Концепция облачных вычислений значительно изменила традиционный подход к доставке, управлению и интеграции приложений, используемых в правительственных и силовых ведомствах различных государств. По сравнению с традиционным подходом, облачные вычисления позволяют управлять более крупными инфраструктурами, обслуживать различные группы пользователей в пределах одного облака, а также означают полную зависимость от провайдера облачных услуг. Вычислительные облака состоят из большого количества серверов, размещенных в центрах обработки данных (ЦОД), обеспечивающих работу десятков тысяч приложений, которые одновременно используют миллионы пользователей.
Так, например, в начале 2017 года глава Пентагона Джеймс Мэттис посетил «Кремниевую долину», где ему продемонстрировали, как коммерческие компании защищают себя от кибератак. Позже, в октябре того же года на пресс-конференции с общественностью заместитель Министра обороны США Патрик Шенахан подчеркнул, что в Министерстве обороны США давно назрела необходимость использования облачных сервисов. Из официальных выступлений Шенахана мировой общественности стало известно о планах Министерства обороны США активно задействовать облачные вычисления для усиления информационной безопасности ведомства и сохранения технологических преимуществ, которыми пользуются американские военные по всему миру. Таким образом, в 2017 году Министерство обороны США начало предпринимать активные шаги по организации использования облачных технологий в ведомстве, сформировав подразделение Cloud Executive Steering Group (CESG), которое занималось оцениванием потенциала использования различных облачных сервисов и выбором наилучших вариантов. В октябре 2019 году Пентагон заключил контракт на 10 миллиардов долларов с корпорацией «Microsoft» на реализацию вышеизложенных планов в рамках проекта Joint Enterprise Defense Infrastructure (JEDI) [1], которые помогут ведомству анализировать и обрабатывать большие массивы секретных военных данных. Согласно данному контракту, Минобороны США в течении 10 лет будет проводить поэтапное подключение всех своих подразделений к облачным сервисам Microsoft Azure.
Облачные вычисления – это модель обеспечения сетевого доступа к некоторому общему фонду конфигурируемых вычислительных ресурсов через сеть общего пользования Интернет (например, локальным вычислительным сетям передачи данных, серверам, устройствам хранения данных, приложениям и сервисам, как вместе, так и по отдельности), размещенных в ЦОД. Существует 3 типа предоставляемых облачных вычислений их арендаторам.
Общедоступное (публичное) облако
Это модель предоставления услуг, при которой все физические ресурсы ЦОД, такие как вычислительные мощности, диски и сети, объединяются в большие пулы виртуальных ресурсов. Виртуальные машины разных арендаторов изолированы друг от друга. Под публичностью облака подразумевается, что данные различных арендаторов физически могут храниться на одном физическом сервере совместно, но не иметь доступа друг другу. При этом нельзя однозначно определить на каком именно физическом оборудовании будут находится виртуальные машины конкретных арендаторов, так как при хранении в кластере виртуальные машины перемещаются между серверами для балансировки нагрузки и повышения отказоустойчивости. Именно выделение «частных» ресурсов из общего «публичного» пула делает облако публичным.
Частное (приватное) облако
Это противоположность публичного облака, в котором пул физических ресурсов (физический сервер) будет предоставляться только одному арендатору. При этом где именно располагается оборудование частного облака не имеет значения. Облако будет считаться частным не только в случае, если оборудование расположено на территории арендатора, но также возможны варианты, когда оборудование располагается в ЦОД совместно с физическим оборудованием других заказчиков.
Гибридное облако
Это модель потребления вычислительных ресурсов, при которой арендатором часть системы размещается в публичном облаке, на базе оборудования облачного провайдера, а часть – в приватном облаке, на серверах, принадлежащих самому арендатору или арендованных целиком. Концепция гибридного облака позволяет объединить в единое облачное пространство внутреннего облака и внешнего облака провайдера. Основная идея гибридного облака заключается в том, что, когда у арендаторов не хватает собственных мощностей, возможно воспользоваться внешними ресурсами.
