Previous: 4.7.5 Виртуализация вычислительного процесса    UP: 4.7 Прикладные сети Интернет     Next: 4.7.7 Унифицированные коммуникации (UC)

4.7.6 Cloud computing

Семенов Ю.А. (ИТЭФ-МФТИ)
Yu. Semenov (ITEP-MIPT)

Понятие "cloud" довольно давно используется в отношении Интернет, хотя первоначально этот термин имел отношение к телефонии. Пользователь здесь часто даже не знает, где конкретно находится нужный ему сервер или сервис.

Coud computing способствует стандартизации и оптимизации вычислительной и ИТ инфраструктуры, а также динамическому перераспределению ресурсов.

Аналогично cloud computing не предполагает, что пользователь знает что-то об архитектуре и других особенностях вычислительных средств, которые он использует. Cloud computing является развитием процесса индустриализации в сфере ИТ. Приведу определение cloud computing, заимствованное из работы [28], где эта технология сравнивается с GRID.

Основная идея cloud computing заключается в том, что клиент не должен создавать свой вычислительный центр и обучать персонал инсталляции прикладных программ и обслуживанию системы. Следует также иметь в виду, ресурсы ВЦ оказываются недостаточными или избыточными. В обоих вариантах неизбежны дополнительные издержки. Кроме того компания бывает вынуждена нанимать и обучать системных администраторов, специалистов по базам данных, управлению ИТ-ресурсами и сетевой безопасности. Если для крупной компании это может быть позволительно, то для мелких и средних фирм это приводит к чрезмерным расходам. Динамика бизнеса может потребовать увеличения ИТ-ресурсов или их сокращения. Именно технология cloud computing способна решить все эти проблемы динамически. Расценки различных видов услуг (2009 год) можно найти в [2].

Технология cloud computing имеет некоторые общие черты с технологиями GRID, Utility computing и service computing. Смотри рис. 1. [28]

Рис. 1. Области использования различных видов computing.

Слева расположены технологии, ориентированные на приложения, а справа - ориентированные на услуги.

Может показаться, что cloud computing можно отождествить со слабосвязанными GRID, но это не так, прежде всего потому, что cloud computing много богаче функционально. Cloud computing является откликом на быстро и динамически растущие потребности в вычислениях и разнообразных сервисах. Этому способствует и снижение цен на аппаратные средства и появление многоядерных процессоров.

Инфраструктура cloud computing представляет собой систему предоставления вычислительных услуг информационными центрами, построенными на основе серверов. Такого рода сервисы стали возможны, когда уровень надежности и безопасности стал достаточно высок, а пропускная способность сетей сделала работу достаточно комфортной. Смотри InfoWorld. Cloud Computing Deep Dive. Special report. September 2009.

Вход в систему обычно производится через одну точку, что несколько улучшает безопасность. Облако предоставляет услуги на трех разных уровнях: IaaS, PaaS и SaaS. Этому способствует широкое внедрение виртуализации.

В последнее время (2009) появились новые виды услуг testing-as-a-service, security-as-a-service, database-as-a-service, process-as-a-service, application-as-a-service, platform-as-a-service и UC-as-a-service. Таким образом, технология охватывает помимо вычислений такие области, как хранение данных, информационные услуги, интеграцию, безопасность, организация определенных процессов, коммуникации и управление. Причем один и тот же провайдер может в принципе предлагать любой перечень услуг. Пользователь же может получать весь спектр услуг у одного провайдера, а может воспользоваться и разными провайдерами для определенных разновидностей сервисов. Имеющееся многообразие провайдеров и сервисов существенно усложняет процесс выбора для пользователя.

Рис. 1A. Категории сервис-провайдеров, которые позволяют пользователю реализовать определенные сервисы в рамках своей архитектуры [1]

Всего существует 17 вычислительных категорий cloud computing, но со временем это число может увеличиться.

