電子發燒友App
引言
隨著高速網絡發展,日益增長的網絡需求通過大規模的數據中心處理、數千臺服務器和網絡系統存儲,許多互聯網公司如谷歌、亞馬遜、雅虎等在世界各地經營者如此龐大的數據處理中心,這種網絡服務被稱為云計算服務。從云計算的服務模式來看,安全面臨的問題一是數據隱私安全,將數據外包給云服務商如何保證數據隱私與安全,二是服務可信性,如何確定云服務商反饋的服務是可信的,失去數據的物理控制及數據位置不確定如何安全,即數據失控風險。云計算同時也是一個高度可擴展性和成本效益的基礎設施運行 HPC、企業和 Web 應用程序。然而,云基礎設施不斷增長的需求大幅增加了數據中心的能量消耗,這已成為一個關鍵的問題。高能耗不僅意味著高的運營成本,從而降低了云供應商的利潤率,但也導致了碳排放高,這是不環保的。
本文將從云計算的系統架構出發,探討云計算未來的發展趨勢,深入分析云計算目前面臨的兩大熱點問題:一是安全性,二是如何實現高效節能、綠色、環保、低炭的云計算。
1 、云計算的系統架構
云計算的系統架構自下而上可分為五個層次:物理層、核心層、資源架構層、開發平臺層和應用層。
(1)物理層:云計算的最底層基礎設施,提供云計算系統的硬件支持,包括網絡資源、計算資源和存儲資源等。
(2)核心層:對物理資源實施統一管理,將具體應用抽象化,通過操作系統內核、中間件或虛擬機監視器等實現,為上層提供應用環境。
(3)資源構架層:基于核心層構建的資源服務器架構體系,提供高效、靈活的分布式計算服務,大容量的分布式存儲服務以及安全、可靠的分布式通信服務。
(4)開發平臺層:通過開發平臺提供的API,為具體應用提供云計算編程環境,加速應用服務的部署,并支持可擴展。
(5)應用層:面向用戶實際應用程序,由開發平臺層提供開發環境,應用程序的開發者對程序的開發和運行負責,提供服務質量保證。
云計算系統的服務模型包括以下三種類型:基礎設施即服務(infrastructure as a service,IaaS)、軟件即服務(software as a service, SaaS)、平臺即服務(platform as a service,PaaS)。礎設施即服務,為用戶提供使用云端的基礎性計算資源的能力,用戶可以部署或運行自由軟件或操作系統,如 Amazon 提供的簡單數據管理服務和存儲服務以及彈性計算云。軟件即服務,基于云計算服務提供商的云基礎設施為用戶提供具體應用能力,如 Google 的 Google Apps 和 SalesForce 的客戶關系管理等應用。平臺即服務,為用戶提供在云端創建和定制服務的能力,如 Microsoft 的 Microsoft Azure 和 Google 的Google App Engine 等。
2 、云計算的發展趨勢
2.1 云計算的安全性
云計算是一種基于網格計算、效能計算、按需計算等概念的新穎計算模式,根據 NIST 對云計算的定義,其包含五個關鍵特征:自助按需服務、高寬帶網絡、虛擬資源池、高速彈性架構和可度量服務。云計算具有虛擬化、可擴展性、可靠性、經濟性、動態配置和大規模等特性,計算模式上具有延展性,同時也使資源共享、管理更加專業、一致,降低資源共享成本。但云計算在安全性方面存在一些問題,尤其是數據文件的云存儲安全性。
云不僅僅是一個大容量的存儲設備,而是由硬件系統、網絡設備和軟件系統構成的復雜系統,云存儲數據的安全性一直以來是業界關注的焦點。根據 Gartner 公司對云計算的安全風險評估報告,歸納起來,目前云計算服務存在以下 6 大安全風險,同時在一定程度上也反映了用戶的安全性需求。
