Cloud Computing och Säkerhet 11 mars 2010, för Logica2
Jens RiboeRibomation
För diverse kunder
1990 1995 2000 2005 2010
KTH Ribomation ERA
London
GoyadaWily (San Francisco)
VzB
OW RMSICS
Cloud Computing och Säkerhet 11 mars 2010, för Logica3
Problem/Prestanda analys
Cloud Computing och Säkerhet 11 mars 2010, för Logica4
Agenda
Varför
Vad
Hur
Vart
Vem
Vilka
Bakgrund och terminologi Användningsområden Molntyper Tjänster för utvecklare AWS Juridikens fallgropar Säkerheten i AWS
Spara frågorna tills efter
presentationen
Elastic ComputingCloud ComputingSoftware as a Service
Bakgrund och Terminologi
Cloud Computing och Säkerhet 11 mars 2010, för Logica6
Mellan försäljningstopparna
”Vad använder man sina servrar till
när det inte är toppbelastning såsom Xmas, Valentine’s Day?”
— undrade en av världens största detaljhandelskedjor
Cloud Computing och Säkerhet 11 mars 2010, för Logica7
Det korta och oglamorösa svaret Cloud Computing är en ny paradigm
för driftsättning av applikationer Använder virtualisering i massiv
skala
Cloud Computing och Säkerhet 11 mars 2010, för Logica8
Cloud Computing = V + C + A + P
Virtualization (Xen) + DataCenter (Amazon)
+ PublicAccess (SSH/X.509)
+ PricingModel ($0.08/h)
Cloud Computing och Säkerhet 11 mars 2010, för Logica9
Software-as-a-Service (SaaS) Webbaserad tjänst Snabbt växande affärsområde Har ingen direkt koppling till Cloud
Computing Man kan driva en SaaS tjänst från en
skrivbordsdator Prestanda blir förvisso lidande
Många stora SaaS tjänster drivs från egna servrar Ordet myntades av SalesForce
Cloud Computing och Säkerhet 11 mars 2010, för Logica10
Relationen SaaS vs. CC
Consumer Provider
SaaS Cloud Computing
Cloud Computing och Säkerhet 11 mars 2010, för Logica11
XaaS
Det finns många varianter av Something-aaS
Component-as-a-Service Specialiserade tjänster för webb-
applikationer Platform-as-a-Service
Applikations-exekverings-miljö Infrastructure-as-a-Service
Virtuella resurser såsom, servrar, hårddiskar, köhanterare, datalagring, IP-adresser
Extra datakraftEnkel driftsättningSkalbara applikationerStora databehandlingar
Användningsområden
Cloud Computing och Säkerhet 11 mars 2010, för Logica13
(1) Extra datakraft
Projekt servrar Test servrar Last generatorer . . .
Slit & släng åldern för
servrar
Cloud Computing och Säkerhet 11 mars 2010, för Logica14
(2) Enkel driftsättning
Vad behöver man en driftsättningsavdelning till, när man kan sköta jobbet självt med några klick? 5 min
Cloud Computing och Säkerhet 11 mars 2010, för Logica15
(3) Skalbara applikationer
Exempel: animoto.com
1
2
3
4/11/08 4/12/08 4/13/08 4/14/08 4/15/08 4/16/08 4/17/08 4/18/08 4/19/080
500
1000
1500
2000
2500
3000
3500
4000
Från 10 till 3500 servrar på en vecka
Users:Monday: 25K UsersTuesday: 50K UsersWednesday: 100K UsersThursday: 250K Users
Platform:EC2SQSS3RightScaleRuby on Rails
Cloud Computing och Säkerhet 11 mars 2010, för Logica16
(4) Stora data behandlingar
Batch körningar Analys av transaktionsloggar Stora konverteringsarbeten
Används av Google Yahoo LastFM Facebook . . .