1. Хранение данных в качестве услуги (storage-as-a-service)
2. База данных в качестве услуги (database-as-a-service)
3. Информация в качестве услуги (information-as-a-service)
4. Процесс в качестве услуги (process-as-a-service)
5. Приложение в качестве услуги (application-as-a-service = software-as-a-service)
6. Платформа в качестве услуги (platform-as-a-service)
7. Интеграция в качестве услуги (integration-as-a-service)
8. ИТ в качестве услуги (IT-as-a-service)
9. Аппаратная инфраструктура в качестве услуги (Hardware Infrastructure-as-a-service)
10. Программная инфраструктура в качестве услуги (Software Infrastructure-as-a-service)
11. Безопасность в качестве услуги (security-as-a-service)
12. Управление в качестве услуги (management/governance-as-a-service)
13. Тестирование в качестве услуги (testing-as-a-service)
14. Унифицированные коммуникации в качестве услуги (UC-as-a-service)
15. Коммуникации в качестве услуги (CaaS)
16. Инфраструктура в качестве услуги (infrastructure-as-a-service)
17. Восстановление после аварии в качестве услуги (Disaster Recovery-as-a-service)
18. Работа с большими объемами данных в качестве услуги (Big Data as a Service)

Здесь названа лишь незначительная часть сервисов, это прежде всего сервисы, имеющие отношение к cloud computing. Помимо названных наиважнейшими разновидностями являются WEB-сервисы. Новейшим веянием является появление Cloud TV, что свидетельствует о росте средней пропускной способности каналов. Появились сервисы IT-as-a-service и Data-as-a-service и даже crimeware-as-a-service.

Рис. 2. Логическая схема cloud computing [5]

Категория хранение данных - предоставление по запросу нужного дискового пространства для конкретного приложения. Этот ресурс может располагаться удаленно.

Категория Базы данных - предоставление удаленного доступа к банкам и базам данных. Для пользователя это выглядит так, как если бы база данных была размещена локально.

Категория информация предполагает удаленный доступ к данным через интерфейс типа API. Это могут быть биржевые данные, кредитная информация, проверка адресов и идентификаций.

Категория процесс (это может быть в частности к бизнес-процесс) может относиться к провайдерам приложений, инфраструктуры и платформы. Эта категория относится к провайдерам платформ, приложений и инфраструктуры.

Категория приложение эквивалентна SaaS (Software-as-a-Service) и представляет собой любую программу, например, Salesforce SFA. Обычно подразумевается работа через WEB-интерфейс.

Категория платформа - это комплексная услуга, включающая в себя разработку приложений, интерфейсов, баз данных, программ тестирование и т.д..

Категория интеграция включает в себя приложения, управление информационными потоками, прикладной дизайн и все, что присутствует в традиционной EAI-технологии (Enterprise Application-Integration).

Категория безопасность - это предоставление через Интернет услуг безопасности. Хотя структура безопасности обычно строится локально, некоторые услуги реализуется удаленно, например, идентификация и сертификация, генерация, хранение и передача ключей доступа. Обычно это атрибут архитектуры.

Категория управление - это сервис удаленного управление другими cloud-сервисами, сюда входит виртуализация, управление доступом, реализация определенных политик (например, безопасности).

Категория тестирование - это предоставление возможности локального или удаленного тестирования различных видов сервисов, включая WEB-серверы.

Категория инфраструктура - это фактически информационный центр в качестве сервиса. Пользователь получает доступ к определенному серверу (или серверам), его ОС и приложениям.

Для того чтобы выбрать нужный тип сервисов, пользователь должен выполнить последовательно следующие действия:

• Составление списка платформ кандидатов вычислителей из облака
• Анализ и тестирование платформ-кандидатов (проверка быстродействия, каналов и пр., а также моделирование)
• Выбор целевых платформ
• Реализация целевых платформ

Перейдя в cloud computing, клиент может забыть о проблемах резервного копирования, восстановления после сетевых атак, реконфигурировании системы, обновления используемого программного обеспечения и т.д.. Это, разумеется в теории, на практике клиенту следует быть внимательным при заключении договора с провайдерами, особенно в отношении сохранения конфиденциальности корпоративных данных.

