本文對(duì)Larry Ellison聲稱的一種更優(yōu)秀的、“全然不同”的云架構(gòu)進(jìn)行了更深入的分析。

在9月份的Oracle OpenWorld大會(huì)上，Oracle聯(lián)合創(chuàng)始人兼首席技術(shù)官Larry Ellison聲稱，Oracle的云服務(wù)器比包括AWS在內(nèi)的其他云提供商的云服務(wù)器來(lái)得更安全，原因是其專用服務(wù)器上只有客戶代碼，沒(méi)有用于管理云平臺(tái)的Oracle代碼。

Ellison在舊金山舉辦的這次大會(huì)上發(fā)表主題演講時(shí)說(shuō)：“專用基礎(chǔ)設(shè)施是今年的新品。它是一種專用、預(yù)留的資源池，是只有貴公司使用的機(jī)器。只有你這一個(gè)租戶，唯一的租戶。”

他說(shuō)，其他云提供商將自己的管理代碼放在服務(wù)器上，甚至放在不與其他客戶共享的專用計(jì)算機(jī)上。

Ellison說(shuō)：“你可能是該計(jì)算機(jī)上的唯一租戶，但你也與亞馬遜共享。亞馬遜可以看到你的數(shù)據(jù)，你可以看到亞馬遜的代碼。這兩個(gè)都是很糟糕的主意。你不應(yīng)該能夠訪問(wèn)云控制代碼。亞馬遜不應(yīng)該能夠訪問(wèn)你的數(shù)據(jù)。”

Ellison說(shuō)，Oracle有一種“全然不同的云配置”。

他說(shuō)：“以我們?yōu)槔?，你有一臺(tái)專用計(jì)算機(jī)，而我們的控制代碼在擁有不同內(nèi)存系統(tǒng)的另一臺(tái)計(jì)算機(jī)中。這形成了安全的隔離區(qū)域，因此威脅無(wú)法進(jìn)入到云端。而且如果不懷好意的人憑信用卡進(jìn)入，他無(wú)法離開(kāi)其區(qū)域、進(jìn)入到你的區(qū)域。”

OpenWorld上宣布的Maximum Security Zones還沒(méi)有上市。Oracle安全產(chǎn)品營(yíng)銷副總裁Fred Kost表示，這些僅包含客戶信息的云服務(wù)器將于明年上市。

還推出了另一個(gè)架構(gòu)層面，Oracle聲稱使其云平臺(tái)具有獨(dú)特的安全性：使用第2層軟件定義網(wǎng)絡(luò)，該網(wǎng)絡(luò)允許用戶訪問(wèn)服務(wù)器，無(wú)需在服務(wù)器上運(yùn)行虛擬化代理。

Oracle云基礎(chǔ)設(shè)施高級(jí)副總裁Clay Magouyrk在大會(huì)上的另一場(chǎng)演講中說(shuō)：“我們是第一家提供裸機(jī)的公共云，我們將是第一家提供普遍性第2層網(wǎng)絡(luò)的公共云。”

亞馬遜確認(rèn)，它提供的專用服務(wù)器和裸機(jī)服務(wù)器上都有一層AWS代碼。

AWS發(fā)言人說(shuō)：“專用的租賃實(shí)例是只有客戶在使用硬件的實(shí)例，這有助于滿足合規(guī)和許可要求。裸機(jī)實(shí)例也是專用的——沒(méi)有其他客戶在使用硬件，客戶獲得硬件的全部資源，因?yàn)锳WS網(wǎng)絡(luò)、存儲(chǔ)和安全虛擬化完全在一個(gè)單獨(dú)的Nitro系統(tǒng)上運(yùn)行。”

然而，在該客戶硬件上運(yùn)行的AWS代碼與Ellison描述的不一樣。專用實(shí)例和裸機(jī)實(shí)例都“運(yùn)行一層很薄的AWS代碼……但這不是管理工具。該層是低級(jí)的、非交互的，邏輯上與其他非客戶代碼沒(méi)有什么區(qū)別，比如固件、BMC、BIOS、內(nèi)存初始化以及系統(tǒng)上運(yùn)行的控制器代碼。實(shí)際上，該層讓AWS得以驗(yàn)證非客戶代碼未被惡意軟件破壞或替換。”

AWS發(fā)言人說(shuō)，Oracle的機(jī)器上也有固件，固件本身可能會(huì)帶來(lái)安全風(fēng)險(xiǎn)。

那么，Oracle的基礎(chǔ)設(shè)施是否在安全上比其他云提供商有任何顯著的改進(jìn)？

總部位于帕洛阿爾托的數(shù)據(jù)安全公司Vera的高級(jí)副總裁Ramon Peypoch說(shuō)：“改進(jìn)不大。”他說(shuō)，第2層網(wǎng)絡(luò)也是如此。

他說(shuō)：“經(jīng)驗(yàn)豐富的安全從業(yè)人員知道，任何服務(wù)器都可能被人鉆空子或被人破壞。”

與此同時(shí)，希望獲得完全裸機(jī)服務(wù)器的客戶可以使用專業(yè)公司的產(chǎn)品，比如IBM的前SoftLayer基礎(chǔ)設(shè)施或Rackspace。許多數(shù)據(jù)中心提供商將與大型企業(yè)客戶合作，為它們提供所需的控制級(jí)別，使用此類服務(wù)的云供應(yīng)商Protegrity的產(chǎn)品和開(kāi)發(fā)高級(jí)副總裁Dominic Sartorio如是說(shuō)。

他說(shuō)：“我們自己在康涅狄格州斯坦福德市辦公室的街對(duì)面有主機(jī)托管設(shè)施——實(shí)際上，我們?cè)谌蚋鞯囟歼@么做。只要想一想外面的所有主機(jī)托管，所有托管的數(shù)據(jù)中心。你甚至可以拿來(lái)自己的裸機(jī)，他們會(huì)為你托管。”