Microsoft Azure – это платформа приложений фирмы Microsoft для облачных вычислений. Платформа Microsoft Azure состоит из служб приложения, выполняющихся в ЦОД Microsoft, доступных через сеть Интернет. Достоинством данной платформы является предоставление арендаторам широкого спектра телекоммуникационных сервисов и услуг [2] (более 600), которые условно можно сгруппировать по категориям в стек технологий, представленных на рис. 1.
Рисунок 1. Сервисы и службы Microsoft Azure
1. Модели выполнения. Одной из базовых функций облачной платформы является выполнение приложений. Как показано на рис. 2, платформа Microsoft Azure предоставляет для этого три варианта.
1) Виртуальные машины предоставляют возможность создания виртуальных машин из стандартных образов или образов, предоставляемых самим арендатором (например, Windows Server различных версий, серверные операционные системы на базе Linux).
Рисунок 2. Модели выполнения
2) Веб-сайты являются одним из самых востребованных, так как на их основе реализуется запуск веб-сайтов и веб-приложений. Поддерживает популярные приложения для разработки сайтов, такие как WordPress, Joomla и Drupal. Администрирование осуществляется Microsoft, что налагает ограничение на установку дополнительного программного обеспечения и предоставление различных ролей администраторов арендатору.
3) Облачные службы предоставляют те же услуги, что и веб-сайты, но с возможностью установки дополнительного программного обеспечения и предоставления ролей администраторов арендатору.
2. Управление данными. Приложениям для выполнения своих функций необходимы данные, причем различным типам приложений необходимы свои типы данных. Поэтому в Microsoft Azure реализованы различные способы для хранения и управления данными, представленные на рис. 3. Каждый из этих трёх вариантов направлен на различные нужды: хранение реляционных данных, быстрый доступ к потенциально большим объёмам данных простых типов и хранение неструктурированных двоичных данных. Во всех трёх случаях данные автоматически реплицируются на три различных компьютера в ЦОД для обеспечения высокой доступности.
Рисунок 3. Управление данными
1) База данных SQL предоставляет возможность хранения реляционных данных и все ключевые функции реляционной системы управления базами данных, включая атомарные транзакции, параллельный доступ к данным нескольких пользователей с обеспечением целостности данных, запросы к данным на языке SQL и т.д.
2) Таблицы – это технология не предполагает реляционного хранения данных. Вместо этого, таблицы позволяют приложению хранить свойства различных типов, таких как строки, целые числа и даты. Приложение может извлекать группу свойств по уникальному ключу этой группы и обеспечивают быстрый доступ к типизированным данным.
3) Большие двоичные объекты предназначены для хранения неструктурированных двоичных данных (например, приложения, которые хранят большие объемы данных видео-форматов, резервные копии носителей информации, постоянное хранилище для файловых систем Windows и пр.).
3. Сетевые средства. В настоящее время платформа Microsoft Azure выполняется в нескольких десятках распределенных ЦОД, расположенных на территории США, Европы и Азии. Возможность выбора варианта подключения арендаторов к ЦОД предоставляется с помощью технологий, изображенных на рис. 4.
Рисунок 4. Сетевые средства
1) Виртуальная сеть предназначена для подключения локальной компьютерной сети арендатора к определенному набору виртуальных машин.
2) Компонент Connect предназначен для того, чтобы подключить один или более серверов локальной сети арендатора с определенным приложением платформы Microsoft Azure.
3) Диспетчер трафика необходим в тех случаях, когда арендатору необходимо сопоставлять пользователей, расположенных на разных территориях (регионах, странах и континентах) с экземплярами приложения, размещенного в нескольких ЦОД, территориально отдаленных друг от друга.
4. Бизнес аналитика. Анализ данных – это основная форма использования бизнесом информационных технологий. Облачная платформа, предоставляет набор ресурсов, доступных по требованию и оплачиваемых по мере их использования. Соответственно, платформа Microsoft Azure предоставляет 2 варианта для бизнес-аналитики, изображенные на рис. 5.
