Μελέτη σχεδίασης και υλοποίησης εικονικοποίησης περιβάλλοντος εργασίας με τεχνικές υπολογιστικού νέφους και έμφαση σε κινητές συσκευές

Μέγεθος: px
Εμφάνιση ξεκινά από τη σελίδα:

Download "Μελέτη σχεδίασης και υλοποίησης εικονικοποίησης περιβάλλοντος εργασίας με τεχνικές υπολογιστικού νέφους και έμφαση σε κινητές συσκευές"

Transcript

1 Τμήμα Ηλεκτρονικών Μηχανικών ΤΕ Μελέτη σχεδίασης και υλοποίησης εικονικοποίησης περιβάλλοντος εργασίας με τεχνικές υπολογιστικού νέφους και έμφαση σε κινητές συσκευές Πτυχιακή Εργασία Φώτιος Ζήσιμος Επιβλέπων Καθηγητής Χαράλαμπος Ζ. Πατρικάκης Επίκουρος Καθηγητής Ημερομηνία Οκτώβριος

2 Τμήμα Ηλεκτρονικής Department of Electronics Engineering Design and implementation of a Desktop virtualization framework using Cloud computing and emphasizing of the use of mobile devices Thesis Fotios Zisimos Supervisor Charalampos Z. Patrikakis Assistant Professor Date October2013 2

3 . Φώτιος Ζήσιμος Αριθμός Μητρώου :14541 Copyright Φώτιος Ζήσιμος, 2013 Με επιφύλαξη παντός δικαιώματος, All rights reserved Απαγορεύεται η αντιγραφή, αποθήκευση και διανομή της παρούσας εργασίας, εξ ολοκλήρου ή τμήματος αυτής, για εμπορικό σκοπό. Επιτρέπεται η ανατύπωση, αποθήκευση και διανομή για σκοπό μη κερδοσκοπικό, εκπαιδευτικής ή ερευνητικής φύσης, υπό την προϋπόθεση να αναφέρεται η πηγή προέλευσης και να διατηρείται το παρόν μήνυμα. Ερωτήματα που αφορούν τη χρήση της εργασίας για κερδοσκοπικό σκοπό πρέπει να απευθύνονται προς τους συγγραφείς. Οι απόψεις και τα συμπεράσματα που περιέχονται σε αυτό το έγγραφο εκφράζουν τους συγγραφείς και δεν πρέπει να ερμηνευθεί ότι αντιπροσωπεύουν τις επίσημες θέσεις του Τεχνολογικού Εκπαιδευτικού Ιδρύματος Πειραιά. 3

4 Τμήμα Ηλεκτρονικών Μηχανικών ΤΕ Μελέτη σχεδίασης και υλοποίησης εικονικοποίησης περιβάλλοντος εργασίας με τεχνικές υπολογιστικού νέφους και έμφαση σε κινητές συσκευές Πτυχιακή Εργασία Επιβλέπων Καθηγητής Χαράλαμπος Ζ. Πατρικάκης Επίκουρος Καθηγητής Εξεταστής Θέση Εξεταστής Θέση Εξεταστής Θέση Ημερομηνία 4

5 Ευχαριστίες Αρχικά θα ήθελα να ευχαριστήσω τον επιβλέποντα καθηγητή μου Χαράλαμπο Ζ. Πατρικάκη για την παρότρυνση του να αναλάβω αυτή την πτυχιακή εργασία, καθώς και για την καθοδήγηση του σε όλη την διάρκεια της εκπόνησης της. Επίσης θα ήθελα να ευχαριστήσω τους συναδέλφους μου Ευάγγελο Γκλεζάκο, Αναστάσιο Πολυδωρόπουλο, και Γεώργιο Πρακατέ οι οποίοι με τις γνώσεις τους και την εμπειρία τους βοήθησαν στην επιτυχή ολοκλήρωση της εργασίας. Παράλληλα θα ήθελα να ευχαριστήσω τον Κο Ζουρούδη Ιωάννη διευθυντή πληροφορικής της εταιρείας Καταστήματα Αφορολογήτων Ειδών Α.Ε για την παραχώρηση της υποδομής και των εγκαταστάσεών τους για την υλοποίηση της εργασίας. Τέλος, θα ήθελα να ευχαριστήσω την οικογένειά μου, η οποία με στήριξε σε κάθε βήμα μου, καθώς επίσης την γυναίκα μου και την μικρή μου κόρη για την υπομονή την κατανόηση και την υποστηρίξει όλα αυτά τα χρόνια. Ζήσιμος Φώτιος 5

6 ΠΕΡΙΛΗΨΗ Τα τελευταία χρόνια, η εικονικοποίηση (virtualization) έχει αλλάξει τον τρόπο που βλέπουμε την πληροφορική. Αντί να χρησιμοποιούμε πολλά διαφορετικά συστήματα υπολογιστών για διάφορες εργασίες, με την εικονικοποίηση μπορούμε να χρησιμοποιήσουμε ένα ενιαίο σύστημα για να φιλοξενήσουμε πολλές εφαρμογές και να έχουμε κεντρική διαχείριση. Μέσα στα επόμενα χρόνια, η εικονικοποίηση θα αποτελεί την βασική τεχνολογία σε κάθε κέντρο δεδομένων. Η πτυχιακή εργασία διερευνά τα οφέλη που προσφέρει η εικονικοποίηση της Επιφάνειας Εργασίας ( Desktop Virtualization ) σε έναν οργανισμό με χρήση τεχνολογίας υπολογιστικού νέφους ( Cloud Computing ). Δίνεται ιδιαίτερη έμφαση στη χρήση κινητών συσκευών αφού πλέον χρησιμοποιούνται ευρέως και παρέχουν λειτουργικότητα που κάποτε ήταν διαθέσιμη μόνο σε προσωπικούς υπολογιστές. Η εικονικοποίηση επιφάνειας εργασίας υλοποιείται με τεχνολογίες υπολογιστικού νέφους. Αναλύονται έννοιες σχετικές με την ασφάλεια, την διαχείριση, τα οφέλη και το Νομικό Πλαίσιο που προκύπτουν από την χρήση του Υπολογιστικού Νέφους. Η πτυχιακή εργασία συνοδεύεται από συγκεκριμένη περίπτωση εφαρμογής ( Case Study ) σε περιβάλλον Microsoft Windows Server 2012 Data Center Edition. Δημιουργήθηκε περιβάλλον διανομής Εικονικών Επιφανειών Εργασίας αξιοποιώντας τεχνολογία Microsoft Hyper-V2 και περιγράφονται αναλυτικά τα βήματα υλοποίησης. Επιπλέον, δημιουργήθηκε μία Συγκέντρωση Συνόδων ( Session Pool ) με κάποιες εφαρμογές ώστε οι τελικοί χρήστες να έχουν πρόσβαση σε αυτές με τη χρήση ενός απλού περιηγητή-φυλλομετρητή (Browser) από οποιαδήποτε συσκευή ( PC, laptop, tablet, smartphone ). Η πτυχιακή εργασία αποτελεί σημείο αναφοράς για τον αναγνώστη που επιθυμεί να κατανοήσει της τεχνολογίες εικονικοποίησης και υπολογιστικού νέφους. Συγκρίνει τις βασικές πλατφόρμες εικονικοποίησης, αναδεικνύοντας τα πλεονεκτήματα και μειονεκτήματα της καθεμιάς ώστε να δίνεται η δυνατότητα μιας καλά πληροφορημένης απόφασης κατά την επιλογή τους. Παρουσιάζει τα άμεσα οφέλη που προσφέρει η υιοθέτηση της εικονικοποίησης σε έναν οργανισμό ( Εκπαιδευτικά Ιδρύματα, Εταιρίες και Δημόσιους Οργανισμούς ). Λέξεις Κλειδιά Εικονικοποίηση, εικονικοποίηση πλατφόρμας, Υπερεπόπτες, ασφάλεια εικονικοποιημένων περιβαλλόντων εικονικοποίηση επιφάνειας εργασίας,ωφέλει, υπολογιστικό νέφος, μοντέλα ανάπτυξης υπολογιστικού νέφους, υπηρεσίες υπολογιστικού νέφους, ασφάλεια υπολογιστικού νέφους, διακυβέρνηση υπολογιστικού νέφους, ωφέλει υπολογιστικού νέφους, κινητός υπολογισμός, χαρακτηριστικά κινητού υπολογισμού, πλεονεκτήματα και μειονεκτήματα κινητού υπολογισμού. 6

7 ABSTRACT Virtualization has changed the way that we view Information Technology in recent years. Instead of using many different systems to perform various tasks, virtualization enables us a unified system with centralized administration to host applications and services. Virtualization is set to become a baseline technology in the near future. The thesis examines the advantages for an organization stemming from desktop virtualization using cloud technology. Emphasis is given to the use of mobile devices as they are offering the same functionality once found on a personal computer. Desktop virtualization is implemented using cloud technology. The concepts of security, administration, the benefits that ensue from cloud usage and the legal framework are all analyzed. The thesis includes a case study using Microsoft Windows Server 2012 Data Center Edition environment. An environment for virtual desktop distribution has been created using Microsoft s Hyper-V2. A detailed guide is available. A Session Pool has been developed with several applications in it, to enable their use by remote users via a browser from any device, be it a PC, a laptop, a tablet or a smartphone. This thesis serves as a point of reference to readers that wish to acquire in-depth knowledge into Virtualization and Cloud Computing technologies. It compares the baseline virtualization platforms, highlighting the advantages and disadvantages of each in order to help the reader formulate a well-informed decision. Finally, it presents the immediate benefits that can be had from an organization that adopts virtualization as a technology (such as Companies, Universities, Public Organizations and Institutions, etc.). Key Words Virtualization, platform virtualization, hypervisor, virtualization security, desktop virtualization, benefits of virtualization, cloud computing, deployment models, service models, security in the cloud,government, benefits of cloud computing, mobile computing, characteristics of mobile computing, advantages and disadvantages of mobile computing. Περιεχόμενα 1.ΕΙΣΑΓΩΓΗ

8 1.1 Αντικείμενο της πτυχιακής εργασίας Μεθοδολογία Δομή Εικονικοποίηση Ορισμός -Τι είναι Εικονικοποίηση Ιστορική αναδρομή στην εικονικοποίηση Τύποι Εικονικοποίησης Εικονικοποίηση Αποθήκευσης Εικονικοποίηση Δικτύου Εικονικοποίηση διακομιστών Τι είναι εικονική Μηχανή Περιγράφοντας τον υπερεπόπτη ( Hypervisor - VMM ) Εξομοίωση υλικού (Hardware Emulation) Πλήρης εικονικοποίηση (Full Virtualization) Παραεικονικοποίηση ( Para virtualization) Εικονικοποίηση λειτουργικού συστήματος (OS Virtualization Containers) Ασφάλεια σε εικονικοποιημένα περιβάλλοντα Εικονικοποίηση Εφαρμογών (Application Virtualization) Εικονικοποίηση επιφάνειας εργασίας (Desktop-Client Virtualization) Εικονικοποίηση επιφάνειας εργασίας από την πλευρά διακομιστή Εικονικοποίηση επιφάνειας εργασίας από την πλευρά πελάτη Τα οφέλη και οι περιορισμοί της εικονικοποίησης επιφάνειας εργασίας Τα οφέλη της εικονικοποίησης Υπολογιστικό Νέφος (Cloud Computing) Τι είναι υπολογιστικό νέφος Ιστορία του υπολογιστικού νέφους Το μοντέλο NIST (National Institute of Standards and Technology) για το υπολογιστικό νέφος. Βασικά λειτουργικά χαρακτηριστικά του νέφους Πολλαπλή Μίσθωση Το πλαίσιο SPI για το υπολογιστικό νέφος Σχετικές Τεχνολογίες στο υπολογιστικό νέφος Μοντέλα υπηρεσιών νέφους

9 3.2.1 Το λογισμικό ως υπηρεσία (Software as a Service - SaaS) Η πλατφόρμα ως υπηρεσία (Platform as a Service PaaS) Η υποδομή ως υπηρεσία (Infrastructure as a Service IaaS) Μοντέλο Αναφοράς νέφους Συγκρίνοντας μοντέλα διανομής νέφους Μοντέλα ανάπτυξης νέφους Δημόσιο νέφος Κοινοτικό νέφος (Community Cloud) Ιδιωτικό νέφος (Private Cloud) Υβριδικό νέφος (Hybrid Cloud) Πρωτόκολλα επικοινωνίας Ασφάλεια στο νέφος Κατανοώντας την ασφάλεια και τους κινδύνους Στόχοι ασφάλειας πληροφοριών στο νέφος Υπηρεσίες Ασφάλειας στο νέφος Κοινές Απειλές και Ευπάθειες Κίνδυνοι του πάροχου υπηρεσιών νέφους Υπολογιστικό νέφος πέραν της αρχιτεκτονικής - Η περιοχή της Κρίσιμης Εστίασης Τομείς Διακυβέρνησης Επιχειρησιακή Τομείς Νομικά θέματα σχετικά με τα δεδομένα στο νέφος Οφέλη του υπολογιστικού νέφους Τερματικές συσκευές με έμφαση στην φορητότητα. Mobile computing (Κινητός Υπολογισμός) Τι είναι Κινητός υπολογισμός Χαρακτηριστικά του Κινητού υπολογισμού Δουλεύοντας διαδικτυακές υπηρεσίες με φορητές συσκευές Κατανόηση των τύπων υπηρεσίας Κινητή διαλειτουργικότητα Ανακάλυψη Υπηρεσιών Υπηρεσίες επίγνωσης πλαισίου Μίκρο Ηλεκτρομηχανικά συστήματα

