1. 云計算概述
2007年10月,google與IBM開始在美國大學校園,包括卡內基梅隆大學、麻省理工學院、斯坦福大學、加州大學柏克利分校及馬里蘭大學等,推廣云計算的計劃。
這項計劃希望能降低分布式計算技術在學術研究方面的成本,并為這些大學提供相關的軟硬件設備及技術支持(包括數百臺個人電腦及BladeCenter與System x服務器,這些計算平臺將提供1600個處理器,支持包括linux、Xen、Hadoop等開放源代碼平臺)。
而學生則可以通過網絡開發各項以大規模計算為基礎的研究計劃。
云計算經歷四個階段:電廠模式、效用計算、網格計算和云計算。
電廠模式階段:電廠模式就好比是利用電廠的規模效應,來降低電力的價格,并讓用戶使用起來更方便,且無需維護和購買任何發電設備。
效用計算階段:在1960年左右,當時計算設備的價格是非常高昂的,遠非普通企業、學校和機構所能承受,所以很多人產生了共享計算資源的想法。
1961年,人工智能之父麥肯錫在 一次會議上提出了“效用計算”這個概念,其核心借鑒了電廠模式,具體目標是整合分散在各地的服務器、存儲系統以及應用程序來共享給多個用戶,讓用戶能夠像 把燈泡插入燈座一樣來使用計算機資源,并且根據其所使用的量來付費。但由于當時整個IT產業還處于發展初期,很多強大的技術還未誕生,比如互聯網等,所以雖然這個想法一直為人稱道,但是總體而言“叫好不叫座”。
網格計算階段:網格計算研究如何把一個需要非常巨大的計算能力才能解決的問題分成許多小的部分,然后把這些部分分配給許多低性能的計算機來處理,最后把這些計算結果綜合起來攻克大問題。
可惜的是,由于網格計算在商業模式、技術和安全性方面的不足,使得其并沒有在工程界和商業界取得預期的成功。
云計算階段:云計算的核心與效用計算和網格計算非常類似,也是希望IT技術能像使用電力那樣方便,并且成本低廉。
但與效用計算和網格計算不同的是,現在在需求方面已經有了一定的規模,同時在技術方面也已經基本成熟了。云計算的概念模型如圖8-2所示。
(1) 虛擬化技術
虛擬化的目的在于集中IT管理任務,簡化運維流程與降低成本,同時改善企業計算資源有效利用率和可用性。使得企業更能夠快速響應商務需求以及提升競爭力。
簡單的來說,虛擬化就是改善傳統一臺物理服務器上運行一個應用程序的模式,讓物理服務器硬件及網絡資源能夠被充份的利用配置,使得一臺物理服務器上能夠運行多個互相獨立的虛擬機,并執行多個應用服務程序,如圖8-3所示云計算模式。
以較少的硬件資源實現更多更有效率的企業服務,節省總擁有成本。虛擬化可實現于私有云、混合云與共有云計算平臺上,取決于企業服務形態與需求。
虛擬機是一個由軟件實現,完全隔離的客操作系統(Guest OS),運行于原本的主操作系統(Host OS)中,并有獨立的計算環境。虛擬機就像物理機一樣,包含自己的CPU、內存(RAM)、外存(DISK)和網卡(NIC)等。
虛擬機完全是由軟件構成,就是一個或多個的文件所組成,完全沒有硬件組件。因此,虛擬機提供了企業IT環境更多的彈性與好處,尤其是更快的服務維護及部署和更簡單的備份管理。
除了虛擬化服務器之外,更進一步IT基礎架構及數據中心都可被虛擬化,使得企業可自動化整合IT基礎架構,通過計算資源分享達到更有成本效益的資源管理配置,提升整體企業運維的效率與彈性。
舉個簡單的例子,當企業在部署應用服務的時候,都會遇到這個問題:應該部署多少計算資源才能夠滿足各種情況下的服務訪問,配置太多不符合成本效益,因為80%的時間服務器都沒有被有效利用;配置太少又無法滿足在高峰期的使用者訪問,造成服務品質下降甚至服務中斷。
