云里雾里云计算【14】云计算经济学之声誉成本
前面谈的是时间成本的问题,接下来谈谈声誉成本。
文中给了列举了 Amazon 云计算平台,Google 的 AppEngine 平台,以及 Google 的邮件系统 Gmail,在 2008 年度因故障而停运的时 间和原因。
文章的笔调很幽默,说 Google 把大家的期望值炒得很高,以至于每当 Google 搜索引擎没法用的时候,人们的第一反应是网络断了,而很少有人怀疑是 Google 服务器坏了。但是事实上,Google 也好,Amazon 也好,只要是机器,的的确确就有出故障的可能。
Outages in AWS, AppEngine and Gmail
Courtesy http://farm4.static.flickr.com/3390/3292975906_ba23e1cf3c_o.gif
当云计算平台出现停止运行的时候,损失的不仅仅是金钱,而是用户对云计算平台的信任。失去了用户的信任,必将逐渐失去市场。所以,维护云计算平台的声誉, 也是成本的一部份。
怎么办?文章给出的对策是让用户同时使用多家公司提供的云计算平台,互为备份,万一其中一家云计算平台暂时中止服务,还有另一家作为备份。但是这个办法有 两个问题,
1. 各家公司的云计算平台之间必须提供统一的 APIs 和 Protocols。
2. 让用户同时使用多家云计算平台,会增加用户的使用成本。
要解决这两个问题,难度不小。
造成云计算平台中止服务的原因,不仅包括云计算平台自身的 bugs,而且还面临来自外部的恶意攻击,其中尤其以 DDOS(Distributed Denial of Service)杀伤力最大。
DDOS 的做法是这样的,预先想办法劫持一大批电脑,劫持的办法是给这些电脑植入木马。预先计划好某个时刻,时间一到,激活所有木马,让它们同时访问同一 个网站,造成目标网站超负荷运行,导致该网站接待不了正常的用户。
怎么抵抗 DDOS 攻击呢?“云而上” 一文给出的办法是扩大云计算平台的规模,让 DDOS 在经济上得不偿失。
“云而上” 文中有一段犯罪经济学分析,
1. 假设攻击的目标是 Amazon 的 EC2 云计算平台。每个 EC2 服务器同一时刻只能承受 500 个访问者,而 EC2 平台总共有 1000 台服务器。
2. 为了造成所有 EC2 服务器瘫痪,攻击者必须招募 1000 x 500 = 50 万个木马,同时发动攻击。据调查,黑市上出售每个被劫持电脑里的木马的价码是每周 3 美分,如果攻击者想招募 50 万个木马,那么他需要投资 1.5 万美 元。
3. 如果 Amazon EC2 平台 1000 台服务器被瘫痪,以 Amazon 目前的标价算,Amazon 每小时将损失 360 美元的流量费,外加每小时 100 美元的计算处理费,总共每小时 460 美元。这是 Amazon 损失的上限,因为实际上不可能所有 EC2 服务器都有业务。通常情况可能只有 60% 到 80% 的服务器有业务,所以实际损失是,276 美元到 368 美元。
4. 因为攻击者预先支付的招募木马的费用是 1.5 万美元,所以攻击者一定想让 Amazon 损失 1.5 万美元以上,否则得不偿失。这样一来,木马攻击的持续时间 不得低于,15000 / 460 = 32 小时。换句话说,如果攻击的持续时间不足 32 小时,那么攻击对于 Amazon 的伤害,将低于攻击者付出的佣金。
5. 攻击的胜负手在于,Amazon 是否有能力在 32 小时内,修复被攻击的 EC2 服务器。以现在的技术手段,及时修复的可能性很大,所以 Amazon 有更多胜 算。
6. 如果 Amazon 的 EC2 平台,不只有 1000 台服务器,而是有 2000 台呢?那么攻击者必须招募 100 万个木马,也就是必须投资 3 万美元。攻击时间仍然 不得低于 32 小时。这样一来,攻击者的风险就不再是 1.5 万美元,而是上涨到 3 万。
7. 如果 Amazon 的实际损失,每小时不足 460 美元,而是 276 美元。那么攻击时间必须持续更久,15000 / 276 = 54 小时。攻击时间从 32 小时延长到 54 小时,修复受损的服务器的可能性更高,Amazon 的胜算更大。
总之,文章的结论是云计算的规模越大,抵抗 DDOS 攻击的胜算越大,越有利于维护企业的声誉。
这段犯罪经济学分析很有启发,但是也有疑点。
1. 每个木马可以同时对多个目标 IP 地址发动攻击。如果一个木马可以同时对 5 个 IP 地址发动攻击,那么攻击者不需要招募 50 万个木马,而只需要 10 万个木马。 换句话说,这段犯罪经济学分析,可能高估了攻击者的成本。
2. 文中说,每瘫痪一台 EC2 服务器一个小时,将给 Amazon 造成 460 美元的损失。问题是,如果每一台 EC2 可以同时服务多个用户,而不是一个,那么给 Amazon 造成的损失就可能比 460 美元高。换句话说,这段犯罪经济学分析,可能低估了 Amazon 的损失。
3. 这段分析着眼于 Amazon 现金的损失,但是声誉的损失难以量计。所以,即便从现金流上看,攻击者貌似得不偿失,但是如果能够极大地损害 Amazon 的声 誉,或许攻击者还是会觉得合算。