10 4.3.6 Επίγνωση θέσεως Υπηρεσίες Push Συγχρονισμός Περιορισμοί του κινητού υπολογισμού Προβλήματα κινητού υπολογισμού Εφαρμογές του κινητού υπολογισμού Πλεονεκτήματα και μειονεκτήματα του κινητού υπολογισμού Περίπτωση εφαρμογής (use case study) Περιγραφή περίπτωσης Προδιαγραφές λύσης Επισκόπηση τεχνολογιών και ανάλυση πλατφορμών Γενικός συγκριτικός πίνακας πλατφορμών Γενικός συγκριτικός πίνακας διαχειριστικότητας των πλατφορμών Συγκριτικός πίνακας στοιχείων σχετικά με την φορητότητα και υψηλή διαθεσιμότητα των εικονικών μηχανών Συγκριτικός πίνακας στοιχείων σχετικά με τις δυνατότητες του υπερεπόπτη Συγκριτικός πίνακας στοιχείων σχετικά με την διαχείριση θεμάτων δικτύου και αποθήκευσης από την πλατφόρμα Συγκριτικός πίνακας στοιχείων των πλατφορμών σχετικά με την διαχείριση των νεφών Συγκριτικός πίνακας στοιχείων σχετικά με την διαχείριση της υποδομής της εικονικής επιφάνειας Επιλογή πλαισίου ανάπτυξης Οι υπηρεσίες απομακρυσμένης επιφάνειας εργασίας (Remote Desktop Services) Υλοποίηση πρωτοτύπου Αξιολόγηση Συμπεράσματα (περιορισμοί συμβάσεις λειτουργίας μελλοντικές δυνατότητες βελτίωσης -επέκτασης) Επίλογος Παραρτήματα Παράρτημα Α Αναφορές / Links Κατάλογος πινάκων Πίνακας Εικόνων Αλφαβητικό Ευρετήριο

11 11

12 1.ΕΙΣΑΓΩΓΗ Τα τελευταία χρόνια, η εικονικοποίηση έχει αλλάξει τον τρόπο που βλέπουμε την πληροφορική. Αντί να χρησιμοποιούμε πολλά διαφορετικά συστήματα υπολογιστών για διάφορες εργασίες, με την εικονικοποίηση μπορούμε να χρησιμοποιήσουμε ένα ενιαίο σύστημα για να φιλοξενήσουμε πολλές εφαρμογές και να έχουμε κεντρική διαχείριση. Η εικονικοποίηση αποτελεί τον προπομπό της δυνατότητας μεταφοράς του εικονικοποιημένου περιβάλλοντος στο νέφος. Έχοντας τους διακομιστές μας σε εικονική μορφή αποκτάμε την δυνατότητα μεταφοράς τους στο νέφος. Ένα νέφος μπορεί να βρίσκεται μέσα στις εγκαταστάσεις ενός οργανισμού και να εξυπηρετεί ανάγκες του. Στην συνέχεια της εργασίας μας θα δούμε πως μέσω ενός ιδιωτικού νέφους, το λογισμικό μοιράζεται σε σταθμούς εργασίας και φορητές συσκευές με την μορφή υπηρεσίας (μέσω ενός περιηγητή-browser) καθώς επίσης και εικονικές επιφάνειες εργασίας για κάλυψη αναγκών σε σταθμούς εργασίας. 1.1 Αντικείμενο της πτυχιακής εργασίας Σκοπός της πτυχιακής εργασίας είναι να εισάγει τον αναγνώστη σε έννοιες όπως η εικονικοποίηση και το υπολογιστικό νέφος. Συγκρίνει τις βασικές πλατφόρμες εικονικοποίησης, αναδεικνύοντας τα πλεονεκτήματα και μειονεκτήματα της καθεμιάς ώστε να δίνεται η δυνατότητα μιας καλά πληροφορημένης απόφασης κατά την επιλογή τους. Παρουσιάζει τα άμεσα οφέλη που προσφέρει η υιοθέτηση της εικονικοποίησης σε έναν οργανισμό ( Εκπαιδευτικά Ιδρύματα, Εταιρίες και Δημόσιους Οργανισμούς ), διερευνά τα οφέλη που προσφέρει η εικονικοποίηση της Επιφάνειας Εργασίας με χρήση τεχνολογίας υπολογιστικού νέφους και παρουσιάζει μια λύση που μπορεί να προσφέρει λογισμικό ως υπηρεσία και εικονικές επιφάνειες εργασίας σε οποιασδήποτε συσκευές έχουν αυτήν την δυνατότητα. Με την ανάπτυξη αυτών των λύσεων η έννοια του κινητού εργαζόμενου (mobile worker ) αποκτά νέο νόημα. 1.2 Μεθοδολογία Η διαρκείς και αυξανόμενες ανάγκες σε υπολογιστική ισχύ σε συνδυασμό με την αύξηση του κόστους που δημιουργεί η κάλυψη αυτών των αναγκών, μας οδήγησαν στο να αναζητήσουμε λύσεις και απαντήσεις σε προβληματισμούς σχετικά με το πώς θα μπορούσαμε να παρέχουμε κάλυψη σε αυτές τις ανάγκες; Πως θα μπορούσαμε να παρέχουμε υπηρεσίες εύκολα, και δυναμικά αυξανόμενες κατά παραγγελία; Πως θα μπορούσαμε η διαχείριση και η συντήρηση αυτών των πόρων να γίνεται με όσο το δυνατόν χαμηλότερο κόστος σε υποδομές και έμψυχο υλικό; Και επίσης όλες αυτές οι υπηρεσίες και οι πόροι πως θα μπορούσαν να είναι διαθέσιμη προσβάσιμη από οπουδήποτε και με οποιοδήποτε μέσο διαθέτει κάποιος (φορητούς σταθερούς υπολογιστές, smartphones, tablets). Για την επίτευξη αυτού του στόχου, επιλέξαμε από τις επικρατέστερες πλατφόρμες αυτή της Microsoft Windows Server 2012 Hyper-V η οποία όπως θα δούμε και στην συνέχεια φαίνεται να ικανοποιεί κατά ένα πολύ μεγάλο βαθμό τις ανάγκες μας, καθώς η συνεχείς ανάπτυξη της δείχνει να είναι πολλά υποσχόμενη τόσο στον τομέα της φορητότητας, όσο και σε άλλους τομείς όπως πχ στην διαχείριση ή στην δυνατότητα ανάπτυξης πόρων. Έτσι λοιπόν για την κάλυψη των 12

13 αναγκών μας, δημιουργήσαμε ένα ιδιωτικό νέφος για την παροχή λογισμικού ως υπηρεσία με δυνατότητα χρήσης από οποιαδήποτε συσκευή, καθώς επίσης και εικονικές μηχανές που θα μπορούσαν να χρησιμοποιηθούν σαν εικονικοί σταθμοί εργασίας με δυνατότητα πρόσβασης από παντού. 1.3 Δομή Η πτυχιακή εργασία αποτελείτε από πέντε ενότητες. Στην πρώτη ενότητα παρουσιάζεται στον αναγνώστη η έννοια της εικονικοποίησης. Γίνεται μια ιστορική διαδρομή της εικονικοποίησης και ακολουθεί μια συνοπτική παρουσίαση σχετικά με τους τύπους που υπάρχουν. Ακολουθεί μια αναλυτικότερη παρουσίαση στην εικονικοποίηση πλατφόρμας, όπου αναφέρονται τα είδη που υπάρχουν μιας και η συμβολή της εικονικοποίησης σε αυτό το κομμάτι είναι πάρα πολύ μεγάλη. Τέλος, η πρώτη ενότητα κλείνει με τα οφέλη που μπορεί να αποκομίσουν οι οργανισμοί από την χρήση της εικονικοποίησης. Στην δεύτερη ενότητα παρουσιάζεται η έννοια του υπολογιστικό νέφος. Γίνεται αναφορά στα μοντέλα και τις υπηρεσίες που προσφέρει το υπολογιστικό νέφος και τέλος η ενότητα κλείνει με θέματα σχετικά με την ασφάλεια και τα οφέλη που προσφέρει η υιοθέτηση του. Στην τρίτη ενότητα γίνεται παρουσίαση του πλαισίου του κινητού υπολογισμού (Mobile computing). Ακολουθεί παρουσίαση των χαρακτηριστικών του κινητού υπολογισμού, των περιορισμών, των προβλημάτων που υπάρχουν, των εφαρμογών, καθώς και των διαδικτυακών υπηρεσιών που αναπτύσσονται γύρω από αυτό που αποκαλούμε κινητός υπολογισμός. Στην τέταρτη ενότητα περιγράφεται η περίπτωση εφαρμογής που εξετάζουμε. Παρουσιάζονται οι προδιαγραφές που μας οδήγησαν στην αναζήτηση λύσης, και ακολουθεί μια αναλυτική αναφορά στις επικρατέστερες - εμπορικότερες πλατφόρμες εικονικοποίησης. Η ενότητα μας κλείνει με την επιλογή του πλαισίου ανάπτυξης. Τέλος στην πέμπτη ενότητα παρουσιάζεται η υλοποίηση που πραγματοποιήθηκε, καθώς επίσης και τα βήματα που ακολουθήσαμε για να φτάσουμε στο επιθυμητό αποτέλεσμα. 13

14 2.Εικονικοποίηση Τα τελευταία χρόνια, η εικονικοποίηση έχει αλλάξει τον τρόπο που βλέπουμε την πληροφορική. Αντί να χρησιμοποιούμε πολλά διαφορετικά συστήματα υπολογιστών για διάφορες εργασίες, με την εικονικοποίηση, μπορούμε να χρησιμοποιήσουμε ένα ενιαίο σύστημα για να φιλοξενήσουμε πολλές εφαρμογές. Η εικονικοποίηση θεωρείται ως ένα όφελος για την ταχεία και λιγότερο επώδυνη διαδικασία επιχειρησιακής συνέχειας. Με δεδομένη τη σημερινή έμφαση στο συνολικό κόστος κτήσης (Total Cost of Ownership (TCO)) και την απόδοση της επένδυσης (Return On Investment (ROI)), η εικονικοποίηση μέσα στα επόμενα χρόνια, θα αποτελεί την βασική τεχνολογία σε κάθε κέντρο δεδομένων. Στο κεφάλαιο που ακολουθεί παρέχετε μια επισκόπηση στην ιστορία της εικονικοποίησης των λόγων που μας οδήγησαν σε αυτή, των τεχνολογιών της, συμπεριλαμβανομένων των διαφόρων τύπων που υπάρχουν και τα οφέλη που παρουσιάζει. 2.1 Ορισμός -Τι είναι Εικονικοποίηση Η εικονικοποίηση είναι ένας τρόπος αφαίρεσης εφαρμογών και των υποκείμενών «εξαρτημάτων» τους μακριά από το υλικό που τα υποστηρίζει, παρουσιάζοντας μια λογική ή εικονική άποψη των πόρων αυτών. Αυτή η λογική άποψη μπορεί να είναι εντυπωσιακά διαφορετική από τη φυσική άποψη. Ο στόχος της εικονικοποίησης είναι συνήθως ένα από τα ακόλουθα: υψηλά επίπεδα απόδοσης επεκτασιμότητα, αξιοπιστία / διαθεσιμότητα ευελιξία, ή δημιουργία ενός ενιαίου χώρου ασφάλειας και διαχείρισης. Αυτή η εικονική άποψη είναι κατασκευασμένη με περίσσεια επεξεργαστική ισχύ, μνήμη, αποθήκευση, ή εύρος ζώνης του δικτύου. Η εικονικοποίηση μπορεί να δημιουργήσει την τεχνητή άποψη ότι πολύ υπολογιστές είναι ένας μόνο ή ότι ένα μόνο μηχάνημα είναι πράγματι πολλοί ξεχωριστεί υπολογιστές. Μπορεί να κάνει, ένα μεγάλο αποθηκευτικό πόρο να φαίνεται σαν πολλοί μικρότεροι ή να κάνει πολλούς μικρούς πόρους αποθήκευσης να φαίνονται σαν ένας ενιαίος μεγάλος.[1] Εικόνα 1. Η Εικονικοποίηση ως αφαίρεση ενός περιβάλλοντος [1] 14