有了虛擬化基礎架構,所有計算資源可以共享,當有需要時虛擬機可及時開啟,自動化隨時調整響應企業服務需求。IT基礎架構的虛擬化(如圖8-4所示虛擬化基礎架構)也是由軟件來實現,提供了一層系統架構以區隔底層硬件(物理機,存儲,網絡)與虛擬機和運行在上的應用服務程序。
虛擬化基礎架構基本上包含以下組件功能:虛擬機和虛擬機管理程序(Hypervisor);資源管理,配置和備份功能;IT管理流程自動化程序,比如錯誤復原。
桌面虛擬化是把傳統桌面操作系統運行于遠端中央服務器的虛擬機上,使用者通過現有的物理機或瘦客戶端從任何位置訪問桌面,對于使用者來說就像用傳統桌面一樣,同時提供了更多的方便性、管理性和安全防護部署的集成,如圖8-5所示虛擬桌面基礎架構。
(2) 云計算特點
①計算資源集成提高設備計算能力
云計算把大量計算資源集中到一個公共資源池中,通過多主租用的方式共享計算資源。單個用戶在云計算平臺獲得服務水平受到網絡帶寬等各因素影響,未必獲得優于本地主機所提供的服務,但是從整個社會資源的角度而言整體的資源調控降低了部分地區峰值荷載提高了部分荒廢的主機的運行率,從而提高資源利用率。
②分布式數據中心保證系統容災能力
分布式數據中心可將云端的用戶信息備份到地理上相互隔離的數據庫主機中,甚至用戶自己也無法判斷信息的確切備份地點。該特點不僅僅提供了數據恢復的依據,也使得網絡病毒和網絡黑客的攻擊失去目的性而變成徒勞,大大提高系統安全性和容災能力。
③軟硬件相互隔離減少設備依賴性
虛擬化層將云平臺上方的應用軟件和下方的基礎設備隔離開來。技術設備的維護者無法看到設備中運行的具體應用。同時對軟件層的用戶而言基礎設備層透明的,用戶只能看到虛擬化層中虛擬出來的各類設備。這種架構減少了設備依賴性,也為動態的資源配置提供可能。
④平臺模塊化設計體現高可擴展性
目前主流的云計算平臺均根據SPI架構在各層集成功能各異的軟硬件設備和中間件軟件。大量中間件軟件和設備提供針對該平臺的通用接口,允許用戶添加本層的擴展設備。部分云與云之間提供對應接口,允許用戶在不同云之間進行數據遷移。類似功能更大程度上滿足了用戶需求,集成了計算資源,是未來云計算的發展方向之一。
⑤虛擬資源池為用戶提供彈性服務
云平臺管理軟件將整合的計算資源根據應用訪問的具體情況進行動態調整,包括增大或減少資源的要求。因此云計算對于在非恒定需求的應用,如對需求波動很大、階段性需求等,具有非常好的應用效果。在云計算環境中,既可以對規律性需求通過事先預測事先分配,也可根據事先設定的規則進行實時公臺調整。彈性的云服務可幫助用戶在任意時間得到滿足需求的計算資源。
⑥按需付費降低使用成本
作為云計算的代表按需提供服務按需付費是目前各類云計算服務中不可或缺的一部分。對用戶而言,云計算不但省去了基礎設備的購置運維費用,而且能根據企業成長的需要不斷擴展訂購的服務,不斷更換更加適合的服務,提高了資金的利用率。
2. 云計算服務
IaaS(Infrastructure-as-a-Service)基礎設施級服務,消費者通過Internet可以從完善的計算機基礎設施獲得服務。IaaS是把數據中心、基礎設施等硬件資源通過Web分配給用戶的商業模式。
PaaS(Platform-as-a-Service)平臺級服務,是指將軟件研發的平臺作為一種服務,以SaaS的模式提交給用戶。因此PaaS也是SaaS模式的一種應用。但是,PaaS的出現可以加快SaaS的發展,尤其是加快SaaS應用的開發速度。PaaS服務使得軟件開發人員可以不購買服務器等設備環境的情況下開發新的應用程序。
SaaS(Software-as-a-Service)軟件級服務,是一種通過Internet提供軟件的模式,用戶無需購買軟件,而是向提供商租用基于Web的軟件,來管理企業經營活動。SaaS模式大大降低了軟件的使用成本和客戶的管理維護成本,由于軟件是托管在服務商的服務器上可靠性也更高。
