雲端運算 - 資安趨勢部落格

< 雲端運算 > Cloudscaling測驗題 – 企業雲還是開放雲?

2012 年 03 月 06 日2012 年 03 月 07 日趨勢科技 TrendMicro

作者：趨勢科技雲端安全副總裁Dave Asprey

Cloudscaling是間很有趣的公司，它的老闆 – Randy Bias是個真正懂雲端運算的人。這可以從他們所發表的開放式雲端基礎架構中看出來。

當然了，我們這禮拜會在聖克拉拉的Cloud Connect大會上看到一連串的技術發表，但你還是該花點時間看看Randy發表的東西。以下是為什麼：

Cloudscaling的CEO – Randy真的了解他的雲端

Randy是GoGrid的前任技術長，我們第一次見面大約是在十年前，當時我們同為Panorama Capital技術諮詢委員會的一員。Randy是早在我們同意有「雲端」這名詞之前，就已經了解雲端精神的傢伙之一。當我們還在提供諮詢時，Panorama支持成立了Vyatta，那是最早的開放原始碼網路新創公司（今天有許多雲端技術都有用到它）。

他們真的提出很棒的策略

這是為什麼CloudScaling的開放雲發表很值得一看的原因。因為他很誠實可信地闡明企業雲和開放雲之間的區別，沒有任何市場行銷的屁話。這也讓他們的說法令人感到信服，企業需要有「企業雲」（一個為了舊應用程式而存在的私有雲）和一個「開放雲」（用來運行雲端應用程式的私有或公共雲）。

這是一個非常實際的討論，跳脫了已經過時的「公共、私有、混合」等行銷話語，那些行銷話語在這禮拜一定會貼滿在Cloud Connect的展位上。（對了，我禮拜三會在那邊，有經過的話，可以停下來跟我打聲招呼！）

無論如何，在我的經驗裡，企業往往花費大量時間和金錢，想要讓企業應用程式可以放到公共雲上，或是想要利用根本沒有擴展性的企業工具來打造高可擴展性的雲端基礎建設。

Randy的部落格文章寫得更直接。來參考一下他提出的測驗題，我將它貼到這以便討論。

企業雲測驗題

如果有超過一半的回答為「是」，那麼你有一個企業雲：

你的雲端是否專注在將現有的應用程式轉移到企業的資料中心？（像是虛擬機管理程式（Hypervisor）的兼容性、動態移轉（Live Migration）和高可用性的SAN儲存設備等功能）
它是否很昂貴、複雜，而且需要大量手動操作？
你使用的是否全是有牌子的硬體，並且是專用的規格？
它的網路是否很複雜？
使用者是否需要簽署合約，並且每月計費？（沒有可變動的收費選項）
它是否提供專屬的資源集區，並且讓使用者手動設定？（像是時脈、記憶體和儲存裝置）
你是否還在選擇硬體廠商？提供F5即服務或是NetScaler即服務，而非負載平衡即服務？

這最後一個NetScaler即服務讓我笑了。當Citrix買下NetScaler時，我還是NetScaler的產品管理協理，後來成為Zeus Technologies的技術與行銷副總（第一個虛擬負載平衡設備），現在已經成為Riverbed的一部分，名稱改用種海洋生物了。

開放雲測驗題

如果超過一半的回答為是，那你有一個開放雲：

你是否可以在5分鐘之內啟動1000個虛擬伺服器？
你的用戶是否都使用雲端管理平台，像是RightScale和enStratus？
你是否可以在超過1000台的虛擬主機上跑資料或是Hadoop任務而不會產生系統問題？
基本網路和網路服務（像是負載平衡）是否都很簡單直覺，而且可以讓使用者自己管理？
它是否使用標準的API？（AWS？OpenStack？）
底層的實體基礎設施和雲端運作團隊是否專注在：同質化，模組化，共通解決方案和自動化？
你是否可以和Amazon Web Service的價格和服務水準競爭？

身為一個有辦法正確預測事情走向的技術人員，我的看法是，Randy已經在這方面取得很棒的成就。與其用VCE和Citrix來打造以虛擬機器為基礎的企業雲，他的Cloudscaling專注在讓企業用戶可以運行和公共雲供應商同樣規模和成本的開放雲上。對於大型企業來說，這是很重要的，這讓他們不再需要支付「雲端稅」給大型雲端服務供應商以運行數十、數百或數千台的伺服器。

但在這裡我必須說。我很擅長去看出技術將會往哪裡發展，但並不一定知道會何時發生。證據就是在1995年時，我在企業家雜誌採訪裡說到，2年之內公司將不再需要紙本目錄……而我們到現在都還沒到達那個地步。但是Randy所需要的時間表更短，而他也走出正確的一步了。