15 2.1.1 Ιστορική αναδρομή στην εικονικοποίηση Η έννοια της εικονικοποίησης αποτελεί για πολλούς τη φυσική εξέλιξη των ιδεών που είχε παρουσιάσει ο Christopher Strachey στην εργασία του με τίτλο «Time sharing in large fast computers» που είχε παρουσιαστεί σε συνέδριο πληροφορικής της UNESCO το Ο Strachey περιέγραψε την δυνατότητα του πολύ-προγραμματισμού, τη δυνατότητα με άλλα λόγια να εκτελούνται τα προγράμματα χωρίς να περιμένουν τα περιφερειακά ενώ ο χρήστης θα είχε κάθε δυνατότητα να διορθώσει τον κώδικα. Η θεωρία του βασιζόταν στην μαζική επεξεργασία και περιελάμβανε τις αρχιτεκτονικές απαιτήσεις όπως για παράδειγμα την προστασία της μνήμης και τις διαμοιραζόμενες διακοπές. Το πλαίσιο που έθεσε ο Strachey ώθησε την έρευνα στην Πληροφορική προς μία νέα κατεύθυνση.[2] Τις πρώτες εφαρμογές της εικονικοποίησης τις συναντούμε στον IBM 7044, ένα σύστημα χρονομερισμού που αναπτύχθηκε στο Τεχνολογικό Ινστιτούτο της Μασαχουσέτης (ΜΙΤ) πάνω στην πλατφόρμα του ΙΒΜ 704. Μία δεύτερη εφαρμογή αποτελεί το έργο «Άτλας» του Πανεπιστημίου του Μάντσεστερ, που εκτός του ότι ήταν ένας από τους πρώτους υπέρυπολογιστές, ήταν ο πρώτος που χρησιμοποίησε σελιδοποίηση μνήμης κατ απαίτηση καθώς και κλήσεις επόπτη.[3] Ο Άτλας ήταν ο πρώτος υπολογιστής που χρησιμοποίησε την έννοια της εικονικής μνήμης (το λεγόμενο one-level store) και ο πρώτος που χρησιμοποίησε για τη διαχείριση των εσωτερικών πόρων τη λογική του Επόπτη. Ο Επόπτης δεχόταν ειδικές εντολές, ή επιπλέον κώδικα, που του επέτρεπε να διαχειρίζεται τους υλικούς πόρους όπως για παράδειγμα ο μερισμός του χρόνου για την εκτέλεση εργασιών από τον επεξεργαστή.[2] 2.2 Τύποι Εικονικοποίησης Παρόλο τον θόρυβο που υπάρχει γύρω από την εικονικοποίηση τα τελευταία χρόνια, η εικονικοποίηση δεν είναι μια καινούρια τεχνολογική καινοτομία, όπως είδαμε και σε προηγούμενη ενότητα. Υπάρχουν τέσσερις κύριοι λόγοι που αποτέλεσαν τους οδηγούς για την μετακίνηση της εικονικοποίησης από τους κεντρικούς υπολογιστές (mainframes) στα σημερινά υπολογιστικά περιβάλλοντα. Η έλλειψη δυνατότητας εκμετάλλευσης του αχρησιμοποίητου (unutilized) υλικού. Η μεγάλη αύξηση του φυσικού χώρου που απαιτεί η εξάπλωση των κέντρων δεδομένων. Η ολοένα και μεγαλύτερη ζήτηση ενέργειας σε σχέση με την αντίστοιχη αύξηση σε κόστος απόκτησης της. Η αύξηση του κόστους διαχείρισης των πληροφοριακών συστημάτων. Εξετάζοντας αυτούς τους τέσσερις βασικούς λόγους, καταλαβαίνουμε γιατί η εικονικοποίηση είναι πολύ σημαντική. Ο ποιό διαδεδομένος τύπος εικονικοποίησης είναι η εικονικοποίηση πλατφόρμας (platform virtualization). Λέγοντας εικονικοποίηση πλατφόρμας εννοούμε αυτό που επιτρέπει, την εικονικοποίηση διακομιστών και επιφάνειας εργασίας. Ωστόσο περάν από 15

16 την εικονικοποίηση πλατφόρμας, οι ΙΤ οργανισμοί χρησιμοποιούν και άλλου τύπους εικονικοποίησης, σε άλλους τομείς για να καλύψουν και άλλες ανάγκες που υπάρχουν. Μπορούμε λοιπόν να συνοψίσουμε τους τύπους στους ακόλουθους : Εικονικοποίηση Αποθήκευσης (Storage Virtualization) Εικονικοποίηση Δικτύου (Network Virtualization) Εικονικοποίηση Διακομιστών (Server Virtualization) Εικονικοποιήση Εφαρμογών (Application Virtualization) Εικονικοποίηση Επιφάνειας Εργασίας (Desktop Virtualization) Στις ενότητες που ακολουθούν θα παρουσιαστούν αναλυτικότερα τα παραπάνω ειδή εικονικοποίησης Εικονικοποίηση Αποθήκευσης Με τον όρο εικονικοποίηση αποθήκευσης εννοείται η λογική παρουσίαση φυσικών πολλαπλών αποθηκευτικών συσκευών. Η τεχνολογία RAID άνοιξε νέες προοπτικές στην εικονοποίηση της αποθήκευσης αλλά η διαχείριση εκατοντάδων gigabyte ακόμη και terabyte αποθηκευτικού χώρου αποδεικνύεται προβληματική. Η τεχνολογία RAID δίνει τη δυνατότητα να ρυθμίσουμε δύο ή παραπάνω φυσικούς δίσκους να εμφανίζονται ως ένας λογικός δίσκος. Για το λειτουργικό σύστημα, η παρουσίαση φυσικών δίσκων ως ένας λογικός δίσκος αποτελεί μία απλή λύση εικονικοποιημένης αποθήκευσης. Το 2001, η Ένωση Βιομηχανίας Δικτυακής Αποθήκευσης (SNIA- Storage Networking Industry Association) προσπάθησε να αναπτύξει ένα συνεπή, και ευρέως αποδεκτό ορισμό του όρου εικονικοποίηση. Αυτό έγινε προκειμένου να δοθεί στους καταναλωτές (τελικοί χρήστες) και στους παραγωγούς (κατασκευαστές) της αποθήκευσης κοινό έδαφος πάνω στο οποίο να συζητήσουν και να αναπτύξουν το θέμα. Ο ορισμός SNIA έχει ως εξής: 1. Η πράξη της αφαίρεσης, απόκρυψης, ή απομόνωσης των εσωτερικών λειτουργιών των (υπό) συστημάτων ή υπηρεσιών αποθήκευσης από τις εφαρμογές, υπολογιστές, ή από τους δικτυακούς πόρους, με σκοπό τη δυνατότητα διαχείρισης της αποθήκευσης δεδομένων ανεξάρτητα από το δίκτυο και από εφαρμογές. 2. Η εφαρμογή της εικονικοποίησης σε υπηρεσίες αποθήκευσης ή συσκευές για τον σκοπό της συγκέντρωσης λειτουργιών ή συσκευών, που κρύβουν την πολυπλοκότητα, ή προσθέτουν νέες δυνατότητες για τη μείωση του επιπέδου των πόρων αποθήκευσης.[4] Ο ορισμός μπορεί να ονομαστεί και «αφαιρετική λεπτομέρεια». Αυτή είναι και η ουσία της εικονικοποίησης. Η εικονικοποίηση προσφέρει μία απλή και σταθερή διεπαφή για περίπλοκες λειτουργίες. Στην πραγματικότητα η ανάγκη για κατανόηση από πλευράς του χρήστη γνώσεων της υποκείμενης πολυπλοκότητας είναι μικρή έως αδιάφορη. 16

17 Σε μία προηγούμενη προσπάθειά του το τεχνικό συμβούλιο του SNIA δημιούργησε ένα σημαντικό έγγραφο, το Μοιραζόμενο Μοντέλο Αποθήκευσης. Ο σκοπός αυτού του μοντέλου ήταν να εκπαιδεύσει τους τελικούς χρήστες εξηγώντας πώς η διαστρωμάτωση της τεχνολογίας στις σύγχρονες αρχιτεκτονικές αποθήκευσης δημιουργεί ένα πλήρες φάσμα από λειτουργίες αποθήκευσης. Εικόνα 2. Το μοιραζόμενο μοντέλο αποθήκευσης της SNIA [2] Στην εικόνα 2 αποτυπώνεται το υψηλότερο επίπεδο του κοινού μοντέλου αποθήκευσης του SNIA. Διαθέτει τρεις κύριες συνιστώσες στο πεδίο εφαρμογής της: 1. Το αρχείο / στρώμα εγγραφής, το οποίο περιλαμβάνει βάσεις δεδομένων και συστήματα αρχειοθέτησης. 2. Το στρώμα μπλοκ, το οποίο περιλαμβάνει τόσο χαμηλού επιπέδου συσκευές αποθήκευσης όσο και σύνθεση που βασίζεται σε λογική μπλοκ. 3. Ένα υποσύστημα υπηρεσιών, το οποίο παρέχει λειτουργίες όπως η διαχείριση των άλλων μερών του συστήματος.[4] Η εικονικοποίηση μπορεί να βρίσκεται στο επίπεδο του κεντρικού υπολογιστή, σε συστοιχίες αποθήκευσης, ή στο δίκτυο, μέσω οπτικών μεταγωγέων ή συσκευών εγκατεστημένων πάνω σε κεντρικά συστήματα αποθήκευσης (SAN). Η εικονικοποίηση μπορεί να υλοποιηθεί μέσω του διαχωρισμού των ελέγχων και των διόδων δεδομένων σε εντός και εκτός ζώνης. Η εικονικοποίηση της αποθήκευσης παρέχει τα μέσα για τη δημιουργία υψηλού επιπέδου υπηρεσιών αποθήκευσης που κρύβουν την πολυπλοκότητα όλων των εμπλεκόμενων μερών και επιτρέπουν την αυτοματοποίηση της αποθήκευσης δεδομένων. Ο απώτερος στόχος της εικονικοποίησης της αποθήκευσης πρέπει να είναι η απλοποίηση της διαχείρισης. Αυτό μπορεί να επιτευχθεί με μια πολυεπίπεδη προσέγγιση, ενώνοντας πολλαπλά τεχνολογικά επίπεδα στο πλαίσιο της λογικής αφαίρεσης. Αποκρύπτοντας την πολυπλοκότητα των φυσικών/υλικών στοιχείων αποθήκευσης και φανερώνοντας μια απλουστευμένη και λογική άποψη της αποθήκευσης είναι ένα πρώτο βήμα προς τον εξορθολογισμό της διαχείρισης αποθήκευσης. Η αντιμετώπιση πολλαπλών φυσικών 17

18 δίσκων ή συστοιχιών ως μία ενιαία λογική οντότητα διαχωρίζει τον χρήστη της αποθηκευτικής μονάδας από τα φυσικά χαρακτηριστικά των υλικών στοιχείων (δίσκοι), συμπεριλαμβανομένης της φυσικής θέσης και των απαιτήσεων που έχουν αυτές οι φυσικές συσκευές. Αν και ένα στρώμα της πολυπλοκότητας έχει αντιμετωπιστεί, η λογική αφαίρεση της φυσικής αποθήκευσης από μόνη της δεν άρει το βάρος της απαιτητικής εργασίας από τους διαχειριστές αποθήκευσης. Πλέον των διαφορών για το που βρίσκεται η εικονική νοημοσύνη, οι κατασκευαστές έχουν αναπτύξει διαφορετικές μεθόδους για την υλοποίηση στη μεταφορά της εικονικοποιημένης αποθήκευσης. Η μέθοδος εντός ζώνης (In-band) τοποθετεί την μηχανή της εικονικοποίησης στη δίοδο των δεδομένων, έτσι ώστε τόσο τα μπλοκ δεδομένων όσο και οι πληροφορίες ελέγχου που διέπουν τη εικονική παρουσία να μεταφέρονται πάνω από τον ίδιο σύνδεσμο. Η μέθοδος εκτός ζώνης (out of band) παρέχει ξεχωριστές διαδρομές για τα δεδομένα και τον έλεγχο, δίνοντας την εικόνα εικονικής αποθήκευσης στον οικοδεσπότη μέσα από ένα σύνδεσμο και επιτρέποντάς του να ανακτήσει απευθείας μπλοκ δεδομένων που βρίσκονται στη φυσική αποθήκευση ενός άλλου οικοδεσπότη. Οι τεχνικές εικονικοποίησης εντός και εκτός ζώνης μερικές φορές αναφέρονται ως συμμετρικές και ασύμμετρες αντίστοιχα, αλλά για χάρη της ακρίβειας και την απλούστευση του λεξιλογίου της εικονικοποίησης, στο κείμενο αυτό οι όροι ενοποιούνται ως ορολογία. Εικόνα 3. Εντός και εκτός ζώνης τεχνικές εικονικοποίησης [3] Η απλούστευση στη διαχείριση αποθηκευτικών χώρων και μέσων μέσω της τεχνολογίας εικονικοποίησης έχει πολλές πτυχές. Μεταξύ αυτών διακρίνουμε τη συγκέντρωση διαχείρισης, τον εξορθολογισμό των διαδικασιών για τη δημιουργία αντιγράφων ασφαλείας σε ταινία, την εδραίωση των πλεονεκτημάτων αποθήκευσης, την ενίσχυση της χρησιμοποίησης του παραγωγικού δυναμικού και των πόρων, την εξασφάλιση της ακεραιότητας των δεδομένων μέσω λήψης στιγμιότυπων (snapshots), κλπ. Τα παραπάνω δεν αποτελούν στην πραγματικότητα 18