Amazon開發了彈性計算云EC2(Elastic Computing Cloud)和簡單存儲服務S3(Simple Storage Service)為企業提供計算和存儲服務。EC2向客戶提供虛擬執行環境租賃服務,供企業開發、測試或執行應用程序使用,客戶可以所需選擇內存空間、運算單位及存儲空間等環境。
S3是一個公開的服務,Web應用程序開發人員可以使用它存儲數字資產包括圖片、視頻、音樂和文檔,S3提供一個 RESTful API 以編程方式實現與該服務的交互。
AWS已經具備云計算的三個基本特征:用戶需要的IT資源不在自己的數據中心里面,這些資源可以通過互聯網獲得,沒有固定的投資成本。
Amazon Web Services(AWS,Amazon WEB服務)包括四種服務:S3提供無限制存儲空間,存儲是每月每GB為15美分;EC2根據配置不同,服務器容量是每小時10-80美分,用戶可以選擇不同的服務器配置,對實際用到的計算處理量進行付費;Simple Queuing Service(一種簡單的消息隊列),以及處在測試階段的SimpleDB(簡單的數據庫管理)。目前,Amazon通過互聯網提供計算處理、存儲、消息隊列、數據庫管理系統等“即插即用”型服務。
Google Drive是谷歌公司推出的一項在線云存儲服務,用戶通過統一的谷歌賬戶進行登錄;通過這項服務,用戶可以獲得15GB的免費存儲空間;同時如果用戶有更大需求,則可以通過付費方式獲得更大的存儲空間。
Google Drive服務有本地客戶端版本、網絡界面版本,針對Google Apps客戶推出,配上特殊域名;Google向第三方提供API接口,允許從其它程序上存內容到Google Drive。
Google Drive支持直接從網頁瀏覽器打開多達30多種文件格式,包括高清視頻和Photoshop文件,采用與其它App服務一樣的基礎架構,擁有同樣的管理工具和安全可靠性。
集中式管理,新的控制工具可以讓管理員刪除或者添加個人或者群組用戶的存儲空間;安全性,通過對傳輸于瀏覽器和服務器之間的數據進行加密,同時采取2步認證方式,以防止非授權的賬戶登錄獲取記錄;數據鏡像,即使在某個服務器宕機的情況下,數據仍然將是安全與可用的,因為將數據同步到了多個數據中心;可用性,Google保證99.9%時間正常運行,因此無需擔心數據的可用性,任何時候需要時都可以獲得想要的數據。
3. 云計算安全
云安全(Cloud Security)通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,推送到服務端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。
整個互聯網,變成了一個超級大的殺毒軟件,這就是云安全計劃的宏偉目標。云安全的策略構想是:使用者越多,每個使用者就越安全,因為如此龐大的用戶群,足以覆蓋互聯網的每個角落,只要某個網站被掛馬或某個新木馬病毒出現,就會立刻被截獲。
云安全技術是P2P技術、網格技術、云計算技術等分布式計算技術混合發展、自然演化的結果。
云安全的核心思想與反垃圾郵件網格非常接近,垃圾郵件泛濫而無法用技術手段很好地自動過濾,是因為所依賴的人工智能方法不是成熟技術。垃圾郵件的最大的特征是:它會將相同的內容發送給數以百萬計的接收者。
為此,可以建立一個分布式統計和學習平臺,以大規模用戶的協同計算來過濾垃圾郵件:首先,用戶安裝客戶端,為收到的每一封郵件計算出一個唯一的“指紋”,通過比對“指紋”可以統計相似郵件的副本數,當副本數達到一定數量,就可以判定郵件是垃圾郵件;