SaaS-сервис на конец 2009 года оставался самым востребованным. Зарегистрирована первая botnet в cloud computing (выявлена компанией Amazon). По этой причине безопасность остается определяющим фактором для прогресса в области cloud computing. Для решения этой проблемы создан альянс Cloud Security Alliance.

Ниже на рис. 3 и 4 представлены коичественные оценки плюсов и минусов cloud computing. Смотри From Silicon to Cloud: Building Up to Cloud

Рис. 3. Выгоды модели cloud по запросу

Рис. 4. Проблемы, возникающие при реализации модели cloud по запросу

Все виды cloud computing предполагают передачу данных провайдеру услуг. Это безусловно создает дополнительные уязвимости, ведь критическая информация оказывается вне зоны контроля ее владельца. Но даже когда такие данные находятся на сервере владельца, они не полностью защищены. Дело здесь не только во внешних хакерах. Наибольшую опасность представляют сотрудники самой органицации-владельца, имеющие доступ в том числе и к критической информации. Понятно, что передача данных должна осуществляться с привлечением криптозащиты. Вероятность ее несанкционированного прочтения, после того как она попала к провайдеру услуг, минимальна. Но при передаче следует помнить о возможности атаки "человек-по-середине", когда могут подменяться общедоступные ключи. По этой причине многоуровневое использование сертификатов является обязательным.

Если несанкционированное чтение у сервис-провайдера практически не возможно, то порча или стирание данных вполне вероятны. Постоянно нужно помнить о резервном копировании, хотя чем больше копий существует, тем больше вероятность утечки. Для особо важной информации следует применить методы катастрофоустойчивого резервного копирования.

При заключении договора нужно обговаривать определенное значение коэффициента доступности сервиса (uptime), а также время восстановления системы после отказа.

В случае cloud computing обеспечение безопасности с защиты сетей следует переместить в сферу безопасности услуг и приложений. Традиционные ранее политики безопасности (DMZ и защита периметра) здесь перестают работать.

Безопасность cloud computing обеспечивается теми же средствами, что и прежде. Нюансы возникают из-за того, что на общем сервере провайдера услуг могут находится данные и программы разных клиентов. Здесь оказывается особенно важно правильно выбрать провайдера [12], это особенно важно с точки зрения внешних физических аспектов безопасности. Следует учитывать, что современные провайдеры используют в основном самодельные программы. Далее нужно определить, что следует хранить и использовать локально, а что перенести в "облако". Если все элементы системы безопасности будут выполнены правильно, безопасность при переходе в "облако" может даже увеличиться.

Инфраструктура предприятия может содержать внутренние и внешние провайдеры сервисов, как это показано на рис. 5 [16].

Рис. 5.

Коммерческая эффективность внедрения cloud computing продемонстрирована на рис. 6 [21]. Преимущества начинают проявляться через 1,5 года после начала использования.

Рис. 6. Окупаемость внедрения cloud computing

Для развития этого вида бизнеса необходимо наличие эффективной юридической поддержки, способствующей сохранности информации.

Для рассматриваемой технологии типично смешение физических и виртуальных схем управления [22], что может обеспечить большую гибкость и безопасность, смотри рис. 7.

Рис. 7. Защита физических и виртуальных серверов с локальной и удаленной доступностью (P2V2V)

Корпоративные сети часто сильно распределены в пространстве, эта специфика отражается в архитектуре облачных решений для CNS (Cloud Network Service). На рис. 8 приведен пример такой сети из The 2011 Application & Service Delivery Handbook. Dr. Jim Metzler, Ashton Metzler

Рис. 8. Интернет-структура для CNS. (POP - Point of Presence; WOC - WAN Optimization Controller)

Для PaaS и некоторых других облачных приложений может использоваться язык Ruby поверх Rails.