19 χαρακτηριστικά της εικονικοποίησης αποθήκευσης, αλλά τα οφέλη που προκύπτουν από τη χρήση της.[5] Για παράδειγμα, η ενοποίηση των συστημάτων αποθήκευσης, είναι εξ ορισμού ενεργή σε μία κεντρική αποθηκευτική μονάδα (SAN) μέσω δικτύωσης. Στα συστήματα όπου υπάρχει μόνο μία μεγάλη συστοιχία δίσκων η εικονικοποίηση δεν μπορεί να συμβάλλει σημαντικά στην ευκολία χρήσης. Εάν υπάρχουν πολλαπλές συστοιχίες δίσκων, και ιδίως συστοιχίες από διάφορους προμηθευτές κεντρικών αποθηκευτικών μονάδων SAN, η εικονικοποίηση αποθήκευσης μπορεί να βοηθήσει ουσιαστικά στον εξορθολογισμό της διαχείρισης με την άθροιση των στοιχείων αποθήκευσης σε μια κοινή πισίνα. Οι κατασκευαστές συνήθως υπογραμμίζουν τα πολλά οφέλη της εικονικοποιημένης αποθήκευσης, και στη συνέχεια επικεντρώνονται στη δημιουργία αντιγράφων ασφαλείας, στιγμιότυπων, και ούτω καθεξής. Οφέλη της εικονικοποίησης αποθήκευσης Την αποθήκευση δεδομένων σε πιο βολικές τοποθεσίες μακριά από οποιοδήποτε οικοδεσπότη. Σε περίπτωση βλάβης του οικοδεσπότη, τα δεδομένα δεν βρίσκονται απαραίτητα σε κίνδυνο. Την εκτέλεση προηγμένων λειτουργιών όπως η απαλοιφή του θορύβου στα δεδομένα, η αναπαραγωγή, η παρουσίαση περισσότερων φυσικών συσκευών από ότι στην πραγματικότητα υπάρχουν (thin provisioning), και η λειτουργία ανάκτησης δεδομένων από καταστροφή. Η αφαιρετική αντιμετώπιση της αποθήκευσης καθιστά τις λειτουργίες του ΙΤ πιο ευέλικτες όσο αφορά στον τρόπο με τον οποίο αυτή κατανέμεται, διατίθεται και προστατεύεται.[6] Εικονικοποίηση Δικτύου Η εικονικοποίηση δικτύου είναι μια μέθοδος που χρησιμοποιείται για τον συνδυασμό πόρων του δικτύου υπολογιστών σε μία ενιαία πλατφόρμα, που είναι γνωστή με την ονομασία εικονικό δίκτυο (Virtual network). Αυτό επιτυγχάνεται με την βοήθεια λογισμικού και υπηρεσιών που επιτρέπουν την κοινή χρήση δικτυακών πόρων. Η τεχνολογία αυτή χρησιμοποιεί μία μέθοδο παρόμοια με τη διαδικασία εικονικοποίησης που χρησιμοποιείται για την προσομοίωση εικονικών μηχανών μέσα σε φυσικούς υπολογιστές. Ένα εικονικό δίκτυο θεωρεί όλο το υλικό και το λογισμικό στο δίκτυο ως μια ενιαία συλλογή πόρων, η οποία μπορεί να προσεγγιστεί ανεξάρτητα από τα φυσικά όρια του. Με άλλα λόγια η εικονικοποίηση δικτύου επιτρέπει σε κάθε εξουσιοδοτημένο χρήστη να μοιραστεί δικτυακούς πόρους από ένα μόνο υπολογιστή. Τα εικονικά δίκτυα χωρίζονται σε δύο μεγάλες κατηγορίες : [7] - Τα εξωτερικά εικονικά δίκτυα - Τα εσωτερικά εικονικά δίκτυα 19

20 Εξωτερικά εικονικά δίκτυα Τα εξωτερικά εικονικά δίκτυα αποτελούνται από ένα ή περισσότερα τοπικά δίκτυα τα οποία συνδυάζονται ή υποδιαιρούνται σε εικονικά δίκτυα, με στόχο τη βελτίωση της αποτελεσματικότητας ενός μεγαλύτερου δικτύου ή κέντρου δεδομένων. Τα βασικά στοιχεία ενός εξωτερικού εικονικού δικτύου, είναι τα εικονικά δίκτυα (VLANs) και οι μεταγωγείς δικτύου (switchs). Με την χρήση των VLAN και της τεχνολογίας μεταγωγέων, ο διαχειριστής, μπορεί να διαμορφώσει συστήματα τα οποία είναι συνδεδεμένα με φυσικό τρόπο στο ίδιο τοπικό δίκτυο, έτσι ώστε να ανήκουν σε διαφορετικά μεταξύ τους εικονικά δίκτυα.[8] Εσωτερικά εικονικά δίκτυα Η εσωτερική εικονικοποίηση δικτύου παρέχει όλοκληρο το σύστημα διαμοιρασμού καθώς και άλλες λειτουργίες του δικτύου στους περιέκτες (containers) λογισμικού, οι οποίοι λειτουργούν φιλοξένια περιβάλοντα για τα στοιχεία του λογισμικού του δικτύου σε ένα μοναδικό φυσικό σύστημα. Οι ωφέλειες της εικονικοποίησης δικτύου περιλαμβάνουν : Προσανατολισμός στην παροχή υπηρεσιών: Καθώς κάθε επιχειρηματική υπηρεσία προστίθεται στην ΙΤ υποδομή, κάποια τμήματα αυτής της υποδομής είναι διαμοιραζόμενοι (shared) πόροι και κάποια άλλα είναι αποκλειστικής λειτουργιας (dedicated) πόροι. Για παράδειγμα, οι μεταγωγείς δικτύου θεωρούνται διαμοιραζόμενοι πόροι, και η ρύθμιση παραμέτρων ενός VLAN μπορεί να είναι ένας πόρος αποκλειστικής λειτουργίας πάνω σε ένα διαμοιραζόμενο μεταγωγέα. Καλύτερη διαχείριση αλλαγών: Η εικονικοποίηση βελτιώνει τη διαχείριση αλλαγών χωρίζοντας λειτουργίες σε πολλές περιοχές. Αλλαγές στις ρυθμίσεις παραμέτρων εντός μιας εικονικοποιημένης περιοχής δεν θα επηρεάσουν άλλη περιοχή, κάνοντας έτσι ευκολότερη την έγκριση των αλλαγών. Μείωση Κόστους : Το κόστος τοποθέτησης και συντήρησης δικτυακού εξοπλισμού είναι μεγάλο, και μπορούμε να κάνουμε εξοικονόμηση χρημάτων με το μοίρασμα τοίχων προστασίας, μεταγωγέων και εξισορροπιστών φορτίου (load balancers) μεταξύ των διαφόρων υπηρεσιών, αντί να αγοράζουμε νέο εξοπλισμό κάθε φορά. Ασφάλεια : Επειδή τα συστήματα είναι λογικά χωρισμένα, πολλά θέματα ασφάλειας και κίνδυνοι μπορούν εύκολα να αντιμετοπιστούν. Θέματα όπως ο περιορισμός πρόσβασης και ο περιορισμός γνώσης είναι ευκολότερα διαχειρίσιμα.[6] Εικονικοποίηση διακομιστών Όπως αναφέραμε και στην αρχή της ενότητας, ένας από τους πιο σπουδαίους τύπους εικονικοποίησης με την μεγαλύτερη εφαρμογή, είναι η εικονικοποίηση διακομιστών. Οι ΙΤ οργανισμοί επιδιώκουν με κάθε τρόπο την εικονικοποίηση των διακομιστών τους προσπαθώντας με αυτό τον τρόπο να μειώσουν το κόστος ενέργειας-ψύξης, την έλλειψη χώρου που προκαλεί η εξάπλωση των φάρμων και την καλύτερη διαχείριση του υλικού τους. Στην εικονικοποίηση 20

21 διακομιστών ένας φυσικός διακομιστής μετατρέπετε σε έναν εικονικό. Ο όρος φυσικός διακομιστής αναφέρεται στο υλικό που πραγματοποιεί την υπολογιστική επεξεργασία που επιβάλλεται από το λογισμικό, όπως το λειτουργικό σύστημα και οι εφαρμογές. Ένας εικονικός διακομιστής δεν μπορεί να λειτουργήσει χωρίς έναν φυσικό. Με την εικονικοποίηση διακομιστών μπορούμε πολλούς φυσικούς διακομιστές να τους μετατρέψουμε σε εικονικούς και να τους τοποθετήσουμε σε ένα φυσικό διακομιστή ο οποίος ονομάζεται και οικοδεσπότης (host). Αντίθετα οι εικονικοί διακομιστές ονομάζονται φιλοξενούμενοι (guests). Στην εικόνα που ακολουθεί διακρίνεται η διαφορά της παραδοσιακής αρχιτεκτονικής διακομιστή από αυτή του εικονικού διακομιστή. Εικόνα 4. Παραδοσιακή Αρχιτεκτονική έναντι Εικονικής [4] Όπως φαίνεται και στην εικόνα και οι δύο αρχιτεκτονικές αποτελούνται από έναν φυσικό διακομιστή στον οποίο το λογισμικό, ένα λειτουργικό σύστημα (OS) και εφαρμογή (ες), έχουν εγκατασταθεί στην κορυφή. Ωστόσο, η εγκατάσταση λειτουργικών συστημάτων και εφαρμογών σε παραδοσιακή αρχιτεκτονική διακομιστών είναι πολύ ευάλωτη στις αλλαγές ή τις βλάβες στο στρώμα του υλικού. Οποιαδήποτε αλλαγή στην διαμόρφωση του υλικού ή αστοχία του υλικού, συνήθως προκαλεί δυσλειτουργία στο λειτουργικό σύστημα με αποτέλεσμα εάν το υλικό που θα επιδιορθωθεί δεν είναι το ίδιο θα χρειαστεί επανεγκατάσταση του λειτουργικού και των εφαρμογών. Με την εικονικοποίηση διακομιστών, ένα στρώμα εικονικοποίησης τοποθετείτε μεταξύ του υλικού και του λειτουργικού συστήματος. Αυτό το στρώμα εικονικοποίησης καθιστά δυνατή την εγκατάσταση πολλαπλών αντιτύπων λειτουργικών συστημάτων και εφαρμογών στο φυσικό διακομιστή. Κάθε σύνολο του λειτουργικού συστήματος και των εφαρμογών λειτουργεί παρόμοια με την παραδοσιακή αρχιτεκτονική του διακομιστή, με τη διαφορά της λειτουργίας πολλαπλών εμφανίσεων σε ένα φυσικό διακομιστή αντί για μία μόνο εμφάνιση. Επιπλέον, αυτό το στρώμα εικονικοποίησης απομονώνει το κάθε σύνολο από το άλλο, το οποίο το καθιστά ανεπηρέαστο απο βλάβες ή μεταβολές στο υλικό ή σε κάποιο άλλο από τα σύνολα. Όλα αυτά τα στιγμιότυπα πιστεύουν ότι είναι μοναδικά για το φυσικό μηχάνημα. Αυτά τα στιγμιότυπα ονομάζονται εικονικές μηχανές (Virtual Machines (VMs)). 21

22 Αρχικά η Popek and Goldberg όρισαν την εικονική μηχανή, ως ένα αποδοτικό, απομονωμένο αντίγραφο μιας πραγματικής μηχανής. Μια πραγματική μηχανή αναφέρεται σε μια παραδοσιακή αρχιτεκτονική διακομιστή με ένα μόνο λειτουργικό σύστημα και εφαρμογή (ες). Ωστόσο, η χρήση των εικονικών μηχανών με εικονικοποίηση διακομιστών πηγαίνει πέρα από την επανάληψη μιας πραγματικής μηχανής. Τόσο για την εικονική μηχανή όσο και για το στρώμα της εικονικοποιήσης που αναφέραμε παραπάνω, το οποίο μάλιστα αποτελεί και την τεχνολογία κλειδί για την εικονικοποίηση θα ασχοληθούμε αναλυτικότερα σε παρακάτω ενότητα.[9] Τι είναι εικονική Μηχανή Μια εικονική μηχανή είναι ένα απομονωμένο τμήμα λογισμικού που μπορεί να τρέξει τα λειτουργικά συστήματα σαν ένας φυσικός υπολογιστής. Μια εικονική μηχανή συμπεριφέρεται ακριβώς όπως ένας φυσικός υπολογιστής και ένα μόνο αρχείο περιέχει όλο το φυσικό υλικό ενός συστήματος όπως τον επεξεργαστή, τον σκληρό δίσκο, την μνήμη και την κάρτα δικτύου (NIC). Ένα λειτουργικό σύστημα δεν μπορεί να αντιληφθεί τη διαφορά μεταξύ μιας εικονικής μηχανής και μιας φυσικής μηχανής, όπως επίσης ούτε οι διάφορες εφαρμογές ή οι άλλοι υπολογιστές σε ένα δίκτυο. Ακόμη και η εικονική μηχανή σκέφτεται ότι είναι ένας πραγματικός υπολογιστής. Εν τούτης, μια εικονική μηχανή αποτελείται εξ ολοκλήρου από το λογισμικό και δεν περιέχει κανένα τμήμα υλικού. Κατά συνέπεια, οι εικονικές μηχανές προσφέρουν διάφορα ευδιάκριτα πλεονεκτήματα πέρα από το φυσικό υλικό. Μερικά από αυτά αναφέρονται παρακάτω : Πλεονεκτήματα Εικονικών Μηχανών Συμβατότητα Ακριβώς όπως ένας φυσικός υπολογιστής, οι εικονικές μηχανές είναι απολύτως συμβατές με όλους τους τυποποιημένους x86 υπολογιστές, λειτουργικά συστήματα, εφαρμογές και οδηγούς συσκευών, έτσι μπορούμε να χρησιμοποιήσουμε μια εικονική μηχανή για να τρέξουμε όλο το ίδιο λογισμικό που εκτελούσαμε σε έναν φυσικό x86 υπολογιστή. Απομόνωση Ενώ οι εικονικές μηχανές μπορούν να μοιραστούν τους φυσικούς πόρους ενός ενιαίου υπολογιστή, παραμένουν εντελώς απομονωμένες η μια από την άλλη σαν να ήταν χωριστές φυσικές μηχανές. Εάν, για παράδειγμα, υπάρχουν τέσσερις εικονικές μηχανές σε έναν ενιαίο φυσικό κεντρικό υπολογιστή και μια από τις εικονικές μηχανές παρουσιάσει οποιοδήποτε πρόβλημα, οι άλλες τρεις εικονικές μηχανές παραμένουν διαθέσιμες. Η απομόνωση είναι ένας σημαντικός λόγος για τον οποίο η διαθεσιμότητα και η ασφάλεια των εφαρμογών που τρέχουν σε ένα εικονικό περιβάλλον είναι σαφώς ανώτερες από τις εφαρμογές που τρέχουν σε ένα παραδοσιακό σύστημα. 22

