快捷搜索:

云计算服务及安全基础

 

1. 云计算概述

2007年10月,Google与IBM开始在美国大学校园,包括卡内基梅隆大学、麻省理工学院、斯坦福大学、加州大学柏克利分校及马里兰大学等,推广云计算的计划。

这项计划希望能降低分布式计算技术在学术研究方面的成本,并为这些大学提供相关的软硬件设备及技术支持(包括数百台个人电脑及BladeCenter与System x服务器,这些计算平台将提供1600个处理器,支持包括Linux、Xen、Hadoop等开放源代码平台)。

而学生则可以通过网络开发各项以大规模计算为基础的研究计划。

云计算经历四个阶段:电厂模式、效用计算、网格计算和云计算。

电厂模式阶段:电厂模式就好比是利用电厂的规模效应,来降低电力的价格,并让用户使用起来更方便,且无需维护和购买任何发电设备。

效用计算阶段:在1960年左右,当时计算设备的价格是非常高昂的,远非普通企业、学校和机构所能承受,所以很多人产生了共享计算资源的想法。

1961年,人工智能之父麦肯锡在 一次会议上提出了“效用计算”这个概念,其核心借鉴了电厂模式,具体目标是整合分散在各地的服务器、存储系统以及应用程序来共享给多个用户,让用户能够像 把灯泡插入灯座一样来使用计算机资源,并且根据其所使用的量来付费。但由于当时整个IT产业还处于发展初期,很多强大的技术还未诞生,比如互联网等,所以虽然这个想法一直为人称道,但是总体而言“叫好不叫座”。

网格计算阶段:网格计算研究如何把一个需要非常巨大的计算能力才能解决的问题分成许多小的部分,然后把这些部分分配给许多低性能的计算机来处理,最后把这些计算结果综合起来攻克大问题。

可惜的是,由于网格计算在商业模式、技术和安全性方面的不足,使得其并没有在工程界和商业界取得预期的成功。

云计算阶段:云计算的核心与效用计算和网格计算非常类似,也是希望IT技术能像使用电力那样方便,并且成本低廉。

但与效用计算和网格计算不同的是,现在在需求方面已经有了一定的规模,同时在技术方面也已经基本成熟了。云计算的概念模型如图8-2所示。

(1) 虚拟化技术

虚拟化的目的在于集中IT管理任务,简化运维流程与降低成本,同时改善企业计算资源有效利用率和可用性。使得企业更能够快速响应商务需求以及提升竞争力。

简单的来说,虚拟化就是改善传统一台物理服务器上运行一个应用程序的模式,让物理服务器硬件及网络资源能够被充份的利用配置,使得一台物理服务器上能够运行多个互相独立的虚拟机,并执行多个应用服务程序,如图8-3所示云计算模式。

以较少的硬件资源实现更多更有效率的企业服务,节省总拥有成本。虚拟化可实现于私有云、混合云与共有云计算平台上,取决于企业服务形态与需求。

虚拟机是一个由软件实现,完全隔离的客操作系统(Guest OS),运行于原本的主操作系统(Host OS)中,并有独立的计算环境。虚拟机就像物理机一样,包含自己的CPU、内存(RAM)、外存(DISK)和网卡(NIC)等。

虚拟机完全是由软件构成,就是一个或多个的文件所组成,完全没有硬件组件。因此,虚拟机提供了企业IT环境更多的弹性与好处,尤其是更快的服务维护及部署和更简单的备份管理。

除了虚拟化服务器之外,更进一步IT基础架构及数据中心都可被虚拟化,使得企业可自动化整合IT基础架构,通过计算资源分享达到更有成本效益的资源管理配置,提升整体企业运维的效率与弹性。

举个简单的例子,当企业在部署应用服务的时候,都会遇到这个问题:应该部署多少计算资源才能够满足各种情况下的服务访问,配置太多不符合成本效益,因为80%的时间服务器都没有被有效利用;配置太少又无法满足在高峰期的使用者访问,造成服务品质下降甚至服务中断。

有了虚拟化基础架构,所有计算资源可以共享,当有需要时虚拟机可及时开启,自动化随时调整响应企业服务需求。IT基础架构的虚拟化(如图8-4所示虚拟化基础架构)也是由软件来实现,提供了一层系统架构以区隔底层硬件(物理机,存储,网络)与虚拟机和运行在上的应用服务程序。

虚拟化基础架构基本上包含以下组件功能:虚拟机和虚拟机管理程序(Hypervisor);资源管理,配置和备份功能;IT管理流程自动化程序,比如错误复原。

桌面虚拟化是把传统桌面操作系统运行于远端中央服务器的虚拟机上,使用者通过现有的物理机或瘦客户端从任何位置访问桌面,对于使用者来说就像用传统桌面一样,同时提供了更多的方便性、管理性和安全防护部署的集成,如图8-5所示虚拟桌面基础架构。