Рисунок 5. Бизнес аналитика
1) Служба отчетов SQL Reporting позволяет создавать отчеты различных форматов (HTML, XML, PDF, EXEL и др.) в приложениях, выполняемых как в облаке Microsoft Azure, так и локально. Создаваемые отчеты могут встраиваться в необходимые приложения или просматриваться в веб-браузерах.
2) Служба платформы Microsoft Azure, реализующая технологию Apache Hadoop, позволяет файловой системе HDFS (распределенная файловая система) распределять данные между множеством виртуальных машин.
5. Обмен сообщениями. Как правило, части программного кода одного приложения, в независимости его предназначения, должны взаимодействовать с частями программного кода другого приложения. В таких случаях достаточно создания обычной очереди сообщений. В других случаях требуется более сложное взаимодействие. Платформа Microsoft Azure предоставляет несколько способов решения такого рода задач. Рис. 6 иллюстрирует возможные варианты.
Рисунок 6. Обмен сообщениями
1) Применение очереди сообщения необходимо в простых случаях, когда одно приложение помещает сообщение в очередь и это сообщение будет прочитано со временем другим приложением.
2) Шина обслуживания также предоставляет услугу очередей, но в отличии от нее позволяет организовать внутри набора приложений связь в режиме один ко многим. Шина обслуживания позволяет взаимодействовать как приложениям платформы Microsoft Azure, так и программам, работающим на другой облачной платформе.
6. Кэширование. Приложения наиболее часто в ходе функционирования постоянно обращаются к одним и тем же данным. Один из способов повышения производительности – это хранение копии данных «ближе» к приложению, сокращая время, необходимое для их получения. Для реализации этого способа Microsoft Azure предоставляет 2 различных сервиса, изображенных на рис. 7.
Рисунок 7. Кэширование
1) Технология кэширования предоставляет большую скорость доступа к данным, чем базы данных SQL, таблицы или большие двоичные данные за счет хранения в оперативной памяти. При этом кэш может храниться как на виртуальной машине арендатора приложения, так и в отдельной, специально выделенной для кэширования.
2) Сеть доставки контента состоит из десятков сайтов по всему миру, каждый из которых способен хранить копии больших двоичных объектов. При первом обращении пользователя, территориально находящегося в каком-либо регионе, к определенному большому двоичному объекту, информация, содержащаяся в этом объекте, копируется из ЦОД в локальное хранилище узла сети доставки контента в этом регионе. На последующие запросы пользователя, данные будут представляться уже из узла сети доставки контента.
7. Удостоверение. Часть функционала большинства приложений составляет работа с удостоверениями, т.е. решение о способе взаимодействия с пользователем принимается приложением, в зависимости от того, какими правами доступа к ресурсу обладает этот пользователь. Решение этих задач возложена на службу каталога (Active Directory) Microsoft Azure. Службы каталога являются ключевой основой локальной компьютеризации в организациях, хранит информацию о пользователях и организациях, к которым они принадлежат, что позволяет однозначно идентифицировать пользователя по присвоенному ему маркеру доступа. Также служба «Удостоверения» позволяет синхронизировать информацию о пользователе со службой каталога платформы Windows Server, реализованной в локальной сети организации.
8. Высокопроизводительные вычисления. Сущность высокопроизводительных вычислений заключается в одновременном выполнении программного кода на большом количестве виртуальных машин, параллельно работающих над решением некоторой задачи. Для осуществления этого требуется некий способ задания расписания для приложений, т.е. распределить их работу между экземплярами. С целью решения такого рода задач в Microsoft Azure используется «Планировщик».
9. Мультимедиа. На данный момент большую часть трафика в сети Интернет составляют видеоданные. Предоставление видео-контента в сети является сложной задачей, т.к. необходимо учитывать множество факторов (например, алгоритм кодирования или разрешение экрана пользовательского устройства). Для решения этих задач реализованы службы мультимедиа, представленные на рис. 8.