23 Φορητότητα Οι εικονικές μηχανές είναι απίστευτα φορητές και εύκολες να διαχειριστούν. Παραδείγματος χάριν, μπορούμε να μετακινήσουμε και να αντιγράψουμε μια εικονική μηχανή από μια θέση σε μια άλλη ακριβώς όπως οποιαδήποτε άλλο αρχείο λογισμικού ή να σώσουμε μια εικονική μηχανή σε οποιοδήποτε τυποποιημένο μέσο αποθήκευσης, από μια κάρτα μνήμης USB μέχρι και σε κάποιο SAN (Storage area Network). Ανεξάρτητο υλικό. Οι εικονικές μηχανές είναι απολύτως ανεξάρτητες από το φυσικό υλικό τους. Για παράδειγμα, μπορείτε να διαμορφώσετε μια εικονική μηχανή με τα εικονικά συστατικά (π.χ. επεξεργαστή, κάρτα δικτύων, ελεγκτή SCSI) που να είναι απολύτως διαφορετικά από τα φυσικά συστατικά που είναι παρόντα στα εκάστοτε υλικά. Οι εικονικές μηχανές στον ίδιο φυσικό κεντρικό υπολογιστή μπορούν ακόμη και να τρέξουν διαφορετικά είδη λειτουργικών συστημάτων (Windows, Linux, κτλ). Όταν δε αυτό συνδυάζεται με τις ιδιότητες της φορητότητας και της συμβατότητας, η ανεξαρτησία υλικού σας δίνει την δυνατότητα να μεταφέρετε μια εικονική μηχανή από έναν τύπο x86 υπολογιστή προς άλλο χωρίς καμία απολύτως αλλαγή στους οδηγούς συσκευών, το λειτουργικό σύστημα, ή τις εφαρμογές. Η ανεξαρτησία υλικού επίσης σημαίνει ότι μπορούμε να τρέξουμε ένα ετερογενές μίγμα λειτουργικών συστημάτων και εφαρμογών σε έναν ενιαίο φυσικό υπολογιστή. Εικόνα 5. Απεικόνιση μιας εικονικής μηχανής [5] Περιγράφοντας τον υπερεπόπτη ( Hypervisor - VMM ) Ο αρχικός διαχειριστής εικονικών μηχανών δημιουργήθηκε για να λύσει ένα συγκεκριμένο πρόβλημα, αλλά ο διαχειριστής εικονικών μηχανών έχει εξελιχθεί σε κάτι εντελώς διαφορετικό. Ο όρος διαχειριστής εικονικών μηχανών έχει πάψει να χρησιμοποιείτε και έχει αντικατασταθεί από τον όρο υπερεπόπτης. Οι Popek και Goldberg στο κείμενο τους Formal Requirments for virtualizable third generation Architectures to 1974, όρισαν τα χαρακτηριστικά που πρέπει να έχει ο υπερεπόπτης : Ισοδυναμία (Equivalence): Ένα πρόγραμμα που τρέχει κάτω από τον επόπτη εικονικών μηχανών πρέπει να παρουσιάζει την προβλεπόμενη συμπεριφορά που είναι βασικά πανομοιότυπη με την παρουσιαζόμενη όταν αυτό τρέχει στο υποκείμενο υλικό απ' ευθείας. Αυτό αναφέρεται συχνά σαν πιστότητα (Fidelity). 23

24 Έλεγχος Πόρων ( Resource Control): Ο επόπτης εικονικών μηχανών πρέπει να έχει τον πλήρη έλεγχο των πόρων του πραγματικού υλικού που εικονικοποιούνται για τα φιλοξενούμενα (guest) λειτουργικά συστήματα σε οποιαδήποτε στιγμή. Συχνά αναφέρετε και σαν ασφάλεια (Safety). Αποτελεσματικότητα (Efficiency): Ένας πολύ μεγάλος αριθμός από εντολές μηχανής πρέπει να εκτελεστούν χωρίς την μεσολάβηση του επόπτη εικονικών μηχανών, ή αλλιώς κατ' ευθείαν από το υλικό. Αναφέρεται συχνά σαν απόδοση (Performance).[10] Η σημερινή υπερεπόπτες μας επιτρέπουν να κάνουμε καλύτερη χρήση των όλο ένα και ποιό ταχύτερων επεξεργαστών που εμφανίζονται τακτικά στην αγορά και πιο αποτελεσματική χρήση των μεγαλύτερων και πυκνότερων προσφορών μνήμης που εμφανίζονται μαζί με αυτούς. Η δομή ενός υπερεπόπτη είναι αρκετά απλή. Αποτελείτε από ένα στρώμα λογισμικού που ζει υπάρχει ανάμεσα στο υλικό του οικοδεσπότη και τις εικονικές μηχανές που υποστηρίζει (εικόνα 6). Αυτές οι εικονικές μηχανές αποκαλούνται επίσης και φιλοξενούμενες. Ο σκοπός του υπερεπόπτη είναι η διαχείριση και κατανομή των πόρων στις εικονικές μηχανές, και η εξασφάλιση ότι δεν θα διαταράξει η μία μηχανή την άλλη, εκτός από την παροχή διασυνδέσεων για υψηλότερο διοικητικό επίπεδο και εργαλεία παρακολούθησης.[11] Εικόνα 6. Διαχειριστής εικονικών μηχανών Υπερεπόπτης [6] Υπάρχουν δύο τύποι υπερεπόπτων : Ο τύπος 1 (Type -1) και ο τύπος 2 (Type -2). Ο πρώτος τύπος χρησιμοποιείται για εικονικοποίηση διακομιστών ενώ ο δεύτερος για εικονικοποίηση φορητών ή επιτραπέζιων υπολογιστών. Τύποι υπερεποπτών Υπερεπόπτης τύπου 1 Οι υπερεπόπτες τύπου 1 είναι συστήματα λογισμικού που τρέχουν απευθείας στο υλικό του οικοδεσπότη χωρίς να υπάρχει λειτουργικό σύστημα από κάτω του ( εικόνα 7). Επειδή δεν υπάρχει κάποιο στρώμα που να μεσολαβή ανάμεσα στον υπερεπόπτη και το φυσικό υλικό αυτό αναφέρεται και σαν υλοποίηση γυμνού υλικού (bare-metal). Χωρίς λοιπόν να υπάρχει μεσολαβητής ο υπερεπότης τύπου 1 μπορεί απευθείας να επικοινωνήσει με του πόρους του υλικού στην κατώτερη στοίβα κάνοντας τον έτσι πιο αποτελεσματικό από τον υπερεπόπτη τύπου 2. 24

25 Εκτός από ότι διαθέτει καλύτερα χαρακτηριστικά επιδόσεων, ο υπερεπόπτης τύπου 1, θεωρείτε ότι διαθέτει μεγαλύτερη ασφάλεια από τον υπερεπόπτη τύπου 2. Οι εργασίες φιλοξενούμενων παραδίδονται μακριά, και ως εκ τούτου, ένας επισκέπτης δεν μπορεί να επηρεάσει τον υπερεπόπτη από τον οποίο υποστηρίζεται. Μια εικονική μηχανή μπορεί να βλάψει μόνο την ίδια, προκαλώντας μια και μόνη σύγκρουση φιλοξενούμενων, αλλά το γεγονός αυτό δεν ξεφεύγει από τα σύνορα του περιέκτη (Container) εικονικών μηχανών. Άλλοι φιλοξενούμενοι συνεχίζουν την επεξεργασία τους και ο υπερεπόπτης είναι ανεπηρέαστος. Ένας κακόβουλος φιλοξενούμενος, όπου ο κώδικας προσπαθεί σκόπιμα να παρέμβει με τον υπερεπόπτη ή τους άλλους επισκέπτες, δεν θα είναι σε θέση να το πράξη. Λιγότερη επιβάρυνση επεξεργασίας απαιτείται για ένα Τύπου 1 υπερεπόπτη, το οποίο σημαίνει ότι περισσότερες εικονικές μηχανές μπορούν να τρέχουν σε κάθε οικοδεσπότη.[11] Εικόνα 7. Υπερεπόπτης τύπου 1 [6] Υπερεπόπτης τύπου 2 Ο υπερεπόπτης τύπου 2 είναι από μόνος του μια εφαρμογή, η οποία τρέχει μέσα από ένα παραδοσιακό λειτουργικό σύστημα. Οι πρώτες x86 προσφορές υπερεπόπτων ήταν τύπου 2, διότι αυτός ήταν ο οποιό γρήγορος δρόμος στην αγορά. Το λειτουργικό σύστημα ήδη διαχειρίζετε όλους τους πόρους του υλικού και ο υπερεπόπτης θα μοχλεύση αυτή την ικανότητα. Η εικόνα 8 απεικονίζει έναν τύπου 2 υπερεπόπτη. Ένα πλεονέκτημα αυτού του μοντέλου είναι ότι μπορεί να υποστηρίξει ένα μεγάλο φάσμα υλικού διότι αυτό κληρονομήτε από το λειτουργικό που χρησιμοποίεί. Πολλές φορές η τύπου 2 υπερεπόπτες είναι εύκολο να εγκατασταθούν και να αναπτυχθούν, διότι μεγάλο μέρος της διαμόρφωσης του υλικού, όπως η δικτύωση και η αποθήκευση έχουν ήδη καλυφθεί από το λειτουργικό σύστημα. Κάθε φορά που μία εικονική μηχανή εκτελεί μια ανάγνωση δίσκου, μια λειτουργία δικτύου ή οποιαδήποτε άλλη αλληλεπίδραση με το υλικό, περνά αυτό το αίτημα στον υπερεπόπτη ακριβώς όπως στο περιβάλλον του τύπου 1. Αντίθετα από αυτό το περιβάλλον, ο υπερεπόπτης τύπου 2 πρέπει να περάσει το αίτημα στο λειτουργικό σύστημα το οποίο διαχειρίζεται τα Ι/Ο αιτήματα. Το λειτουργικό σύστημα στέλνει την πληροφορία πίσω στον υπερεπόπτη και μετά στο φιλεξενούμενο, προσθέτοντας έτσι δύο επιπρόσθετα βήματα, χρόνο και επεξεργασία σε κάθε διενέργεια. 25

26 Εικόνα 8. Υπερεπόπτης τύπου 2 [6] Οι υπερεπόπτες τύπου 2 είναι λιγότερο αξιόπιστη, διότι υπάρχουν περισσότερα σημεία αποτυχίας, οτιδήποτε επιρρεάζει την διαθεσιμότητα του υποκείμενου λειτουργικού μπορεί να έχει αντίκτυπο στον υπερεπόπτη και στους φιλοξενούμενος που υποστηρίζει. Τα λογισμικά VMware Player, VMware Workstation,and Microsoft Virtual Server αποτελούν παραδείγματα υπερεπόπτη τύπου 2.[11] Τύποι εικονικοποίησης διακομιστών Εξομοίωση υλικού (Hardware Emulation) Η πιο πολύπλοκη εικονικοποίηση παρέχεται από την εξομοίωση υλικού. Με αυτή την μέθοδο μια εικονική μηχανή υλικού δημιουργείτε στο κεντρικό σύστημα για να εξομοιώσει το υλικό που μας ενδιαφέρει, όπως φαίνεται στην εικόνα 9. Εικόνα 9 Η εξομοίωση υλικού χρησιμοποιεί μια εικονική μηχανή (VM) για να εξομοίωση το απαραίτητο υλικό.[7] Αυτή η τεχνική επιτρέπει την μετατροπή των εντολών ή οδηγιών μία προς μία με τη χρήση λογισμικού. Μερικές πολύπλοκες εντολές χρειάζονται μεγάλο κόπο για να εξομοιωθούν ορθά. Αυτή η μέθοδο δεν χρησιμοποιεί οδηγούς πυρήνα (Kernel Drivers) ούτε στο κεντρικό σύστημα ούτε στο φιλοξενούμενο σύστημα. Αυτό είναι σημαντικό γιατί κάνει το λογισμικό πιο αφαιρετικό, πιο ασφαλές, πιο φορητό και θεωρητικά επιτρέπει την εκτέλεση ενός εξομοιωτή χωρίς να απαιτείτε προηγουμένως η εγκατάσταση του. Όπως πιθανότατα μπορούμε να υποθέσουμε, το βασικό πρόβλημα με την εξομοίωση υλικού, είναι ότι είναι απελπιστικά αργή. Διότι κάθε οδηγία πρέπει να προσομοιωθεί από το υποκείμενο υλικό, η κατά 100% επιβράδυνση είναι κάτι συνηθισμένο. Για υψηλής αξιοπιστίας εξομοιώσεις 26