Källor: http://www.slideshare.net/acarlos1000/hadoop-basics-presentation/28http://open.blogs.nytimes.com/2007/11/01/self-service-prorated-super-computing-fun/
InfrastruktursmolnApplikationsmolnDatabehandlingsmoln
Molntyper
Cloud Computing och Säkerhet 11 mars 2010, för Logica18
Infrastruktursmoln
Som hosting, men i massiv skala Pay-as-you-go
Hyra av server per timme Fokus på servrar och datalagring
Elastic computing – virtuella servrar Elastic storage – virtuella hårddiskar Lagringstjänster – SAN Kö-tjänster – job/task queue Statiska IP adresser
Cloud Computing och Säkerhet 11 mars 2010, för Logica19
Några aktörer
Amazon Web Services (AWS) Först, störst och bäst
Hosting företag myCityCloud Rackspace GoGrid …
Cloud Computing och Säkerhet 11 mars 2010, för Logica20
Eget privat moln
Eucaluptus Open source version av AWS API kompatibelt med ECS/EBS/S3 Standard i Ubuntu Server 9.x
Enomaly Det system som AWS själva kör
Cloud Computing och Säkerhet 11 mars 2010, för Logica21
Applikationsmoln
Distribuerad plattform för applikationer
Google App Engine (GAE) Java/Python, BigTable
Salesforce Force.com Eget scriptspråk, Oracle, enterprise grade
Windows Azure .NET
Cloud Computing och Säkerhet 11 mars 2010, för Logica22
Databehandlingsmoln
Storskalig extraktion/aggregering av information
Apache/Yahoo Hadoop Exekvering över 100-tals noder
Yahoo har ett Hadoop kluster på 20000+ noder
Java open-source implementation HDFS (idé från Google FileSystem GFS) MapReduce (idé från Google map-reduce) Hive (idé från Google BigTable)
Exempel på utvecklartjänster
Cloud Computing och Säkerhet 11 mars 2010, för Logica24
Versionshantering++
Hantering av källkod Versionshantering Tickets Milestones Wiki Blog RSS . . .
Cloud Computing och Säkerhet 11 mars 2010, för Logica25
Component-as-a-Service
Specialiserade SaaS tjänster för webb applikations utveckling
Cloud Computing och Säkerhet 11 mars 2010, för Logica26
Test @ EC2
Driftsätt målsystemet temporärt i molnet Använd en lastgenereringstjänst Används en prestanda-monitorerings-tjänst Terminera servrarna och iterera
Nästa konfigureringsuppsättning
Kan köra godtyckligt många testsviter parallellt
Cloud Computing och Säkerhet 11 mars 2010, för Logica27
Lasttestningstjänster
Generering av massiv trafik Geografiskt spridd
AWS – Amazon Web Services
Cloud Computing och Säkerhet 11 mars 2010, för Logica29
EC2 / EBS / S3 / AMI / EIA / SQS
DNS
EBS
EC2
EIA
static IP
putget
SAN
HTTP
SSH & RDP22 & 3389
Security Group
AMI
HTTP80
S3
SQS
Inget är åtkomligt om man inte först öppnar en port i brandväggen.
SDB
RDBMySQ
L
Cloud Computing och Säkerhet 11 mars 2010, för Logica30
EC2 Instance Types
Name Cores Compute
Units
Bits RAM [GB]
Disk [GB]
$/h
Small 1 1 32 1.7 160 0.085
Large 2 4 64 7.5 850 0.34
X-Large 4 8 64 15 1690 0.68
High CPU
Medium 2 5 32 1.7 350 0.17
X-Large 8 20 64 7 1690 0.68
High Memory
X-Large 2 6.5 64 17.1 420 0.50
XX-Large 4 13 64 34.2 850 1.20
XXXX-Large
8 26 64 68.4 1690 2.40
One EC2 Compute Unit (ECU) provides the equivalent CPU capacity of a 1.0-1.2 GHz 2007 Opteron or 2007 Xeon processor.
Cloud Computing och Säkerhet 11 mars 2010, för Logica31
Operativ System
Utan kostnad och utan support Med kostnad och med support Egen byggnation
Det går att med lite Linux händighet bygga en AMI från en tom diskblock fil
Många färdiga konfigurationer
Cloud Computing och Säkerhet 11 mars 2010, för Logica32
Global driftsättning
En region består av en eller flera zoner US-East (North Virginia) US-West (North California) EU (Ireland) ASIA (Singapore) - planned
En zone utgör ett logiskt data center Ett logiskt data center är resursmässigt helt fristående
US
EURegions
Cloud Computing och Säkerhet 11 mars 2010, för Logica33
Priser
Cloud Computing och Säkerhet 11 mars 2010, för Logica34
AWS Ekonomi
As you go USD 0,085/h (EC2 Small)
Reserved Instance USD 0,03/h + 227/yr USD 0,03/h + 350/3yr
Spot Bidding
Betalar för per
påbörjad timme
Juridikens fallgropar
Cloud Computing och Säkerhet 11 mars 2010, för Logica36
Person- och betalnings information