其次,由于互聯網上多臺計算機比一臺計算機掌握的信息更多,因而可以采用分布式貝葉斯學習算法,在成百上千的客戶端機器上實現協同學習過程,收集、分析并共享最新的信息。
反垃圾郵件網格體現了真正的網格思想,每個加入系統的用戶既是服務的對象,也是完成分布式統計功能的一個信息節點,隨著系統規模的不斷擴大,系統過濾垃圾郵件的準確性也會隨之提高。
用大規模統計方法來過濾垃圾郵件的做法比用人工智能的方法更成熟,不容易出現誤判假陽性的情況,實用性很強。
反垃圾郵件網格就是利用分布互聯網里的千百萬臺主機的協同工作,來構建一道攔截垃圾郵件的“天網”。
反垃圾郵件網格思想提出后,被IEEE Cluster 2003國際會議選為杰出網格項目在香港作了現場演示,在2004年網格計算國際研討會上作了專題報告和現場演示,引起較為廣泛的關注。
既然垃圾郵件可以如此處理,病毒、木馬等亦然,這與云安全的思想就相去不遠了。
云安全技術原理,是網絡時代信息安全的最新體現,它融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念,
通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,推送到Server端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端,如圖8-7所示。
未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯網的主要威脅正在由電腦病毒轉向惡意程序及木馬,在這樣的情況下,采用的特征庫判別法顯然已經過時。云安全技術應用后,識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫,而是依靠龐大的網絡服務,實時進行采集、分析以及處理。整個互聯網就是一個巨大的“殺毒軟件”,參與者越多,每個參與者就越安全,整個互聯網就會更安全(如圖8-8所示云安全架構)。
云安全的概念提出后,曾引起了廣泛的爭議,許多人認為它是偽命題。但事實勝于雄辯,云安全的發展像一陣風,瑞星、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全衛士等都推出了云安全解決方案。
我國安全企業金山、360、瑞星等都擁有相關的技術并投入使用。金山的云技術使得自己的產品資源占用得到極大的減少,在很多老機器上也能流暢運行。趨勢科技云安全已經在全球建立了5大數據中心,幾萬部在線服務器。
據悉,云安全可以支持平均每天55億條點擊查詢,每天收集分析2.5億個樣本,資料庫第一次命中率就可以達到99%。借助云安全,趨勢科技現在每天阻斷的病毒感染最高達1000萬次。
在基于“云安全”技術的多種殺毒軟件的2010版本中,很多用戶在使用后已感覺到,其新版極大降低了在不同狀態下的整體資源占用。
基于“云計算”的殺毒軟件打破了傳統殺毒軟件此前須將病毒特征庫存放于本地,通過單純升級累積的弊端,將病毒定義和特征庫置于服務端(云端),使得用戶僅在本地調用引擎和特征庫的情況下,隨時訪問和借助幾千萬的病毒特征庫來識別對應威脅,并通過已被多次驗證的,對病毒木馬樣本高達99%的檢測率,證明了云殺毒技術的優勢所在。
基于“云安全”技術的專業殺毒軟件,可以給用戶提供更為全面的防御功能,它可以針對現有病毒不斷的發生,病毒創造非常快的特點,推出云安全技術,并將此技術應用到了產品當中,給用戶提供了足夠的安全保障。
我是木子雨辰,一位信息安全領域從業者,@木子雨辰將一直帶給大家信息安全知識,每天兩篇安全知識、由淺至深、采用體系化結構逐步分享,大家有什么建議和問題,可以及留言,多謝大家點擊關注、轉發、評論,謝謝大家。
大家如果有需要了解安全知識內容需求的可以留言,溝通,愿與大家攜手前行。