В последнее время появляется много публикаций на облачные темы. В большинстве статей отмечаются положительные характеристики этой технологии. Но это не всегда так (см. Five myths of cloud computing. Business white paper. В частности, часто утверждается, что облака всегда позволяют экономить средства. Для ограниченных объемов вычислений это обычно действительно так. Но если вычисления носят регулярный, долгосрочный характер, эффективнее для них выделить отдельную машину.

Облачный хостинг за последние месяцы вырос весьма значительно (см. рис. 9). Основными провайдерами этого вида услуг являются Amazon, Alibaba, Hetzner, DigitalOcean, OVH и Shore Network Tech. Наибольший рост за полгода показан DigitalOcean (более 160%).

Рис. 9. Рост DigitalOcean

Обсуждается возможность создания общественных, общедоступных облаков. Такие облака созданы и в России, например, на mail.ru.

Рис. 10. Рост инвестиций в облачные технологии за 2010-2014гг

В обзоре Cloud Security Alliance по безопасности облачных технологий вделено 12 главных уязвимостей:

1. Информационные уязвимости (Data Breaches)
2. Плохая идентификация и управление доступом
3. Небезопасные интерфейсы и приложения
4. Системные уязвимости
5. Возможности взлома аккаунта
6. Вредоносные инсайдеры
7. APT
8. Потери данных
9. Недостаточная компетентность
10. Ошибки при использовании сервисами
11. DDoS
12. Технологические уязвимости

Довольно часто основным источником уязвимости облака являтся некорректная конфигурация системы.

Широкое внедрение разнообразных мобильных средств делает облачные технологии все более привлекательными. Прогноз процентов для облачных технологий в 2025 году представлен на рис. 11.

Рис. 11. Процент облачных вычислений в 2025 году

Рис. 12. Прогноз облачного трафика до 2020 года. Chip 07/2018, стр. 39

Облачные технологии находят применение для самых разных приложений (см. "Simplify your cloud strategy by taming cloud sprawl", Citrix). 95% пользователей так или иначе используют облачные сервисы, иногда даже несколько одновременно. На рис. 13 представлены доли клиентов, которые используют или планируют применять облачную технику в 2016- 2021 годах.

Рис. 13. Многооблачный мир в 2016-21

В обзоре Forcepoint рассматриваюся некоторые мифы, сопряженные с использованием облачных технологий (см. "The top 5 myths about cloud-based security", Alison DeNisco Rayome, November 15, 2018). Многие предприятия обращаются к использованию облаков, так как сами не хотят или не могут обеспечить безопасность для своих данных.

• Клиент должен проверить провайдера облачных услуг на наличие сертификатов безопасности. Если у провайдера нет сертификата ISO 27018, клиент не может быть уверен в выполнении правил безопасности GDPR.
• Считается, что облачные информационные центры всегда безопаснее корпративных. Но это не всегда так, при заключении договора разумно проверить, предусмотрена ли криптозащита и какие меры сохранности информации в данном центре предусмотрены.
• Обычно считают, что чем больше информационных центров имеется у провайдера, тем серис безопаснее. Но прямой зависимости надежности от числа центров не существует. Так Microsoft Azure имеет только 30 информационных центров, в то время как некоторые другие провайдеры владеют сотнями центров, но это не делает их более надежными или безопасными.
• Если ваш провайдер продемонстрирует высокую надежность и безопасность своих центров, вполне возможно, что ваши страховые выплаты окажутся ниже.
• Нужно понимать, что даже если вы используете хорошего, безопасного провайдера облачных услуг, система вашей внутренней безопасности все равно должна быть на высоте и это потребует определенных издержек.

В последнее время в обиход вошло понятие fog-computing (туманные вычисления), которое предполагает распределенные вычисления с привлечением в том числе мобильных устройств. На рис. 14 показан рост прибылей туманных вычислений в 2018-22 годах (см.From cloud to edge: The next IT transformation.

