雲環境
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
雲環境是指能夠從動態虛擬化的資源池中向用戶或者各種應用系統按需提供計算能力、存儲能力或者虛擬機服務等的互聯網或者大數據環境。
雲環境下的資源分配機制主要包括 5 種角色:雲服務提供者(cloud service provider,簡稱 CSP)、提供者代理(provider agent,簡稱 PA)、雲服務消費者(cloud service consumer,簡稱 CSC)、消費者代理(consumer agent,簡稱 CA)和拍賣中介(auction intermediary,簡稱 AI。)其中,CSP 是擁有資源的服務提供者,CSC 是需要租用資源的服務消費者,可以是個人或單位。
在傳統的公有雲和私有雲等雲環境下,主要依托大型數據中心為用戶提供計算能力和存儲能力等,通常採用集中式管理,一般以標價等統一定價形式出售資源;雖然也可以採用拍賣等方式進行價格決策,但是價格通常在一段時間內比較穩定。在分散式雲中,服務提供者通常不依賴於大型數據中心提供服務,而是利用地理上分散的小/微型數據中心為用戶提供服務,這樣不僅可以避免大型數據中心帶來的高能耗、散熱和溫度與濕度控制等問題,而且有利於提高全網資源利用率。社交雲主要強調資源共用,用戶可以通過線上社交網路發現並與朋友分享自己的閑置資源.由於分散式雲和社交雲等環境下的資源通常來源於地理上分散的小/微型數據中心,因此一般採用分散式管理;同時,在這樣的環境中,雲服務提供者的資源擁有量有限,雲服務消費者的數量多變,資源價格受供求關係變化的影響大,需要更為靈活的定價策略,通常需要通過合理的價格決策和優化的資源分配方案,將有限的資源分配給適合的消費者。
從安全技術角度來看,虛擬化技術在雲計算時代的大量應用讓傳統信息安全時代下的安全隔離手段面臨巨大挑戰,舉例來說,客戶在購買雲服務商虛擬伺服器的同時就擁有了公網地址和雲服務商的內網地址,這也就意味著用戶同時擁有了雲服務商的非信任域地址和信任域地址,這種網路邊界模糊的威脅會直接導致惡意用戶利用購買虛擬伺服器所獲得的雲服務商內網地址來偽造海量的內網地址和MAC地址,在網路中產生大量的ARP通信量使得網路阻塞或中斷。
其次,安全挑戰伴隨著雲平臺的服務類型而隨之誕生,以阿裡雲開放數據處理服務ODPS舉例,該服務的設計之初是基於數據驅動的多級流水性並行計算框架,支持直接使用ODPS SQL語句對海量數據進行離線分析。通過數據分裂將海量數據散佈在整個集群內部,這樣,用戶的數據容量的瓶頸問題得以解決。同時,計算壓力也被平均分佈在集群內部,很好地解決了計算性能問題。但因其允許用戶通過編寫程式在ODPS的集群上執行任務,這種業務模式就存在通過用戶程式包含的惡意代碼在ODPS的集群上植入後門的風險,惡意用戶可通過非法外聯、提權等一系列操作實現對ODPS集群的入侵,最終達到竊取用戶數據的目的。
企業在雲環境中應該考慮問題包括:數據保護、提高生產力、安全完整性等方面的問題。
首先數據保護問題極其重要,企業非常擔心(並且有合理的理由擔心)委托給外部提供商的數據會被竊取,即便SaaS提供商也不例外。
其次是如何提高生產力。如果無法讓新員工和承包商及時訪問正常開展業務所需的系統和工具,會大幅降低生產力。對新員工的訪問進行預配置所花費的時間,會隨著所涉及的技術孤島數量的增加而倍增,因此隨著企業更多地利用SaaS的優勢,就需要進行更多的訪問預配置。
最後是安全完整性。企業投入大量時間和資金為其自行維護的系統研究訪問技術,並選擇適當的驗證和授權解決方案。先進的解決方案採用多因素驗證,而這些因素通常包括用戶名、密碼以及其他驗證方式,例如一次性密碼或代碼等。