(2) 云计算特点

①计算资源集成提高设备计算能力

云计算把大量计算资源集中到一个公共资源池中,通过多主租用的方式共享计算资源。单个用户在云计算平台获得服务水平受到网络带宽等各因素影响,未必获得优于本地主机所提供的服务,但是从整个社会资源的角度而言整体的资源调控降低了部分地区峰值荷载提高了部分荒废的主机的运行率,从而提高资源利用率。

②分布式数据中心保证系统容灾能力

分布式数据中心可将云端的用户信息备份到地理上相互隔离的数据库主机中,甚至用户自己也无法判断信息的确切备份地点。该特点不仅仅提供了数据恢复的依据,也使得网络病毒和网络黑客的攻击失去目的性而变成徒劳,大大提高系统安全性和容灾能力。

③软硬件相互隔离减少设备依赖性

虚拟化层将云平台上方的应用软件和下方的基础设备隔离开来。技术设备的维护者无法看到设备中运行的具体应用。同时对软件层的用户而言基础设备层透明的,用户只能看到虚拟化层中虚拟出来的各类设备。这种架构减少了设备依赖性,也为动态的资源配置提供可能。

④平台模块化设计体现高可扩展性

目前主流的云计算平台均根据SPI架构在各层集成功能各异的软硬件设备和中间件软件。大量中间件软件和设备提供针对该平台的通用接口,允许用户添加本层的扩展设备。部分云与云之间提供对应接口,允许用户在不同云之间进行数据迁移。类似功能更大程度上满足了用户需求,集成了计算资源,是未来云计算的发展方向之一。

⑤虚拟资源池为用户提供弹性服务

云平台管理软件将整合的计算资源根据应用访问的具体情况进行动态调整,包括增大或减少资源的要求。因此云计算对于在非恒定需求的应用,如对需求波动很大、阶段性需求等,具有非常好的应用效果。在云计算环境中,既可以对规律性需求通过事先预测事先分配,也可根据事先设定的规则进行实时公台调整。弹性的云服务可帮助用户在任意时间得到满足需求的计算资源。

⑥按需付费降低使用成本

作为云计算的代表按需提供服务按需付费是目前各类云计算服务中不可或缺的一部分。对用户而言,云计算不但省去了基础设备的购置运维费用,而且能根据企业成长的需要不断扩展订购的服务,不断更换更加适合的服务,提高了资金的利用率。

2. 云计算服务

IaaS(Infrastructure-as-a-Service)基础设施级服务,消费者通过Internet可以从完善的计算机基础设施获得服务。IaaS是把数据中心、基础设施等硬件资源通过Web分配给用户的商业模式。

PaaS(Platform-as-a-Service)平台级服务,是指将软件研发的平台作为一种服务,以SaaS的模式提交给用户。因此PaaS也是SaaS模式的一种应用。但是,PaaS的出现可以加快SaaS的发展,尤其是加快SaaS应用的开发速度。PaaS服务使得软件开发人员可以不购买服务器等设备环境的情况下开发新的应用程序。

SaaS(Software-as-a-Service)软件级服务,是一种通过Internet提供软件的模式,用户无需购买软件,而是向提供商租用基于Web的软件,来管理企业经营活动。SaaS模式大大降低了软件的使用成本和客户的管理维护成本,由于软件是托管在服务商的服务器上可靠性也更高。

Amazon开发了弹性计算云EC2(Elastic Computing Cloud)和简单存储服务S3(Simple Storage Service)为企业提供计算和存储服务。EC2向客户提供虚拟执行环境租赁服务,供企业开发、测试或执行应用程序使用,客户可以所需选择内存空间、运算单位及存储空间等环境。

S3是一个公开的服务,Web应用程序开发人员可以使用它存储数字资产包括图片、视频、音乐和文档,S3提供一个 RESTful API 以编程方式实现与该服务的交互。

AWS已经具备云计算的三个基本特征:用户需要的IT资源不在自己的数据中心里面,这些资源可以通过互联网获得,没有固定的投资成本。

Amazon Web Services(AWS,Amazon WEB服务)包括四种服务:S3提供无限制存储空间,存储是每月每GB为15美分;EC2根据配置不同,服务器容量是每小时10-80美分,用户可以选择不同的服务器配置,对实际用到的计算处理量进行付费;Simple Queuing Service(一种简单的消息队列),以及处在测试阶段的SimpleDB(简单的数据库管理)。目前,Amazon通过互联网提供计算处理、存储、消息队列、数据库管理系统等“即插即用”型服务。

Google Drive是谷歌公司推出的一项在线云存储服务,用户通过统一的谷歌账户进行登录;通过这项服务,用户可以获得15GB的免费存储空间;同时如果用户有更大需求,则可以通过付费方式获得更大的存储空间。

Google Drive服务有本地客户端版本、网络界面版本,针对Google Apps客户推出,配上特殊域名;Google向第三方提供API接口,允许从其它程序上存内容到Google Drive。

Google Drive支持直接从网页浏览器打开多达30多种文件格式,包括高清视频和Photoshop文件,采用与其它App服务一样的基础架构,拥有同样的管理工具和安全可靠性。