27 οι οποίες περιλαμβάνουν κύκλο ορθότητας, προσομοίωση ΚΜΕ (cpu pipelines) και χρήση κρυφής μνήμης (caching behavior), η πραγματική διαφορά ταχύτητας μπορεί να είναι της τάξης των 1000 φορών πιο αργή. Η εξομοίωση υλικού έχει όμως και τα πλεονεκτήματα της. Για παράδειγμα χρησιμοποιώντας εξομοίωση υλικού, μπορούμε να τρέξουμε ένα ατροποποίητο λειτουργικό σύστημα το οποίο απευθύνετε σε ένα Power pc σε ένα κεντρικό σύστημα με επεξεργαστή ARM. Μπορούμε ακόμη και να τρέξουμε πολλαπλές εικονικές μηχανές, η κάθε μια εκ των οποίων προσομοιώνει διαφορετικό επεξεργαστή. Προγράμματα που ανήκουν σε αυτή την κατηγορία είναι :DOSbox, bochs, Qemu, Dynamips/Dynagen, epsxe. [3],[12] Πλήρης εικονικοποίηση (Full Virtualization) Η πλήρης εικονικοποίηση είναι μια άλλη ενδιαφέρουσα τεχνική εικονικοποίησης διακομιστών η οποία παρέχει πλήρη προσομοίωση του υποκείμενου υλικού. Αυτός ο τύπος χρησιμοποιεί μια εικονική μηχανή που μεσολαβεί μεταξύ του φιλοξενούμενου λειτουργικού συστήματος και του φυσικού υλικού (εικόνα 10). Μεσολαβή είναι η λέξη κλειδί εδώ επειδή ο υπερεπόπτης μεσολαβή μεταξύ του φιλοξενούμενου λειτουργικού συστήματος και του γυμνού υλικού (bare hardware). Ο υπερεπόπτης παγιδεύει (trap) και με ασφάλεια μεταφράζει / εκτελεί προνομιούχες (Privilaged) εντολές εκείνη την στιγμή. Επειδή παγιδεύοντας τις προνομιούχες εντολές μπορεί να οδηγηθούμε σε σημαντικά προβλήματα απόδοσης, έχουν αναπτυχθεί πρωτότυπες τεχνικές όπως η δυαδική μετάφραση (Binary Translation) για τον υπολογισμό ταυτοχρόνως πολλαπλών εντολών και μετάφρασης αυτών. Εικόνα 10. H πλήρη εικονικοποίηση χρησιμοποιεί έναν υπερεπόπτη για να μοιράσει το υποκείμενο υλικό. Η προσέγγιση της δυαδικής μετάφρασης στην x86 εικονικοποίηση. [8],[9] Πλεονεκτήματα Πλήρη απομόνωση των εικονικών μηχανών. Δεν χρειάζεται καμία τροποποίηση στα λειτουργικά συστήματα για να εγκατασταθούν. Παρέχει σχεδόν φυσική απόδοση στο επεξεργαστή και την μνήμη. Προσφέρει ευελιξία, επειδή μπορούν να εγκατασταθούν πολλά λειτουργικά συστήματα από διαφορετικούς εκδότες. 27

28 Επειδή το φιλοξενούμενο λειτουργικό παραμένει ατροποποίητο η μετανάστευση (Migration) και η φορητότητα πραγματοποιούνται πολύ εύκολα. Μειονεκτήματα Απαιτείται ο σωστός συνδυασμός του υλικού με τα στοιχεία του λογισμικού. Η απόδοση μπορεί να επηρεαστεί από την τεχνική παγίδευση-εξομοίωση της x86 αρχιτεκτονικής σε (protected) εξουσιοδοτημένες εντολές. Λύσεις που υλοποιούν πλήρης εικονικοποίηση σήμερα αποτελούν τα προϊόντα της VMware, προϊόντα από Xen και XenServer από την Citrix, Virtualbox από την Oracle, QEMY από την Fabrice Bellard, και KVM απο την RedHat.[12],[13],[14] Παραεικονικοποίηση ( Para virtualization) Για να συνειδητοποιήσουμε το πλήρες όφελος απόδοσης της εικονικοποίησης διακομιστών, μια άλλη τεχνική δημιουργήθηκε, που ονομάζεται παρα-εικονικοποίηση. Όπως η πλήρης εικονικοποίηση έτσι και η παραεικονικοποίηση χρησιμοποιεί και αυτή έναν υπερεπόπτη, καθώς επίσης και τον όρο εικονική μηχανή για να αναφερθεί στα εικονικοποιημένα λειτουργικά συστήματα. Ωστόσο σε αντίθεση με την πλήρης εικονικοποίηση, η παραεικονικοποίηση απαιτεί την διαμόρφωση του εικονικού λειτουργικού συστήματος. Έτσι ο πυρήνας (Kernel) του λειτουργικού διαμορφώνεται για να αντικαταστήσει εντολές που δεν μπορούν να εικονικοποιηθούν με υπερκλήσεις (Hypercalls), οι οποίες μπορούν να επικοινωνούν απευθείας με τον υπερεπόπτη. Ο υπερεπόπτης παρέχει επίσης διεπαφές υπερκλήσεων και για άλλες σημαντικές εργασίες του πυρήνα όπως την διαχείριση μνήμης και τον χειρισμό διακοπών. Με αυτών τον τρόπο μειώνεται η χρήση των προνομιούχων εντολών οι οποίες είναι υπεύθυνες κατά κύριο λόγο για τα προβλήματα επιδόσεων στην πλήρης εικονικοποίηση. Εικόνα 11. Η παραεικονικοποίηση μοιράζεται την διαδικασία με το φιλοξενούμενο λειτουργικό. [10],[9] 28

29 Πλεονεκτήματα : Ευκολότερη να εφαρμοσθεί από την πλήρης εικονικοποίηση όταν δεν υπάρχει διαθέσιμη βοήθεια για το υλικό. Μεγαλύτερη συνολική απόδοση από την πλήρης εικονικοποιήση λόγω μείωσης της εξομοίωσης υλικού. Μειονεκτήματα : Τα φιλοξενούμενα λειτουργικά συστήματα χρειάζονται τροποποιήσεις. Η τροποποίηση των φιλοξενούμενων λειτουργικών συστημάτων μπορεί να έχει ως αποτέλεσμα προβλήματα σε συμβατότητα και φορητότητα. Ο υπερεπόπτης XEN είναι αυτός που έκανε γνωστή αυτήν την μέθοδο και εισήγαγε την έννοια της παραεικονικοποίησης. Σήμερα, οι περισσότερες λύσεις εικονικοποίησης υποστηρίζουν την παρα-εικονικοποίηση ως κανόνα. Λύσεις που εφαρμόζουν παραεικονικοποίηση είναι ο XEN από την RedHat, οι υπερεπόπτες της Vmware, o KVM και άλλοι. [12],[13],[14] Εικονικοποίηση λειτουργικού συστήματος (OS Virtualization Containers) Η εικονικοποίηση λειτουργικού συστήματος πραγματοποιείται πάνω από ένα υπάρχον λειτουργικό σύστημα. Δεν επιτρέπει την εγκατάσταση εικονικών μηχανών, όπου η κάθε μία είναι απομονωμένη από την άλλη. Η εικονικοποίηση λειτουργικού η οποία εκτελείτε πάνω από το υπάρχον λειτουργικό σύστημα του οικοδεσπότη παρέχει ένα σύνολο βιβλιοθηκών που αλληλεπιδρούν με τις εφαρμογές, δίνοντας σε κάθε εφαρμογή την ψευδαίσθηση ότι λειτουργεί σε ένα μηχάνημα αφιερωμένο στην χρήση του. Για να κατανοήσουμε καλύτερα αυτό που περιγράψαμε πιο πάνω, στην εικόνα που ακολουθεί (εικόνα 12) παρατηρούμε έναν διακομιστή που εκτελεί το λειτουργικό σύστημα οικοδεσπότη. Σε αυτό το λειτουργικό σύστημα εκτελείτε λογισμικό που δημιουργεί εικονικοποίηση λειτουργικού καθώς επίσης και μια σειρά από εικονικά λειτουργικά. Κάθε ένα από τα εικονικά λειτουργικά έχει μία ή περισσότερες εφαρμογές που εκτελούνται. Από την εκτέλεση της εφαρμογής, βλέπει και αλληλεπιδρά μόνο με τις εφαρμογές που εκτελούνται στο εικονικό λειτουργικό συστημά του και αλληλεπιδρά με το εικονικό λειτουργικό του σαν να έχει τον έλεγχο των πόρων του εικονικού λειτουργικού. Δεν μπορεί να δει τις εφαρμογές ή τους πόρους ενός λειτουργικού που βρίσκεται σε μια άλλη εικονική μηχανή. Είναι δηλαδή σαν να τρέχουν πολλαπλά λειτουργικά συστήματα πάνω απο το πραγματικό λειτουργικό του οικοδεσπότη. Για αυτό το λόγο και αυτή η προσέγγιση εικονικοποίησης αποκαλείτε «περιέκτης» (Container).[15] 29

30 Εικόνα 12. Εικονικοποίηση Λειτουργικού Συστήματος (Operating System Virtualization) [11] Η εικονικοποίηση λειτουργικού είναι ιδιαίτερα χρήσιμη εάν θέλουμε να προσφέρουμε ένα παρόμοιο σύνολο λειτουργικότητας του λειτουργικού συστήματος σε ένα σύνολο χρηστών χρησιμοποιώντας ένα και μόνο μηχάνημα. Αυτή είναι η ιδανική προσέγγιση για εταιρείες φιλοξενίας σελίδων (web-hosting). Χρησιμοποιούν εικονικοποίηση λειτουργικού συστήματος που να επιτρέπει σε μια φιλοξενούμενη τοποθεσία να πιστέψει ότι έχει τον πλήρη έλεγχο του μηχανήματος, αλλά στη πραγματικότητα κάθε φιλοξενούμενη σελίδα μοιράζεται το μηχάνημα μαζί με άλλες τοποθεσίες, όπου στην κάθε μία παρέχεται ο δικό της περιέκτης. Κάθε περιέκτης περιέχει το δικό του σύστημα αρχείων που μοιάζει με ένα πλήρες λειτουργικό σύστημα αλλά, στην πραγματικότητα το σύστημα αρχείων έχει αντιστοιχιστεί με το σύστημα αρχείων του λειτουργικού συστήματος του οικοδεσπότη με τέτοιο τρόπο ώστε να απομονώνει το σύστημα αρχείων του κάθε δικτυακού τόπου από τους άλλους.[15] Πλεονεκτήματα: Είναι ένα λειτουργικό σύστημα αρκετά αποδοτικό. Υπάρχει μόνο ένα λειτουργικό σύστημα για διαχείριση (update hotfixes). Κατάλληλο για εκπαιδευτικούς σκοπούς. Απαιτεί μόνο μια άδεια χρήσης. Μειονεκτήματα: Δεν μπορεί να φιλοξενήσει την λειτουργία ανάμεικτων λειτουργικών συστημάτων (πχ windows, Linux). Εάν το λειτουργικό του οικοδεσπότη είναι windows τότε windows θα είναι και ο περιέκτης. Οι εικονικές μηχανές δεν είναι τόσο απομονωμένες ή ασφαλείς όπως με τους υπόλοιπους τύπους εικονικοποίησης. Δεν υπάρχει δυνατότητα off-line λειτουργίας. Τα πιο γνωστά προϊόντα που χρησιμοποιούν εικονικοποίηση λειτουργικού είναι : Virtuozzo και Solaris Containers. Parallels 30