無可避免的，開放雲終將超越企業雲，但這一過程將需要十年以上。現在是個好時機來將重點放在開放雲上了。雖然說，還有其他OpenStack的新創公司。

但是他們都沒有像Randy一樣把一切都闡述的這麼簡單明瞭。幹得好。

＠原文出處：Cloudscaling’s Litmus Test – Enterprise Cloud vs. Open Cloud

@延伸閱讀

利用雲端安全幫忙省錢 – 數字會說話
 邁向更安全的工業控制系統（ICS）
瀏覽器分享、雲端運算和安全之間的關聯
 CTO 觀點:虛擬化伺服器的弱點防護罩
 最便宜的雲端運算破解MD5法是利用Google，而非Amazon雲端服務
CTO 觀點:虛擬化伺服器的弱點防護罩
 瀏覽器分享、雲端運算和安全之間的關聯
 大型加值經銷商與雲端服務，會發生什麼事
 雲端運算：嘿！你！離開iCloud
雲端運算：搜尋iCloud 假防毒軟體送上門
 《雲端運算安全》網狀雲新聞：Skype通訊協定被逆向工程
 《雲端運算安全》雲端和虛擬化安全現況
《看更多…雲端運算與網路安全相關文章懶人包》

◎ 歡迎加入趨勢科技社群網站

《趨勢專家看雲端運算》網格雲端儲存：更便宜，更可靠，但是安全性如何？

2012 年 02 月 29 日2012 年 02 月 13 日趨勢科技 TrendMicro

作者：趨勢科技雲端安全副總裁Dave Asprey

看看SHYPERLINK，他們是網格雲架構進化的真實例子。他們每GB的儲存成本甚至比iCloud都還要少上一個量級，這是下一個最有效率的雲端儲存產品（至少在某些類型的檔案上更有效率，像是音樂）。

Symform的總部位在西雅圖，但它不像Amazon或是Google一樣依賴著西北太平洋邊上的水力發電資料中心。Symform組成了一個網格雲，可以利用他們客戶的本地磁碟來儲存。

當我還是Trinity Ventures負責雲端與虛擬化技術的駐點創業家（Entrepreneur in residence）時，我看到Symform募集資金的提案（還是來自他們的競爭對手…）。當時我很感興趣也有想要去投資他們，因為這種作法可以大量的節省服務提供成本。不過我們（更有經驗）的創投公司合夥人卻不看好，因為擔心消費者會對於分享自己的硬碟跟（加密過的）資料覺得不大穩當。

以下是Symform的運作模式：

首先要安裝Symform軟體
從你的電腦出來的資料會被切成每塊64MB的大小，每一塊都會用256位元的AES來加密。
每個64 MB區塊都被打破成1MB的小塊
每一組的64個小塊都會分配檢查碼，分段的方式就跟磁碟陣列的作法是一樣的（這會增加50％的資料大小，但也讓它變成高度可用性）
產生出來的96個分段（每個1 MB）會分散儲存在其他的Symform客戶電腦上，在今天主要集中在美國和歐洲

當你從雲端要求資料時，它就會從所儲存的各個地方取回。如果有些機器無法存取，就會利用檢查碼來重建資料，這也造就了一個非常高冗餘的儲存模式。這種資料是你無法到資料中心去刪除的。

最酷的事情是，這樣一來集中式資料中心的使用量趨近於零，這也意味著服務成本是驚人的低，和舊式的集中式雲端儲存技術像Dropbox或Box.net比其來，幾乎低到了不可思議的地步。Symform對於前200GB的儲存量並不收費。這是Dropbox所免費提供的2GB的100倍。做到100倍的容量差異絕對是顛覆性的技術，這也是為什麼我相信網格雲會破壞掉集中式雲端技術，讓我們以一個雲端架構的口頭禪當成結語：

如果可以就分散它

必要的時候才集中它

一切集中控管。

繼續閱讀

《趨勢專家看雲端運算》巨量資料如何到來還缺少什麼

2012 年 02 月 22 日2012 年 02 月 22 日趨勢科技 TrendMicro 50 筆留言

作者：趨勢科技雲端安全副總裁Dave Asprey

看到Sumo Logic在最新一輪的融資裡拿到了來自Sutter Hill Ventures，Greylock和Shlomo Kramer的一千五百萬美元資金是件很棒的事情。Sumo Logic打敗了另外兩家我也很看好的公司：Splunk和Loggly。

Sumo Data的創辦人是Kumar Saurabh和Christian Beedgen。這對令人印象深刻的企業家夫婦是從Arcsight出來的。我很高興能有機會在他們成立公司後一個月跟他們見面。當時是2010年四月，他們還待在位於聖塔克萊拉大美洲路上的TechMart辦公中心。有意思的是，他們也搬到當我還是Zeus Technologies（如今已是Riverbed的一員了，或者該說是一整隊）行銷副總時的同一個辦公室。這個世界真小呀。

在當時，我是Trinity Ventures負責雲端與虛擬化技術的駐點創業家（Entrepreneur in residence，EIR），但Sumo Logic還未達到創投公司所要求的標準。不過當我遇上他們時還是非常開心，因為一直以來我都很看好這塊領域。