Рис. 14. Рост прибылей в сфере туманных вычислений в 2018-22гг

Следует иметь в виду, что даже если вы храните данные в облаке, целесообразно осущестлять резервное копирование этой информации.

На рис. 15 представлен стек облачных сервисов (см. "HCI vs. cloud: The main differences". Robert Sheldon, 12 Aug 2020).

Рис. 15. Стек облачных сервисов

Рис. 16. Автоматизированные облачные сервисы

1. InfoWorld. Cloud Computing Deep Dive. Special report. September 2009
2. Cloud Computing E-book (Jo Maitland, Keeping Control Isn't Easy)
3. How to Prepare for the Impact of Cloud Computing
4. Cloud computing optimizes IT service delivery and management.
5. Cloud computing. Wikipedia
6. The top 10 cloud computing news stories of 2009
7. The top five cloud computing tips of 2009
8. What's in store for cloud computing in 2010?
9. Top-10 Guide for Protecting Sensitive Data from Malicious Insiders
10. Securing the Cloud: Disigning Security for a new Age
11. IDC Technology SportLight. "From Silicon to Cloud: Building Up to Cloud Computing"
12. Carl Almond, "A Practical Guide to Cloud Computing Secutity", 27 August 2009
13. Effectively and Securely Using the Cloud Computing Paradigm. Peter Mell, Tim Grance, NIST, Information Technology Laboratory, 3-19-2009
14. Cloud Security Alliance – CSA Guidance. Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 (75 страниц)
15. Joseph Foran, Cloud management tools guide for beginners
16. Opportunities for the Cloud in the Enterprise. January 2010
17. Cloud Computing Payback. An explanation of where the ROI comes from. November, 2009
18. The Private Cloud Report.Issue #3 · December 2009 / January 2010
19. Cloud Financials Come of Age· May 2009
20. Virtual Data Center. Volume 21
21. Security for the cloud infrastructure: Trusted virtual data center implementation
22. Eliminating End User and Application Downtime. Protecting Mission-Critical, Multi-Tier Business Applications with Neverfail and Virtualization. July 2010. (Рассмотрены различные варианты сетевых решений, реализующих технологию cloud computing)
23. The Seven Standards of Cloud Computing Service Delivery (Force.com)
24. Seeding the Clouds: Key Infrastructure Elements for Cloud Computing (IBM)
25. A Practical Guide to Cloud Computing Security
26. IntroductIon to Cloud Computing Architecture. White Paper 1st Edition, June 2009 (40 страниц, SUN)
27. 10 Security Concerns for Cloud Computing. Expert Reference Series of White Papers (рассмотрены 10 базовых принципа обеспечения безоасности в облаке)
28. Cloud Computing and Grid Computing 360-Degree Compared (Всестороннее сравнение GRID и Cloud Computing)
29. IBM Delivers Down to Earth Cloud Computing
30. Intel Cloud Builder Guide: Cloud Design and Deployment on Intel Platforms
31. Private Cloud eBook
32. Seven Criteria for Evaluating Security-as-a-Service (SaaS) Solutions
33. http://www.emc.co.uk/privatecloud - техника формирования частного облака
34. Storage Essential Guide to Applications for virtual server backup.
35. Looking Ahead: a Cloud Report from 2015. By Mark Settle
36. Cloud computing resources center (Библиотека cloud resources)
37. Cloud computing in 2011: What's on tap?
38. Top Threats to Cloud Computing V1.0. Prepared by the Cloud Security Alliance March 2010, а также http://www.cloudsecurityalliance.org/topthreats и http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf
39. Understanding the Cloud Computing Stack: SaaS, PaaS, IaaS (18 страниц).
40. Essential Guide to Cloud and Virtualization Security.
41. Cloud and Virtualization Security: An After Thought. November 7th, 2011..
42. Looking ahead: A Cloud Report from 2015, by Mark ..
43. Planning Guide Cloud Security. Seven Steps for Building Security in the Cloud from the Ground Up. (22 стр)