31 2.3 Ασφάλεια σε εικονικοποιημένα περιβάλλοντα Οι πλατφόρμες εικονικοποίησης είναι λογισμικό. Όλα τα λογισμικά έχουν ατέλειες. Για το λόγο αυτό και οι πλατφόρμες εικονικοποίησης έχουν ατέλειες. Οι μεγαλύτεροι κατασκευαστές πλατφορμών εικονικοποίησης, VMware, Xen (now Citrix), και Microsoft, είχαν όλοι διάφορα προβλήματα με ατέλειες κατά τη διάρκεια των τελευταίων χρόνων. Παρ όλα αυτά, τα κύρια τμήματα μιας υποδομής εικονικοποίησης και ΙΤ στρατηγικής σχετιζόμενης με την υλοποίηση και τη συντήρηση τεχνολογιών εικονικοποίησης μπορεί να σχεδιαστεί και να είναι ασφαλής σε αρκετά καλό επίπεδο. Τα ακόλουθα τμήματα θα διερευνήσουν τα κυριότερα σημεία αναφοράς. Ι. Ασφάλεια υπερεπόπτη Σε πολλές περιπτώσεις ο υπερεπόπτης είναι ένα κομμάτι λογισμικού, εκτός εάν είναι ενσωματωμένος απευθείας με τον οικοδεσπότη (host platform). Οι κύριοι προμηθευτές διαθέτουν διορθώσεις (patches) για τα προϊόντα τους όπως κάθε άλλος προμηθευτής λογισμικού, και το κλειδί για το μετριασμό του κινδύνου του υπερεπόπτη από τρωτά σημεία είναι μια καλή διαδικασία διαχείρισης διορθώσεων. Παραδείγματα ορθών πρακτικών διαχείρισης των διορθώσεων περιλαμβάνουν την διατήρηση των τελευταίων πακέτων συντήρησης (Service Packs) τόσο για τους φιλοξενούμενους όσο και για τους οικοδεσπότες, τον περιορισμό μη κρίσιμων εφαρμογών με ιστορικό σε τρωτά σημεία, με την εφαρμογή των τελευταίων διορθώσεων ασφάλειας, αν και όταν παρέχονται από τον προμηθευτή του εικονικού λογισμικού. ΙΙ. Ασφάλεια πλατφόρμας /οικοδεσπότη (Host/Platform Security) Η πλατφόρμα του οικοδεσπότη, η οποία συνδέει τον υπερεπόπτη και τους εικονικούς φιλοξενούμενους με το φυσικό δίκτυο, μπορεί να ποικίλοι ευρέως στις επιλογές που είναι διαθέσιμες για την ρύθμιση παραμέτρων. Αυτό εξαρτάται βαριά από την αρχιτεκτονική του συστήματος. Για παράδειγμα η πλατφόρμα ESX της VMware έχει έναν αριθμό από ομοιότητες με το Red Hat Linux. Δεδομένου ότι πολλά από αυτά τα συστήματα είναι σε θέση να θωρακιστούν σημαντικά, μια σειρά από κατευθυντήριες γραμμές βέλτιστων πρακτικών για τη διαμόρφωση μπορεί να εφαρμοστούν, όπως ο καθορισμός πρόσβασης σε αρχεία, ο έλεγχος των χρηστών και των ομάδων, καθώς και η δημιουργία αρχείου καταγραφής συμβάντων και χρονικού συγχρονισμού. ΙΙΙ. Εξασφαλίζοντας τις επικοινωνίες Η εξασφάλιση των επικοινωνιών μεταξύ του οικοδεσπότη και επιτραπέζιων υπολογιστών ή ένα εργαλείο διαχείρισης υποδομής, όπως το VMware vcenter είναι απαραίτητο προκειμένου να αποφευχθούν υποκλοπές, διαρροή δεδομένων και Man-in-the-middle επιθέσεις. Οι περισσότερες από τις γνωστές σήμερα πλατφόρμες υποστηρίζουν SSH, SSL και IPSec για οποιεσδήποτε επικοινωνίες απαιτούνται, και ένα ή περισσότερα από αυτά θα πρέπει να είναι ενεργοποιημένα. 31

32 IV. Ασφάλεια μεταξύ επισκεπτών (Security between guests) Ένα από τα μεγαλύτερα ζητήματα ασφάλειας που αντιμετωπίζει η εικονικοποιημένη επιχείρηση περιστρέφεται γύρω από την έλλειψη ορατότητας στην κίνηση ανάμεσα στους επισκέπτες. Μέσα σε μια πλατφόρμα υποδοχής ( host platform ) υπάρχει ένας εικονικός μεταγωγέας στον οποίο συνδέεται κάθε επισκέπτης - στην ουσία, οι φυσικές κάρτες δικτύου του υπολογιστή φιλοξενείας μετατρέπονται σε ένα σύνολο μεταγωγέων. Σε πολλούς οργανισμούς, έχουν υιοθετηθεί λύσεις για την παρακολούθηση του δικτύου και την ανίχνευση εισβολών ώστε να υπάρχει ορατότητα, ασφάλεια και δυνατότητα συναγερμού σε κρίσιμα τμήματα του δικτύου. Με την έλευση του εικονικού μεταγωγέα, όλη η ενδοεπικοινωνία με τα εικονικά μηχανήματα εντός ενός οικοδεσπότη, πραγματοποιείται εξ ολοκλήρου μέσα στα στοιχεία του εικονικού μεταγωγέα, και έτσι η διαφάνεια και η ασφάλεια είναι σε σοβαρό κίνδυνο. Ευτυχώς, οι περισσότερες μεγάλης κλίμακας λύσεις εικονικοποίησης έχουν παραδοσιακά Layer-2 ενσωματωμένους ελέγχους μεταγωγής, έτσι είναι δυνατόν να δημιουργηθούν αντίγραφα θυρών (Mirror Ports) στον εικονικό μεταγωγέα για την παρακολούθηση της κυκλοφορίας. V. Ασφάλεια μεταξύ Οικοδεσπότη/Επισκέπτη (Security between host/guests) Η έννοια της Διαφυγής εικονικής μηχανής (Escape VM), όπου κακόβουλος κώδικας θα μπορούσε να ξεφύγει από την εικονική μηχανή επισκέπτη ( guest) και να εκτελεστεί στον υποκείμενο υπολογιστή (Host), είναι ένα καυτό θέμα συζήτησης στην κοινότητα της ασφάλειας των πληροφοριών. Δυστυχώς, όλα τα σημάδια δείχνουν πως αυτό είναι δυνατόν. Στην πραγματικότητα, πολλές περιπτώσεις αυτού του είδους επίθεσης έχουν ήδη αποδειχθεί. Όλα αυτά τα θέματα μπορούν να διορθωθούν με διορθώσεις από τον πάροχο-προμηθευτή, αλλά εν τω μεταξύ, η ασφαλέστερη μέθοδος για την προστασία από διαφυγή εικονικής μηχανής και άλλες επιθέσεις, που σχετίζονται με την αλληλεπίδραση επισκέπτη-οικοδεσπότη (guest-host), είναι να απενεργοποιήσετε τις υπηρεσίες που δεν χρειάζεστε. Συμπεράσματα Υπάρχουν μια σειρά από ζητήματα ασφάλειας που πρέπει να λαμβάνονται υπόψη κατά το σχεδιασμό, την ανάπτυξη και τη διατήρηση των τεχνολογιών εικονικοποίησης. Πολλές από αυτές μπορούν να μετριαστούν με ένα κατάλληλο πρόγραμμα διαχείρισης της διαμόρφωσης - τον καθορισμό πολιτικών και τις κατευθυντήριες γραμμές διαμόρφωσης, δημιουργώντας διαδικασίες για την εφαρμογή των πολιτικών και τη διατήρησή τους, και ακολουθώντας τις βέλτιστες πρακτικές στη διαχείριση διορθώσεων για εικονικούς οικοδεσπότες και επισκέπτες. Αν και η τεχνολογία είναι νέα, και έχουμε πολλά να μάθουμε, ρυθμίζοντας κατάλληλα και κλειδώνοντας τα συστήματα μπορούν να μειώσουν σημαντικά την έκθεση μας.[16] 32

33 2.4 Εικονικοποίηση Εφαρμογών (Application Virtualization) Η εικονικοποίηση εφαρμογών έχει να κάνει με το διαχωρισμό της εφαρμογής από το φιλοξενούμενο λειτουργικό σύστημα. Τεχνικά αναφέρεται σαν αφαίρεση ή αποσύνδεση. Η εικονικοποίηση εφαρμογής περιλαμβάνει τον εγκλεισμό της εφαρμογής μέσα σε έναν εικονικό περιέκτη, συμπεριλαμβανομένου του μητρώου και τις θέσεις του συστήματος αρχείων του για πρόσβαση εφαρμογών. Συνήθως αναπτύξεις εφαρμογών, περιλαμβάνουν την εγκατάσταση της εφαρμογής στο λειτουργικό σύστημα, καθώς και τις πολλαπλές ενημερώσεις στο μητρώο του συστήματος και στο τοπικό σύστημα αρχείων. Με αυτό τον τρόπο η εφαρμογή γίνεται δέσμια αυτού του συγκεκριμένου λειτουργικού συστήματος. Εικόνα 13. Εικονικοποίηση εφαρμογών [12] Η εικονικοποίηση εφαρμογών χειρίζεται τα μειονεκτήματα των παραδοσιακά εγκατεστημένων εφαρμογών, χρησιμοποιώντας μια μέθοδο αφαίρεσης, ενθυλάκωσης και απομόνωσης όπως φαίνεται στην εικόνα 13. Κάθε εφαρμογή αφαιρείτε από το φιλοξενούμενο λειτουργικό χρησιμοποιώντας ένα εικονικό μητρώο και ένα σύστημα αρχείων. Η εφαρμογή τρέχει απονομένη από άλλλες εφαρμογές σε ένα δικό της εικονικό περιβαλλον (sandbox), λύνοντας με αυτό τον τρόπο τις μεταξύ τους ασυμβατότητες και επιτρέποντας πολλαπλές εκδόσεις της ίδιας εφαρμογής να εκτελεστούν σε ένα φιλοξενούμενο λειτουργικό. Οι εικονικές εφαρμογές περικλείονται σε απομονωμένα (standalone) περιβάλλοντα με ενσωματωμένα αρχεία εκτελέσιμου κώδικα (runtime executables) ή αρχεία συμπιεσμένου περιεχομένου (cab files), καθιστώντας τις εφαρμογές αυτές φορητές (portable) και εύκολες να εγκατασταθούν σε διάφορες πλατφόρμες υλικού και λειτουργικών συστημάτων. Το φιλοξενούμενο λειτουργικό σύστημα ακόμα επωφελείται από την εγκατάσταση εικονικών εφαρμογών μέσω της αυξημένης σταθερότητας και απλοποιημένης διαχείρισης (simplified image management). Δύο είναι οι κύριοι μέθοδοι εικονικοποίησης εφαρμογών που χρησιμοποιούνται σήμερα και μπορούν να κατηγοριοποιηθούν, σε agent-less και agent based. Η μέθοδος που δεν βασίζετε σε πράκτορα (Agent-less) εικονικοποίησης εφαρμογών περιλαμβάνει τη χρήση ενός ενσωματωμένου εικονικού λειτουργικού συστήματος το 33

34 οποίο έχει εγκατασταθεί ως τμήμα της εικονικοποιημένης εφαρμογής. Οι εικονικοποιημένες αυτές εφαρμογές είναι πλήρως ενθυλακωμένες (encapsulated) και είναι σε θέση να λειτουργούν ως ένα εκτελέσιμο αρχείο απο πολλαπλές τοποθεσίες όπως μια μονάδα δίσκου δικτύου, τοπική μονάδα δίσκου ή USB drive. Η μέθοδος που βασίζεται σε πράκτορα (Agent-based) εικονικοποίησης εφαρμογών χρησιμοποιεί έναν συνδυασμό προφίλ ή έτοιμων εφαρμογών, ένα κεντρικό διακομιστή για την παράδοση, και ένα τοπικά εγκατεστημένο πράκτορα στο τελικό σημείο. Οι πράκτορες (agents) από μόνοι τους χρησιμοποιούν ένα πρόγραμμα οδήγησης λειτουργίας πυρήνα (kernel-mode) ή μια υπηρεσία (service). Και οι δύο μέθοδοι έχουν την ικανότητα να κατευθύνουν τις εφαρμογές μέσο του δικτύου στην τοπική συσκευή. Η συνεχής ροή (streaming) επιτρέπει την άμεση εκτέλεση της εικονικοποιημένης εφαρμογής από το τελικό σημείο, καθώς τα μπλοκ δεδομένων μεταδίδονται on-demand σε όλο το δίκτυο ή το διαδίκτυο. Δεδομένου ότι η εφαρμογή χρησιμοποιείται, επιπλέον μπλοκ θα μεταδίδονται για τα απαιτούμενα χαρακτηριστικά. Η συνεχή ροή των εφαρμογών βοηθά στην ελαχιστοποίηση της επιβάρυνσης του δικτύου που απαιτείται για να τρέξει η εικονικοποιημένη εφαρμογή. [17] Πέρα από τις προφανείς αρχιτεκτονικές διαφορές των δύο μεθόδων, υπάρχει και ένας αριθμός από βασικές διαφορές στη διαχείριση και την απόδοση. Δύο είναι οι διαφορές στις οποίες θα επικεντρωθούμε : Κεντρικοποιημένη Διαχείριση (Centralized management) Η κεντρικοποιημένη διαχείριση είναι η χρήση ενός κεντρικοποιημένου διακομιστή παροχής εφαρμογών. Αυτός ο διακομιστής επιτρέπει την δημοσίευση των εικονικοποιημένων εφαρμογών και τον καθορισμό ελέγχων πρόσβασης σε αυτές με χρήση Active Directory (AD) group security. Η ικανότητα να δοθεί έλεγχος πρόσβασης σε εικονικοποιημένες εφαρμογές είναι τυπικά βασική απαίτηση για τους περισσότερους οργανισμούς και θα πρέπει να λαμβάνετε υπόψη όταν επιλέγουμε προμηθευτή εικονικοποίησης εφαρμογών. Κατάσταση εκτέλεσης χρήστη (User mode execution) Η κατάσταση εκτέλεσης χρήστη είναι η εκτέλεση της εικονικοποιημένης εφαρμογής μέσα στο περιβάλλον εκτέλεσης του χρήστη πάνω από το λειτουργικό σύστημα. (endpoint OS). Το πλεονέκτημα αυτής της αρχιτεκτονικής είναι ότι δεν υπάρχει αλληλεπίδραση με τον πυρήνα του λειτουργικού συστήματος, έτσι εάν η εικονικοποιημένη εφαρμογή αποτύχει, δεν θα επηρεάσει το λειτουργικό σύστημα. Η μέθοδος που βασίζεται σε πράκτορα (Agent-based) από την φύση της αξιοποιεί έναν οδηγό κατάστασης-πυρήνα (kernel-mode driver) και μπορεί να προκαλέσει μια διακοπή στο λειτουργικό σύστημα (OS interruption) εάν η εικονικοποιημένη εφαρμογή ή ο πράκτορας αποτύχει (Crash). 34

