西西河

主题:【原创】Amazon是如何保证云计算的安全(一) -- sky100

共:💬29 🌺103
全看分页树展 · 主题 跟帖
家园 Amazon是如何保证云计算的安全(二)

S3(Amazon Simple Storage Service)

吉祥三宝里的大宝自然就是S3了。S3可能是市场上被使用最多最广泛的商业云计算服务。实际上,S3应该被称为云存储,什么都可以存在里边,成本还很低,每GB存储每个月只要大约0.15美分(而且存的越多越便宜),结果就导致了无数照片共享,文件同步之类的网站和应用的诞生。质量好,又便宜,大宝,天天见。

截止2008年10月,S3已经存储了29 billions个object(2008年1月时还只有14 billion个,由此可见该项服务的受欢迎程度),Amazon还号称每秒有7万个S3操作在执行(出处 )。咳咳,我也在S3存储了2000来张高清美女图片。实验,只是实验,我只是很纯洁的为了测试一下云存储而做的实验而已

让我们先简单的回顾一下S3的存储体系(其他的云计算的存储部分原理也都大同小异)。物理上,Amazon在全美和欧洲到处建数据中心,将数据分布式存储在它的计算机集群上(cluster),我怀疑它也使用类似于google的pc farm来组建它的集群,否则成本很难这么便宜. 逻辑上,数据是这样组织的,每个S3账户,可以创建无数个bucket,每个bucket下又可以放无数个obejcts,可以这样说,bucket相当于仓库,object相当于货品,你可以在amazon S3这个奸商处购买无数个仓库(bucket),每个仓库里可以放无数个货品(objects),但只有以下2个限制:

1,每个货品(object)的大小最大只能为5GB. 对此,我猜想是为了硬件对齐而作的限制。估计amazon的存储分区上每个硬盘分区(或每个最小存储单元)的大小就是5G。不过一般情况下,单个文件很难超过5G.如果确实需要遇到了5G以上的文件,还可以split后再存。

2.仓库(bucket)的位置目前只有美国和欧洲可选,但听说amazon在香港开设了新的数据中心,希望在不久的将来,amazon也可以在亚洲区开设仓库(bucket),那么国内做web application的朋友们就该幸福了:)

为了保证应用层的访问安全,amazon提供了bucket and/or object-level access controls。你可以让你的用户只访问某一个单独的文件,也可以访问某个特定仓库(bucket)里的所有文件。可以只让指定用户访问,也可以让任何人都可以访问。这些都是通过amazon的Access Control List (ACL) 来实现的,通过ACL制作用户指定的访问key,没有这个key,谁也别想敲开S3的门。

另一个重要的隐患是传输过程中被截取,比如我正在国内上传一张著名女歌唱家宋祖英的高清照片到Amazon S3,忽然gfw的防火墙filter发现我的文件里有关键字(不知道什么是gfw的同学请面壁十分钟),然后立即通知国安局,截获了我的传递,我的这点小秘密就曝光了。为了防范这种拦路打劫的行为,S3支持SSL(Secure Sockets Layer)传递,于是我们就高枕无忧了,毕竟目前能够突破SSL来进行截获的技术还没有被发现或公开出来。

传上去之后,如果有人偷到了我的访问key,可以访问我的所有内容怎么办? 对存储的数据进行加密是另一个可选的办法。很遗憾,S3目前还不提供直接在云端进行数据加密的方法,但是你可以在上传前就把数据加密,或者使用 amazon的另一个云计算服务ec2(Elastic Compute Cloud), 在ec2上放一个MS SQL server或者oracle数据库,然后启用数据库软件的加密选项,就可以实现动态云端加密。但这样实际上就是把数据放在ec2上,而不是S3上了。

当然,这就是下一节关于ec2的安全防护的内容了。

土鳖抗,铁牛顶,喝水中。

关键词(Tags): #云计算#amazon#安全
全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河