Рисунок 8. Службы мультимедиа
Как видно из рисунка, службы мультимедиа предоставляют набор компонентов для приложений, использующих видео или другой медийный контент.
10. Коммерция. Возникновение парадигмы «Программное обеспечение как услуга», расположенное в облаке, меняет способ создания приложений. При таком подходе потенциальные пользователи обращаются в облако для приобретения коммерческих доступных наборов данных и программных решений онлайн. Для решения этих задач был разработан торговый сервис Marketplace, представленный на рис. 9.
Рисунок 9. Торговый сервис Marketplace платформы Microsoft Azure
11. Комплект разработчика. Данный сервис предназначен для создания, развертывания и управления приложениями Microsoft Azure с помощью комплекта разработчика, ориентированные на такие языки программирования, как .NET, Java, PHP, Node.js и Python. Включает в себя инструменты командной строки, которые возможно использовать с любым редактором программного кода или средой разработки и инструменты развертывания приложений в облако из систем под управлением Linux и Macintosh.
Для предоставления облачных услуг Azure по состоянию на 2020 год корпорация Microsoft владеет более чем 160 физическими ЦОД в 57 регионах мира [дать ссылку]. Например в 3 регионах США – для частного использования государственными организациями США и их партнеров и в 2 регионах США – исключительно только для использования Министерством обороны США (таблица 1).
Таблица 1
|
ЦОД Microsoft |
Используемые службы и сервисы Microsoft Azure |
|||
|
Принадлежность |
Расположение |
Azure Active Directory (предоставляет средства единого входа и многофакторной аутентификации) |
Доменные службы Azure Active Directory (использование контроллера домена как службы или сервиса) |
Хранилище «дисков» (блочное хранилище для виртуальных машин Azure) |
|
Министерство обороны США |
Центральный регион, Айова |
+ |
– |
+ |
|
Восточный регион, Виргиния |
+ |
– |
+ |
|
|
Правительство США |
Аризона |
– |
+ |
+ |
|
Техас |
– |
+ |
+ |
|
|
Губернатор США |
Виргиния |
– |
+ |
+ |
В [3] представлен полный список диапазонов публичных IP-адресов с указаниями используемых сервисов и служб, а также их принадлежность к государственным организациям США.
Microsoft Azure представляет сервис «Удостоверение», реализующий технологию службы каталога (Azure Active Directory) и доменные службы. Она предназначена для предоставления средств интеграции локальных вычислительных сетей организаций в облако Azure, а также единого входа и многофакторной аутентификации пользователей (рис. 10).
Рисунок 10. Типовая схема интегрирования локальных вычислительных сетей
государственных структур и организаций в облако Microsoft Azure
Следует отметить, что данная служба каталога является ключевой проблемой с позиции необходимости обеспечения безопасности информации. Это обусловлено следующими факторами:
- правительственные, государственные и силовые ведомства государств, а также коммерческие организации, выполняющие задачи в их интересах, интегрируют свои внутренние локальные вычислительные сети в облако Microsoft Azure посредством данного сервиса;
- служба каталога Microsoft Azure хранит в себе данные о пользователях и группах, к которым они принадлежат, их права доступа к информационным ресурсам, связях между пользователями (их социальных граф);
- информационные ресурсы организаций, расположенные и циркулирующие на разных локальных дисках и не имеющих логического доступа друг другу, физически могут быть расположены на одних физически серверах в ЦОД, и в случае несанкционированного доступа к ресурсам одной из организаций, имеется потенцальная возможность компрометации других организаций.
Библиографический список
- Официальный сайт Минобороны США. [Электронный ресурс] https://www.defense.gov/Newsroom/Contracts/Contract/Article/1999639/
- Официальный сайт Microsoft. [Электронный ресурс] https://azure.microsoft.com/ru-ru/
- Официальный сайт Microsoft. [Электронный ресурс] https://www.microsoft.com/en-us/download/details.aspx?id=56519
Количество просмотров публикации: Please wait