(1)存儲數據的位置:在云服務中,用戶并不清楚私有數據文件在系統中的存儲物理位置,這要求云服務提供商必須承諾,用戶必須擁有查詢數據具體存儲位置的權利,且該權利必須受法律保護。
(2)特權用戶的接入:云計算服務提供商的運維人員在處理敏感數據時會額外增加數據泄露的風險,這就要求云計算服務提供商能夠提供完整的管理員及訪問控制權限等具體信息,甚至是特權管理員的操作日志等。
(3)數據恢復:用戶將數據文件存入數據中心后,在本地一般不會保存副本,這就要求云計算服務商必須對數據文件進行冗余備份,在出現異常的情況下能夠及時對數據進行恢復,降低用戶數據丟失風險。
(4)數據隔離:云計算服務系統中所有用戶的數據文件被集中存放在服務提供商的巨大存儲資源池中,即數據中心,數據隔離度對用戶的數據安全存在一定的風險,這就要求云服務提供商必須提供數據隔離存儲服務。
(5)數據長期穩定:用戶往往需要數據能夠長期穩定地存儲在數據中心,這就要求云計算服務提供商能夠提供長期的、穩定的服務,同時云計算服務商的內部數據遷移不能對用戶數據文件的完整性產生影響。
(6)可審查性:由于用戶數據在云存儲系統中存在諸多不可控因素,這就要求云服務提供商必須接受第三方可信機構的安全審查與認證,且應符合相關國家和地區法律法規,同時應支持對用戶開發一些特定的調查權限,使用戶擁有對其不當行為的取證能力。
隨著云計算日益增加的業務需求,各種云計算相關的安全事故也逐漸暴露,如釣魚網絡、僵尸網絡、數據丟失、加密缺陷等問題。例如 2008 年,Amazon的S3 云服務一度出現故障,導致服務中斷,據估算 Amazon 在此次事件中每分鐘約損失31,000 美元。目前越來越多的企業使用公共云和混合云部署,同時越來越多的敏感數據被存儲在云服務廠商的環境中,企業不斷積極尋求更好的方法保護他們在云中的數據,目前最為廣泛的做法還是通過數據加密的手段來保證數據安全,同時對傳輸狀態和存儲狀態的數據進行加密。Amazon 的簡單存儲服務(S3)是目前最著名的云存儲服務之一,它能夠整合 Ama-zon 其他的云功能和產品,提供多種靈活的加密功能,并且用戶可以使用Amazon提供的客戶端加密工具來創建和管理他們自己的密鑰,這意味著在數據發送前就已經完成了數據加密工作。Amazon 近期推出的 CloudHSM 服務還使用了一個基于硬件的加密密鑰存儲設備。其他云存儲廠商則堅持遵循相同的加密標準,如 Rackspace 在它的云備份產品中提供了服務器端 256 位的加密功能,Dropbox 和 SpiderOak 也提供 256 位的 AES 加密功能,SpiderOak 則使用客戶端加密方法。Verizon Terremark 為備份和冗余業務提供自動加密功能,為托管平臺與數據提供了多種托管和協管加密功能,在其 ClouldSwitch 混合云中提供客戶自我管理的加密產品。Savvis 在它的云存儲加密功能中使用 SafeNet,向客戶公開密鑰管理和 API 集成。
為推動云計算安全領域的發展,業界多家公司早在 2008年 12 月聯合成立了 CSA(Cloud Security Alliance,云安全聯盟),該組織為一非盈利組織,目標在于推廣云計算應用安全,并為用戶提供云計算的安全指引。目前越來越多的 IT 企業、安全廠商和電信運營商加入了該組織,如 Google、Cisco、惠普、ATT 等。另外,歐洲網絡信息安全局(ENSIA)和 CSA 聯合發起了 CAM(Common Assurance Metric beyond the clo-ud)項目,該項目的研發目標是開發一個客觀、可量化的測試標準,供客戶評估和比較云計算服務提供商安全運行水平,推動許多云服務商(如Amazon、IBM、Microsoft)等相繼提出并部署了相應的云計算安全解決方案,主要采用身份認證、安全審查、數據加密、系統冗余備份等技術和管理手段提高云計算服務的穩定性、服務連續性和數據安全性。電信運營商如 Verizon 也已經推出云安全相關特色服務,尤其在 IT 殺毒產業,諸多企業都推出了相應的云計算服務安全解決方案,如瑞星、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山等。