Vissa former av persondata och betalningsdata får inte lagras utanför Sverige och/eller EU
Reglerna talar om ”lagring”, men adresserar inte databehandling och datakommunikation Data passera ett internationellt ’moln’ via efemära
enheter
S3
EBS
AMI SQS
CloudFront
Cloud Computing och Säkerhet 11 mars 2010, för Logica37
Datalagringslagarna (FRA m.fl.) Data som skickas utanför landets
gränser skall lagras för senare analys av FRA
Detta innebär att även kreditkortsdata och annan känslig information kommer att lagras för analys
AutentiseringBrandväggLagringKrypteringVPNApplikation
Säkerhet i AWS molnet
Cloud Computing och Säkerhet 11 mars 2010, för Logica39
Autentisering
AWS Management Console Hantering av AWS resurser
Server logon Hantering av enskild server
API operations Script baserad hantering av AWS resurser Automatisering av server boot &
configuration, etc
Cloud Computing och Säkerhet 11 mars 2010, för Logica40
API Operations
Operationer via REST/Query eller SOAP Transport via HTTP eller HTTPS
SHA1 HMAC digest of request params Pub&Priv keypair (X.509) Signaturen giltig i 15 min
Det finns högvis med bibliotek i
olika program
språk
Cloud Computing och Säkerhet 11 mars 2010, för Logica41
Server logon
Linux/Unix SSH via X.509 certifikat
Ej samma som AWS cert Vanligtvis inloggad som user ´root´ Canonical Ubuntu
Inloggad som user ´ubuntu´ med sudo
Windows RDP till Windows
Måste hämta genererat adm pwd först
Cloud Computing och Säkerhet 11 mars 2010, för Logica42
Management logon
AWS Management Console HTTPS och User/Pwd logon
Extra: dosa för engångslösenord
Elastic Fox API authentication JavaScript
Ylastic, RightScale, CloudFoundry, … API authentication Java, Ruby, …
Cloud Computing och Säkerhet 11 mars 2010, för Logica43
Brandvägg (SG - Security Group) SG sätts innan EC2 server boot
Kan inte ändra SG tillhörighet efter boot Kan ändra SG regler
SG utan regler Publika IP portar
Alla stängda EC2 servrar (egna eller andras)
Ingen åtkomst
Mer info http://awsmedia.s3.amazonaws.com/pdf/
AWS_Security_Whitepaper.pdf
http://awsmedia.s3.amazonaws.com/pdf/AWS_Security_Whitepaper.pdf
Cloud Computing och Säkerhet 11 mars 2010, för Logica44
Lagring
EC2 server Efemärt filsystem, som försvinner efter
shutdown AMI – 10GB för OS, lagras i S3
EBS Virtuell hårddisk Snapshots till S3
S3 Distribuerat replikerande filsystem Access via HTTP/HTTPS (AWS API) Åtkomst regleras med ACL
Cloud Computing och Säkerhet 11 mars 2010, för Logica45
EBS – Disk kryptering
File GnuPGP
File System encfs
Block Device Filsystemet ovanpå krypterad block device cryptsetup/LUKS
Mer info http://alestic.com/2009/10/ec2-disk-
encryption
Rekommenderas
Cloud Computing och Säkerhet 11 mars 2010, för Logica46
AWS Virtual Private Cloud
VPN från eget nät till reserverat AWS subnet
Egna privata IP adresser IPsec
IKE-PSK, AES-128, HMAC-SHA-1, PFS
http://media.amazonwebservices.com/VPC_Diagram.gif
Cloud Computing och Säkerhet 11 mars 2010, för Logica47
Applikation
Normal vaksamhet Samma grad av security som för egna
servrar Brukarens eget ansvar
Demo
Cloud Computing och Säkerhet 11 mars 2010, för Logica49
AWS EC2
Sammanfattning
Cloud Computing och Säkerhet 11 mars 2010, för Logica51
Fördelar
Tekniska fördelar Capacity on demand Scale Up & Scale Down Fault Tolerant Simple Architecture
Ekonomiska fördelar No Up-Front Capital Investment Pay as you go Start Small & Pay as You Grow
Cloud Computing och Säkerhet 11 mars 2010, för Logica52
Påverkar
Design av nya applikationer Skalbara och feltoleranta från början
Val av open-source Löser licens frågan
Testning av dessa applikationer Mer omfattande testning på kortare tid
Driftsättning av dessa applikationer Enklare och lättare att prova sig fram och
förändra
Cloud Computing och Säkerhet 11 mars 2010, för Logica53
Förändrar
Drift avdelningen Kan rulla ut ny konfig på en timme
Programmerings avdelningen Kan skapa en mashup på en timme
Test avdelningen Kan köra hela testsviten på en timme
Affärsdrivande avdelningar Kan dra igång eget projekt på en timme
Cloud Computing och Säkerhet 11 mars 2010, för Logica54
Frågor
Jens Riboe+46 (0)730-314040