什么是云环境
云环境是指能够从动态虚拟化的资源池中向用户或者各种应用系统按需提供计算能力、存储能力或者虚拟机服务等的互联网或者大数据环境。
云环境下的资源分配机制
云环境下的资源分配机制主要包括 5 种角色:云服务提供者(cloud service provider,简称 CSP)、提供者代理(provider agent,简称 PA)、云服务消费者(cloud service consumer,简称 CSC)、消费者代理(consumer agent,简称 CA)和拍卖中介(auction intermediary,简称 AI。)其中,CSP 是拥有资源的服务提供者,CSC 是需要租用资源的服务消费者,可以是个人或单位。
在传统的公有云和私有云等云环境下,主要依托大型数据中心为用户提供计算能力和存储能力等,通常采用集中式管理,一般以标价等统一定价形式出售资源;虽然也可以采用拍卖等方式进行价格决策,但是价格通常在一段时间内比较稳定。在分布式云中,服务提供者通常不依赖于大型数据中心提供服务,而是利用地理上分散的小/微型数据中心为用户提供服务,这样不仅可以避免大型数据中心带来的高能耗、散热和温度与湿度控制等问题,而且有利于提高全网资源利用率。社交云主要强调资源共享,用户可以通过在线社交网络发现并与朋友分享自己的闲置资源.由于分布式云和社交云等环境下的资源通常来源于地理上分散的小/微型数据中心,因此一般采用分布式管理;同时,在这样的环境中,云服务提供者的资源拥有量有限,云服务消费者的数量多变,资源价格受供求关系变化的影响大,需要更为灵活的定价策略,通常需要通过合理的价格决策和优化的资源分配方案,将有限的资源分配给适合的消费者。
云环境下的典型安全挑战
从安全技术角度来看,虚拟化技术在云计算时代的大量应用让传统信息安全时代下的安全隔离手段面临巨大挑战,举例来说,客户在购买云服务商虚拟服务器的同时就拥有了公网地址和云服务商的内网地址,这也就意味着用户同时拥有了云服务商的非信任域地址和信任域地址,这种网络边界模糊的威胁会直接导致恶意用户利用购买虚拟服务器所获得的云服务商内网地址来伪造海量的内网地址和MAC地址,在网络中产生大量的ARP通信量使得网络阻塞或中断。
其次,安全挑战伴随着云平台的服务类型而随之诞生,以阿里云开放数据处理服务ODPS举例,该服务的设计之初是基于数据驱动的多级流水性并行计算框架,支持直接使用ODPS SQL语句对海量数据进行离线分析。通过数据分裂将海量数据散布在整个集群内部,这样,用户的数据容量的瓶颈问题得以解决。同时,计算压力也被平均分布在集群内部,很好地解决了计算性能问题。但因其允许用户通过编写程序在ODPS的集群上执行任务,这种业务模式就存在通过用户程序包含的恶意代码在ODPS的集群上植入后门的风险,恶意用户可通过非法外联、提权等一系列操作实现对ODPS集群的入侵,最终达到窃取用户数据的目的。
云环境下企业的顾虑
企业在云环境中应该考虑问题包括:数据保护、提高生产力、安全完整性等方面的问题。
首先数据保护问题极其重要,企业非常担心(并且有合理的理由担心)委托给外部提供商的数据会被窃取,即便SaaS提供商也不例外。
其次是如何提高生产力。如果无法让新员工和承包商及时访问正常开展业务所需的系统和工具,会大幅降低生产力。对新员工的访问进行预配置所花费的时间,会随着所涉及的技术孤岛数量的增加而倍增,因此随着企业更多地利用SaaS的优势,就需要进行更多的访问预配置。
最后是安全完整性。企业投入大量时间和资金为其自行维护的系统研究访问技术,并选择适当的验证和授权解决方案。先进的解决方案采用多因素验证,而这些因素通常包括用户名、密码以及其他验证方式,例如一次性密码或代码等。