份,就要弄清楚誰有權訪問解密密鑰,貴公司的授權人員在緊急情況下是不是可以訪問本公司員工的數據。”
5、可用性
從理論上來說,如果你使用雲計算服務提供商,沒有必要擔心自己的數據會消失――這些提供商很容易採用冗餘機制把你的數據複製到衆多地方,這樣萬一系統崩潰,仍可以高枕無憂。
但你的員工能不能隨時訪問完成工作所需的數據呢?比方說,要是虛擬管道受到堵塞會怎樣?要是提供商自身出現的某種內部故障導致你無法訪問自己的關鍵數據,又會怎樣?
忠告:“公司應當爲任何重要的IT工作負載確定服務級別方面的要求,並且需要提供商簽訂服務級別協議,從而確保合同裏面寫明懲罰條款,以防出現服務級別協議未得到遵守的情況。”
6、災難恢復
希望最糟糕的永遠不會發生;任何重大的災難也不會發生在你、你的提供商或者整個世界頭上。但你的提供商必須爲此作好防備。
重要問題:你的提供商有能力進行全面恢復嗎?需要多少時間才能完成全面恢復?
7、調查支持
開展內部的法律調查向來就不是容易的事,因爲這需要清查可能散佈在實體位置和虛擬位置的大批文檔。如果你使用雲計算服務提供商,那麼開展這種調查更是困難重重:許多客戶的數據也許放在一塊兒,散佈在地點不斷變化的一系列數據中心。
忠告:“如果你得不到提供商的合同承諾來支持特定的幾種調查,又得不到證據表明對方曾經成功地支持這類工作,那麼你幾乎可以肯定,對方幾乎不可能滿足你要求的調查和發現。”
8、存活能力
你的提供商會被收購嗎?或者更糟糕的是,會破產嗎?如果是這樣,對方需要多久才能把數據交還給你、而且採用的格式讓你可以導入到另一家提供商的基礎設施上?
9、降低風險方面的支持
你的員工開始使用外部提供商時,會經歷一個學習過程。這家提供商提供的界面用起來多容易?提供商是否幫助你的管理人員設置監控政策?又採取了哪些措施來防範惡意軟件和網絡釣魚?