集中式管理,新的控制工具可以让管理员删除或者添加个人或者群组用户的存储空间;安全性,通过对传输于浏览器和服务器之间的数据进行加密,同时采取2步认证方式,以防止非授权的账户登录获取记录;数据镜像,即使在某个服务器宕机的情况下,数据仍然将是安全与可用的,因为将数据同步到了多个数据中心;可用性,Google保证99.9%时间正常运行,因此无需担心数据的可用性,任何时候需要时都可以获得想要的数据。

3. 云计算安全

云安全(Cloud Security)通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。

整个互联网,变成了一个超级大的杀毒软件,这就是云安全计划的宏伟目标。云安全的策略构想是:使用者越多,每个使用者就越安全,因为如此庞大的用户群,足以覆盖互联网的每个角落,只要某个网站被挂马或某个新木马病毒出现,就会立刻被截获。

云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。

云安全的核心思想与反垃圾邮件网格非常接近,垃圾邮件泛滥而无法用技术手段很好地自动过滤,是因为所依赖的人工智能方法不是成熟技术。垃圾邮件的最大的特征是:它会将相同的内容发送给数以百万计的接收者。

为此,可以建立一个分布式统计和学习平台,以大规模用户的协同计算来过滤垃圾邮件:首先,用户安装客户端,为收到的每一封邮件计算出一个唯一的“指纹”,通过比对“指纹”可以统计相似邮件的副本数,当副本数达到一定数量,就可以判定邮件是垃圾邮件;

其次,由于互联网上多台计算机比一台计算机掌握的信息更多,因而可以采用分布式贝叶斯学习算法,在成百上千的客户端机器上实现协同学习过程,收集、分析并共享最新的信息。

反垃圾邮件网格体现了真正的网格思想,每个加入系统的用户既是服务的对象,也是完成分布式统计功能的一个信息节点,随着系统规模的不断扩大,系统过滤垃圾邮件的准确性也会随之提高。

用大规模统计方法来过滤垃圾邮件的做法比用人工智能的方法更成熟,不容易出现误判假阳性的情况,实用性很强。

反垃圾邮件网格就是利用分布互联网里的千百万台主机的协同工作,来构建一道拦截垃圾邮件的“天网”。

反垃圾邮件网格思想提出后,被IEEE Cluster 2003国际会议选为杰出网格项目在香港作了现场演示,在2004年网格计算国际研讨会上作了专题报告和现场演示,引起较为广泛的关注。

既然垃圾邮件可以如此处理,病毒、木马等亦然,这与云安全的思想就相去不远了。

云安全技术原理,是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,

通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端,如图8-7所示。

未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全(如图8-8所示云安全架构)。

云安全的概念提出后,曾引起了广泛的争议,许多人认为它是伪命题。但事实胜于雄辩,云安全的发展像一阵风,瑞星、趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全卫士等都推出了云安全解决方案。

我国安全企业金山、360、瑞星等都拥有相关的技术并投入使用。金山的云技术使得自己的产品资源占用得到极大的减少,在很多老机器上也能流畅运行。趋势科技云安全已经在全球建立了5大数据中心,几万部在线服务器。

据悉,云安全可以支持平均每天55亿条点击查询,每天收集分析2.5亿个样本,资料库第一次命中率就可以达到99%。借助云安全,趋势科技现在每天阻断的病毒感染最高达1000万次。

在基于“云安全”技术的多种杀毒软件的2010版本中,很多用户在使用后已感觉到,其新版极大降低了在不同状态下的整体资源占用。

基于“云计算”的杀毒软件打破了传统杀毒软件此前须将病毒特征库存放于本地,通过单纯升级累积的弊端,将病毒定义和特征库置于服务端(云端),使得用户仅在本地调用引擎和特征库的情况下,随时访问和借助几千万的病毒特征库来识别对应威胁,并通过已被多次验证的,对病毒木马样本高达99%的检测率,证明了云杀毒技术的优势所在。

基于“云安全”技术的专业杀毒软件,可以给用户提供更为全面的防御功能,它可以针对现有病毒不断的发生,病毒创造非常快的特点,推出云安全技术,并将此技术应用到了产品当中,给用户提供了足够的安全保障。

我是木子雨辰,一位信息安全领域从业者,@木子雨辰将一直带给大家信息安全知识,每天两篇安全知识、由浅至深、采用体系化结构逐步分享,大家有什么建议和问题,可以及留言,多谢大家点击关注、转发、评论,谢谢大家。

大家如果有需要了解安全知识内容需求的可以留言,沟通,愿与大家携手前行。

[注:本文部分图片来自互联网!未经授权,不得转载!每天跟着我们读更多的书]


互推传媒文章转载自第三方或本站原创生产,如需转载,请联系版权方授权,如有内容如侵犯了你的权益,请联系我们进行删除!

如若转载,请注明出处:http://www.hfwlcm.com/info/106430.html