云里雾里云计算【14】云计算经济学之声誉成本

前面谈的是时间成本的问题，接下来谈谈声誉成本。

文中给了列举了 Amazon 云计算平台，Google 的 AppEngine 平台，以及 Google 的邮件系统 Gmail，在 2008 年度因故障而停运的时 间和原因。

文章的笔调很幽默，说 Google 把大家的期望值炒得很高，以至于每当 Google 搜索引擎没法用的时候，人们的第一反应是网络断了，而很少有人怀疑是 Google 服务器坏了。但是事实上，Google 也好，Amazon 也好，只要是机器，的的确确就有出故障的可能。

Outages in AWS, AppEngine and Gmail
Courtesy http://farm4.static.flickr.com/3390/3292975906_ba23e1cf3c_o.gif

当云计算平台出现停止运行的时候，损失的不仅仅是金钱，而是用户对云计算平台的信任。失去了用户的信任，必将逐渐失去市场。所以，维护云计算平台的声誉， 也是成本的一部份。

怎么办？文章给出的对策是让用户同时使用多家公司提供的云计算平台，互为备份，万一其中一家云计算平台暂时中止服务，还有另一家作为备份。但是这个办法有 两个问题，

1.  各家公司的云计算平台之间必须提供统一的 APIs 和 Protocols。

2.  让用户同时使用多家云计算平台，会增加用户的使用成本。

要解决这两个问题，难度不小。

造成云计算平台中止服务的原因，不仅包括云计算平台自身的 bugs，而且还面临来自外部的恶意攻击，其中尤其以 DDOS（Distributed Denial of Service）杀伤力最大。

DDOS 的做法是这样的，预先想办法劫持一大批电脑，劫持的办法是给这些电脑植入木马。预先计划好某个时刻，时间一到，激活所有木马，让它们同时访问同一 个网站，造成目标网站超负荷运行，导致该网站接待不了正常的用户。

怎么抵抗 DDOS 攻击呢？“云而上” 一文给出的办法是扩大云计算平台的规模，让 DDOS 在经济上得不偿失。

“云而上” 文中有一段犯罪经济学分析，

1.  假设攻击的目标是 Amazon 的 EC2 云计算平台。每个 EC2 服务器同一时刻只能承受 500 个访问者，而 EC2 平台总共有 1000 台服务器。

2.  为了造成所有 EC2 服务器瘫痪，攻击者必须招募 1000 x 500 = 50 万个木马，同时发动攻击。据调查，黑市上出售每个被劫持电脑里的木马的价码是每周 3 美分，如果攻击者想招募 50 万个木马，那么他需要投资 1.5 万美 元。

3.  如果 Amazon EC2 平台 1000 台服务器被瘫痪，以 Amazon 目前的标价算，Amazon 每小时将损失 360 美元的流量费，外加每小时 100 美元的计算处理费，总共每小时 460 美元。这是 Amazon 损失的上限，因为实际上不可能所有 EC2 服务器都有业务。通常情况可能只有 60% 到 80% 的服务器有业务，所以实际损失是，276 美元到 368 美元。

4.  因为攻击者预先支付的招募木马的费用是 1.5 万美元，所以攻击者一定想让 Amazon 损失 1.5 万美元以上，否则得不偿失。这样一来，木马攻击的持续时间 不得低于，15000 / 460 = 32 小时。换句话说，如果攻击的持续时间不足 32 小时，那么攻击对于 Amazon 的伤害，将低于攻击者付出的佣金。

5.   攻击的胜负手在于，Amazon 是否有能力在 32 小时内，修复被攻击的 EC2 服务器。以现在的技术手段，及时修复的可能性很大，所以 Amazon 有更多胜 算。

6.  如果 Amazon 的 EC2 平台，不只有 1000 台服务器，而是有 2000 台呢？那么攻击者必须招募 100 万个木马，也就是必须投资 3 万美元。攻击时间仍然 不得低于 32 小时。这样一来，攻击者的风险就不再是 1.5 万美元，而是上涨到 3 万。

7.  如果 Amazon 的实际损失，每小时不足 460 美元，而是 276 美元。那么攻击时间必须持续更久，15000 / 276 = 54 小时。攻击时间从 32 小时延长到 54 小时，修复受损的服务器的可能性更高，Amazon 的胜算更大。

总之，文章的结论是云计算的规模越大，抵抗 DDOS 攻击的胜算越大，越有利于维护企业的声誉。

这段犯罪经济学分析很有启发，但是也有疑点。

1.  每个木马可以同时对多个目标 IP 地址发动攻击。如果一个木马可以同时对 5 个 IP 地址发动攻击，那么攻击者不需要招募 50 万个木马，而只需要 10 万个木马。 换句话说，这段犯罪经济学分析，可能高估了攻击者的成本。

2.  文中说，每瘫痪一台 EC2 服务器一个小时，将给 Amazon 造成 460 美元的损失。问题是，如果每一台 EC2 可以同时服务多个用户，而不是一个，那么给 Amazon 造成的损失就可能比 460 美元高。换句话说，这段犯罪经济学分析，可能低估了 Amazon 的损失。

3.  这段分析着眼于 Amazon 现金的损失，但是声誉的损失难以量计。所以，即便从现金流上看，攻击者貌似得不偿失，但是如果能够极大地损害 Amazon 的声 誉，或许攻击者还是会觉得合算。