图1AmazonEC2的基本架构
(3)容错机制。Dynamo的容错机制包括两个方面,一是临时故障处理机制。Dynamo在数据读写中采用了一种称为弱quorum(Sloppyquorum)的机制,涉及三个参数W、R、N。其中W-代表一次成功的写操作至少需要写入的副本数,R-代表一次成功读操作需由服务器返回给用户的最小副本数,N-每个数据存储的副本数,满足R+W>N,用户即可自行配置R和W。该机制的优势在于更易于实现可用性与容错性之间的平衡。另一个是永久性故障处理机制,即Merkle哈希树技术。
(4)成员资格及错误检测。该问题的解决则是通过基于Gossip协议的成员资格检测机制来实现的。
正是依托于上述的各种解决机制,Dynamo最终为Amazon平台提供了一个看似安全可靠、始终可用的存储系统。在此基础上,EC2、S3等一批云服务应用才能得以部署实施。
简而言之,AmazonEC2是一个让使用者可以租用云端电脑运行所需应用的系统。其基本架构如图2所示。
图2向量时钟原理图
AmazonEC2给用户提供了一种虚拟的计算环境,用户可以在此运行基于Linux的应用程序。用户首先需要创建一个包含用户应用程序、运行库、数据以及相关配置信息的虚拟运行环境映像AMI(AmazonMachineImage)或者直接使用Amazon通用的AMI映像。同时,Amazon还提供另外一项Web服务--简单存储服务S3(simplestorageservice),向用户提供快速、安全、可靠的存储服务。用户只需要将创建好的AMI映像上传到Amazon提供的简单存储服务S3,就可以通过Amazon提供的各种Web服务接口来启动、停止和监控AMI实例的运行。用户只需为自己实际使用的计算能力、存储空间和网络带宽付费。AmazonEC2依托弹性块存储(ElasticBlockStore,EBS)、快照(Snapshot)、地理区域(RegionZone)与可用区域(AvailabilityZone)划分、弹性IP、弹性负载平衡(ElasticLoadBalancing)等关键技术,进一步提升了其云服务的安全性。
3当前面临的问题
通过上述分析与介绍,可见Amazon从底层设计开始就针对其云服务平台的安全性给予了较高的重视,并拿出了一整套较为可信的行动方案。但这是否就达到了像其所宣传的"万无一失"呢?
事实上,尽管经过了十年的发展与完善,云计算仍然在安全性方面存在着诸多问题。当然,通过对于AmazonDynamo与EC2的初步分析以及其关键技术的介绍,我们应该看到,很多以前人们担心的诸如数据安全存储问题、传输过程加密问题、容错机制等云计算安全问题在经过诸多努力之后已经有了较为妥善的解决。但是,仍然有很多云计算的安全问题却是包括AmazonEC2在内的诸多云服务提供商不得不面对的问题。
首先,以虚拟技术为代表的云平台自身安全问题。虚拟技术是实现云计算的关键核心技术,如Hyper-V、VMwareESX、Xen等,其中Xen就是Amazon所采用的虚拟技术。云平台的架构,大都是依靠各种虚拟技术与现实设备相结合,通过各种优化算法与安排实现对于服务器资源的优化利用。而虚拟操作系统都是构建在这些虚拟软件之上。因此应分析各类虚拟化管理软件本身的安全问题,形成虚拟化管理软件安全配置核查手册,这对于确保云平台的自身安全至关重要。一旦虚拟技术本身存在安全隐患,其影响将是非常巨大的。
其次,在面对外来威胁方面缺少抵抗能力。一方面,云平台需要面对来自包括黑客在内的诸多人为的主观破坏与渗透。至计算机出现以来,几乎所有的软件系统都会存在自身的安全漏洞问题,而这些漏洞往往也是黑客攻击的重点。而云平台仍然由诸多软件系统组合而成,自然也难免存在安全漏洞。一份2011年的相关报告称,网络应用程序数量每年以55%的速度增长,但其具有大量的安全漏洞。报告指出,脚本中和其它网络应用程序代码中包含大量的恶意代码,比一年前增加了52%。在很多已经曝露的安全漏洞,有将近50%至今还没有得到更新,产品及服务提供商对于自身所存在的缺陷没有高度重视,从而致使用户遭受攻击与损失。而在2010年国际黑客大会上,45%的受访安全专家(包括黑客)表示他们已经尝试利用云计算系统的安全漏洞进行黑客任务。仅从这一点就可以看到云计算提供商自身安全漏洞问题潜在威胁和影响之大!另一方面是云服务提供商自身工作人员的遴选与约束机制建设。仍然以AmazonEC2为例,用户购买Amazon云服务,也就意味着用户将自己的所有信息全部委托存放于Amazon的数据库。如何能够防止和杜绝具有超级权限或者管理权限的Amazon内部员工未经授权访问、使用、散布这些数据,这不仅是需要从云平台自身人员权限管理、验证架构方面加以解决,也需要从实际的人员筛选、管控与约束方面着手加以控制。
综上,面对如此严峻的安全形势,无论是从云服务提供商自身发展还是云计算技术的进一步推广和使用的方面而言,如何能够最大程度上保证云计算的安全、可靠仍然是今后相当一段时间需要我们面临的重大问题。
期刊库(http://www.zgqkk.com),是一个专门从事期刊推广、投稿辅导的网站。
本站提供如何投稿辅导,寻求投稿辅导合作,快速投稿辅导,投稿辅导格式指导等解决方案:省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。
【免责声明】本文仅代表作者本人观点,与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。
646779424(普刊)
913775405(普刊)
867306987(核心)
271374912(核心)