長期以來，其實我投資過一家最早期的部落格檔案管理公司 – Addamark。或許太超前於它的時代而無法生存，所以他們後來變成了SEIM廠商 –SenSage，因為從2000年中期開始。安全變成日誌管理的主要用途。接著，我和其他投資人繼續支持SenSage的創辦人成為世界最早的雲端日誌管理和巨量資料處理。它利用AWS代管服務，早在其他SaaS公司之前就開始了。雖然有些成果，像是Playdom，但是再一次地，它也太超前於它的時代了。不然就是我是個很糟的投資者，因為我一直都是在時機來臨前就想要去做些什麼。

為什麼巨量資料比雲端更重要

我會投資巨量資料的理論和電子商務或IT管理系統所產生的資料無關。我相信我們目前從任何系統所產生的資料量，都遠遠比不上不久之後由我們自己身體從新的消費級醫療科技產品所產生出來的資料量。

繼續閱讀

《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路

2012 年 02 月 20 日2012 年 02 月 13 日趨勢科技 TrendMicro 60 筆留言

趨勢科技最近看到有惡意軟體會從中毒使用者的電腦裡收集微軟Word和Excel文件檔，然後上傳到網路硬碟sendspace.com。Sendspace是一個網路分享空間，提供了檔案代管功能，讓使用者可以「發送、接收、追蹤和分享你的大檔案。」

Sendspace最近曾被用來存放偷來的資料，但並不是透過惡意軟體自動完成。根據去年底的報告，駭客利用Sendspace來處理跟上傳偷來的資料。

但這是第一次，趨勢科技看到有惡意軟體會將竊取的資料上傳到檔案代管與傳送網站。

這次的惡意軟體攻擊是從一個被偵測為TROJ_DOFOIL.GE的檔案 – Fedex_Invoice.exe開始。

為了要讓使用者受到感染，一個用社交工程陷阱偽裝成聯邦快遞貨運通知的電子郵件大量寄給目標的受害者。

一旦執行了這個檔案，TROJ_DOFOIL.GE會下載並執行TSPY_SPCESEND.A。這個下載器同時也會在感染的電腦上安裝其他惡意程式，包括了從BestAV結盟網路來的假防毒軟體變種，和從Yamba網路來的FakeHDD變種。

另外，這一個木馬下載器還跟TSPY_SPCESEND.A共用相同的C&C伺服器。這也強烈地顯示出，做出文件竊取sendspace木馬的犯罪份子，同時也涉及了按成交計費（Pay-Per-Sell，PPS）的地下經濟。

TSPY_SPCESEND.A是一個「拿了就走（grab and go）」木馬程式，它會在中毒電腦的本機硬碟裡搜尋微軟Word 和Excel 文件檔。收集到的檔案會被壓縮起來存放到使用者的暫存資料夾裡，並且利用隨機產生的密碼加密。下圖是一個文件收集壓縮檔的範例：

產生壓縮檔之後，TSPY_SPCESEND.A會將它送到Sendspace.com：

繼續閱讀

利用雲端安全幫忙省錢 – 數字會說話

2012 年 02 月 09 日2012 年 02 月 09 日趨勢科技 TrendMicro 60 筆留言

當人們講到雲端安全，它可能是指1）提供給雲端服務的安全技術 – 保護你所使用的雲端服務，像是保護虛擬主機或是存放在雲端的資料；或是2）利用雲端技術所提供的安全防護，像安全即服務（Security as a Service）會利用雲端技術來提供安全服務，如電子郵件代管或網頁安全。而在這裡，我想偏重於利用雲端技術來提供安全防護，利用混合模式 – 雲端主從架構。

利用雲端技術來提供安全防護可以做到更快速的威脅防護和更好的安全性。傳統安全依賴特徵碼比對。但是取得病毒碼並在企業內部加以派送可能很費時間。花在更新上的時間會出現一個安全空窗期，而為了防禦今日的威脅所需要的龐大病毒碼也會耗費系統資源和效能。但是使用雲端主從架構，可以只安裝輕快的客戶端程式在伺服器或個人電腦上，這個客戶端程式可以使用雲端中最新的威脅智慧，像是來自電子郵件、網頁和檔案信譽評比資料庫的威脅防護。資安廠商可以很快地更新雲端資料，而你也不必等待病毒碼更新以得到保護。

更快的防護可以幫你省錢，因為需要較少的IT人力來回復中毒系統，也減少因為回復中毒系統所造成的生產力損失，而且IT人員花在像管理病毒碼、進行系統升級和管理誤報等的時間也變少了，更別提資料入侵外洩所造成的相關損失了。

但你到底可以省下多少？Osterman Research公佈了一份報告 – 「雲端主從架構以更低的成本提供更好的安全性。」在這份報告中，Osterman Research訪問多家企業以取得資訊來估計這些IT工作在擁有5000名員工的公司所需要的花費。而這報告計算了如果這些公司使用單一廠商在企業內部佈署雲端主從架構會節省的成本。結果很驚人。這些公司每人每年可以節省49美元以上，安全管理成本降低了41％。你可以參考這份文件來了解目前的威脅環境跟關於成本節省的相關資訊。

繼續閱讀