2.2 綠色環保的發展趨勢
云計算系統基礎設施不斷增長的需求大幅增加了數據中心的能量消耗,從而導致了高能耗、高碳排放的問題,本文從能耗的角度,從整個產業鏈出發,分析一種綠色、節能、環保的云計算實現途徑。目前,一個典型的數據中心需要 1000 部 10 兆瓦的電力操作系統,這就導致較高的運營成本。因此,對于一個數據中心,能源成本是其經營及前期成本的重要組成部分。此外,在 2007 年 4 月,根據 Gartner 的評估,信息和通信技術(ICT)行業產生約 2%的總全球二氧化碳排放量,這一數據與航空業齊平。據來自于歐盟的報道,每年碳排放量需要減少15%-30%,2020 年才能保持全球氣溫上升低于 20C。因此,能源消耗和云基礎設施的碳排放已成為一個關鍵的環境問題。圖 2 為云計算的高能量的使用情況。
研究表明,云計算實際上可以使傳統的數據中心更加節能和高效地利用技術,如資源的虛擬化和工作負載整合。該傳統的數據中心運行 Web 應用程序經常置備處理零星的峰值負荷,這會導致資源的利用率低,能源的浪費。對于云數據中心,另一方面,可以通過服務器整合,減少能源消耗,從而不同的工作量可以共享同一物理主機,關閉其余的虛擬機和未使用的服務器。Accture 最近的一項研究表明,移動商務應用云可以減少碳排放。根據這份報告,通過使用云資源,小企業的碳排放量減少高達 90%。大型企業使用云應用,可以節省至少 30%-60%的碳排放量,中等規模的企業可以節省 60-90%。
這種低碳的綠色云是如何實現呢?如圖 3 所示,在綠色云架構中,用戶通過一個新的請求提交自己的云服務,綠色中經紀管理服務包括綠色服務、價格和時間等,估算出最小的碳排量。綠色經紀從碳排放的各種云服務目錄得到能量參數的當前使用狀態。這些數據可能包括云數據中心的 PUE 和冷卻效率提供服務、網絡成本和電力的碳排放率。綠色經紀管理服務在所有的云服務供應商中選擇,誰能夠提供請求的云計算的碳排放服務,然后,它會選擇一套服務,此服務是碳排放量最少的服務。
綠色云框架,它可以跟蹤用戶服務請求,依賴于兩個主要組成部分,即碳排放列表和綠色云報價。從云供應商側,通過跟蹤每個云供應商的能源效率,同時也激勵云服務供應商,督促他們的“綠色”服務。從用戶側,綠色經濟起著至關重要的作用,在監測和選擇云服務基于用戶的 QOS 要求,以確保最低的碳排放量為用戶服務。一般情況下,用戶可以使用訪問任何這三種類型的服務化(SaaS、PaaS和IaaS)的云,因此為他們提供服務的過程也應該是高效節能。換句話說,從云供應端,每個云層均需要“綠色”意識。
總之,云計算通過簡單地提高設備的效率,不是綠色的全部,更重要的無論是從用戶還是供應商的角度,使用更多的碳效率來看待問題。云服務供應商需要減少對電力的需求,使用可再生能源,而不僅僅是尋找成本最小化。
3 、結語
本文對云計算的基本架構和服務類型進行了介紹,總結了云計算面臨的安全挑戰即防護策略,可靠的防護策略是未來云計算安全領域的發展方向。接著介紹了低碳、綠色云計算的概念,云計算具有高效、集中管理的優勢,具有實現低能耗、環保的先天性優勢。
工商網監
評論