35 Οφέλη της εικονικοποίησης εφαρμογών : Επιτρέπει στις εφαρμογές να λειτουργούν σε περιβάλλοντα που δεν ταιριάζει με την φυσική εφαρμογή. Για παράδειγμα το λογισμικό Wine επιτρέπει σε κάποιες εφαρμογές λειτουργικών της Microsoft να τρέχουν σε Linux. Χρησιμοποιεί λιγότερους πόρους από μια ξεχωριστή εικονική μηχανή. Εγγυάται στις εφαρμογές να χρησιμοποιήσουν τις σωστές εκδόσεις αρχείων και ιδιοκτησίες, τις σωστές ρυθμίσεις αρχείων/καταχωρήσεων χωρίς να γίνεται καμία μεταβολή στο λειτουργικό σύστημα και χωρίς να μπερδεύονται στη λειτουργία άλλων εφαρμογών. Μείωση του κόστους διαχείρισης για έναν οργανισμό. Οι διαχειριστές μπορούν να δημιουργήσουν προ-συσκευασμένα πακέτα εφαρμογών που μπορούν να αναπτυχθούν γρήγορα,τοπικά ή απομακρυσμένα μέσω δικτύου, ακόμα και σε αργές συνδέσεις. Εικονικό λογισμικό εφαρμογών μπορεί ακόμη και να μεταδοθεί σε συστήματα on-demand χωρίς να επικαλείται μια διαδικασία ρύθμισης ή εγκατάστασης. Χρησιμοποιεί πολλαπλές εκδόσεις μιας εφαρμογής. Πολλές εκδόσεις μπορούν να τρέξουν στο ίδιο λειτουργικό σύστημα χωρίς ασυμβατότητες η συγκρούσεις, βελτιώνοντας την μετάβαση σε νεότερες εκδόσεις εφαρμογών και επιταχύνοντας τον έλεγχο αλλά και την ολοκλήρωση νέων στοιχείων στο περιβάλλον. Βελτιώνει την ασφαλεια απομονώνοντας τις εφαρμογές από το λειτουργικό σύστημα. Απλοποίηση μετανάστευσης (migration) λειτουργικών συστημάτων. Περιορισμοί της εικονικοποίησης εφαρμογών : Ολα τα λογισμικά δεν μπορούν να εικονικοποιηθούν. Υπάρχουν εφαρμογές που απαιτούν ένα πρόγραμμα οδήγησης συσκευής και 16-bit εφαρμογές που χρειάζεται να εκτελούνται σε κοινοχρηστο χώρο μνήμης. Τύποι λογισμικών που απαιτούν βαριά ολολκλήρωση του λειτουργικού συστήματος είναι αδύνατον να εικονικοποιηθούν.[10],[18] Προιόντα που υπάρχουν στη αγορά για εικονικοποίηση εφαρμογών τύπου (agent-based) προερχονται απο : Microsoft Application Virtualization, Citrix XenApp, Symantec Software,ενώ τύπου (agent-less) από την VMware (ThinApp) και Free Bridge. 2.5 Εικονικοποίηση επιφάνειας εργασίας (Desktop-Client Virtualization) Η εικονικοποίηση επιφάνειας εργασίας, είναι ένας όρος που χρησιμοποιείται για μια νέα προσέγγιση όσον αφορά τον εφοδιασμό, την παράδοση, και τη διαχείριση των χρηστών επιτραπέζιων υπολογιστών. Η βασική αρχή πίσω από αυτήν τη νέα προσέγγιση είναι η μόχλευσει υφιστάμενων και καλά δοκιμασμένων τεχνολογιών εικονικοποίησης, για εικονικοποίηση όχι μόνο διακομιστών, αλλά και επιτραπέζιων υπολογιστών. Η εικονικοποίηση επιφάνειας εργασίας αντικαθιστά το παραδοσιακό μοντέλο σταθμού εργασίας /φορητού υπολογιστή, στο οποίο οι 35

36 χρήστες εκτελούν όλες τις εφαρμογές και αποθηκεύουν τα δεδομένα τους. Αντ αυτού όλη η εμπειρία της επιφάνειας εργασίας τους θα εκτελείτε από τους διακομιστές των κέντρων δεδομένων. Θα μπορούσαμε λοιπόν να πούμε πως η εικονικοποίηση επιφάνειας εργασίας είναι η έννοια του διαχωρισμού ενός περιβάλλοντος προσωπικού υπολογιστή από την φυσική μηχανή, μέσω ενός υπολογιστικού μοντέλου πελάτη-διακομιστή. Η εικονική επιφάνεια εργασίας που προκύπτει βρίσκεται αποθηκευμένη σε έναν απομακρυσμένο κεντρικό διακομιστή αντί για τον τοπικό αποθηκευτικό χώρο του πελάτη. Με αυτό τον τρόπο δεδομένα και εφαρμογές είναι διαθέσιμα από οποιαδήποτε ικανή συσκευή. Το μοντέλο εικονικοποίησης επιφάνειας εργασίας επιτρέπει με τη χρήση εικονικών μηχανών, σε πολλαπλούς συνδρομητές-χρήστες να διατηρούν τις εξατομικευμένες επιφάνειες εργασίας τους σε ένα κεντρικό υπολογιστή ή διακομιστή. Η κεντρική μηχανή μπορεί να βρίσκεται σε μία οικία, μία εταιρία ή ένα κέντρο δεδομένων. Οι χρήστες μπορούν να είναι διάσπαρτοι γεωγραφικά, αλλά όλοι μπορούν να συνδεθούν στην κεντρική μηχανή μέσω ενός τοπικού δικτύου, ενός δικτύου ευρείας περιοχής ή μέσω του διαδικτύου.[19] Η εικονικοποίηση επιφάνειας εργασίας μπορεί να κατηγοριοποιηθεί σε δύο τύπους : Στην εικονικοποίηση επιφάνειας εργασίας από την πλευρά πελάτη (Client side), και στην εικονικοποίση επιφάνειας εργασίας από την πλευρά διακομιστή (Server-side ή Hosted desktop virtualization). I. Εικονικοποίηση επιφάνειας εργασίας από την πλευρά διακομιστή: Εδώ ο διακομιστής που βρίσκεται σε ένα κέντρο δεδομένων φιλοξενεί εικονικές μηχανές. Οι χρήστες συνδέονται στον διακομιστή μέσω μεσιτών σύνδεσης (connection brokers) και λαμβάνουν το περιβάλλον εργασίας τους μέσω πρότυπων πρωτοκόλλων όπως το πρωτόκολλο σύνδεσης απομακρυσμένης επιφάνειας εργασίας (Remote desktop protocol). Χωρίζονται σε τρεις κατηγορίες. II. Εικονικοποίηση επιφάνειας εργασίας από την πλευρά πελάτη Εδώ οι εφαρμογές εκτελούνται στο τελικό σημείο (client Side) και παρουσιάζονται τοπικά σε αυτό το σταθμό εργασίας. Εάν μελετήσουμε περισσότερο τις δύο αυτές εικονικές αντιλήψης, μπορούμε να ορίσουμε επιπλέον πέντε ακόμη τύπους εικονικοποίησης επιφάνειας εργασίας, οι οποίοι είναι οι ακόλουθοι : Εικονικοποίηση επιφάνειας εργασίας από την πλευρά πελάτη (εκτελέσιμο τοπικά) υπερεπόπτης πελάτη τύπου 1 Εικονικοποίηση επιφάνειας εργασίας από την πλευρά πελάτη (εκτελέσιμο τοπικά ) υπερεπόπτης πελάτη τύπου 2 (hosted) 36

37 Εικονικοποίηση επιφάνειας εργασίας από την πλευρά διακομιστή (εκτελέσιμο απομακρυσμένα) μοιραζόμενης επιφάνεις (shared desktop) Εικονικοποίηση επιφάνειας εργασίας από την πλευρά διακομιστή (εκτελέσιμο απομακρυσμένα) εξατομικευμένης εικονικής επιφάνειας (personal virtual desktop) Εικονικοποίηση επιφάνειας εργασίας από την πλευρά διακομιστή (εκτελέσιμο απομακρυσμένα) εξατομικευμένης φυσικής επιφάνειας (personal physical desktop) Στην εικόνα 14 παρουσιάζεται μια επισκόπηση των διαφορετικών λύσεων εικονικοποίησης επιφάνειας εργασίας που υπάρχουν. Εικόνα 14. Γενική επισκόπηση των τύπων εικονικοποίησης επιφάνειας εργασίας [13] Εικονικοποίηση επιφάνειας εργασίας από την πλευρά διακομιστή Οι διαμοιραζόμενες εικονικές επιφάνειες (Server hosted shared remote desktops, RDS) είναι μια λύση για να αποκτήσουμε απομακρυσμένη πρόσβαση σε επιφάνειες εργασίας και εφαρμογές οι οποίες εκτελούνται σε έναν κεντρικό διακομιστή ο οποίος συνήθως βρίσκεται σε ένα κέντρο δεδομένων. Η πρόσβαση στην επιφάνεια εργασίας ή την εφαρμογή δεν είναι περιορισμένη σε μια συγκεκριμένη τοποθεσία ή εξοπλισμό τελικού χρήστη και η εκτέλεση του προγράμματος πραγματοποιείτε κεντρικά στον διακομιστή. Οι πληροφορίες παρουσιάζονται στην οθόνη του πελάτη-χρήστη μέσω του πρωτοκόλλου απομακρυσμένης παρουσίασης (Remote Display Protocol). Κάθε χρήστης έχει την δική του σύνοδο επιφάνειας εργασίας (desktop session) αλλά μοιράζετε το ίδιο λειτουργικό σύστημα και τις ίδιες εφαρμογές με τους άλλους χρήστες. Προμηθευτές που προσφέρουν τέτοιου είδους λύσεις είναι πχ η Microsoft, Citrix (Xen App) και η Quest (VWorkspace). Οι εξατομικευμένες εικονικές επιφάνειες (Server Hosted Personal Remote Virtual Desktops, VDI) εργασίας είναι μία λύση για να αποκτήσουμε απομακρυσμένη πρόσβαση σε επιφάνειες εργασίας οι οποίες εκτελούνται σε μία εικονική μηχανή στο κέντρο δεδομένων. Αυτό το είδος εικονικοποίησης επιφάνειας εργασίας είναι επίσης γνωστό ως υποδομή εικονικοποιημένης 37

38 επιφάνειας εργασίας (Virtual Desktop Infrastructure (VDI)) και κάνει δυνατή την φιλοξενία μεγάλου πλήθούς επιφανειών εργασίας. Οι επιφάνειες εργασίας είναι εικονικές μηχανές σε έναν κεντρικό διακομιστή σε ένα κέντρο δεδομένων. Η υποδομή εικονικοποιημένης επιφάνειας εργασίας (VDI) είναι η ποιο συνηθισμένη τεχνολογία εικονικοποίσης επιφάνειας εργασίας, η οποία επιτρέπει να εγκατασταθούν ολοκληρωμένες επιφάνειες εργασίας, συμπεριλαμβανομένου λειτουργικού συστήματος και εφαρμογών, καθώς και προφίλ χρήστη σε ένα απομακρυσμένο διακομιστή. Κάθε χρήστης έχει μοναδική, προσωπική επιφάνεια εργασίας. Η εκτέλεση προγραμμάτων, επεξεργασία δεδομένων και αποθήκευση δεδομένων πραγματοποιείται κεντρικά στον διακομιστή. Η πληροφορία απεικονίζετε στην οθόνη του χρήστη μέσω του πρωτοκόλλου απομακρυσμένης παρουσίασης (RDP). Προμηθευτές που προσφέρουν τέτοιου είδους λύσεις είναι η Microsoft RDP, Citrix ICA/HDX, VMware PC-over-IP ). Οι εικονικές επιφάνειες εργασίας έχουν έλλειψη επεξεργαστικής ισχύος γραφικών. Για το λόγω αυτό, μπορούν να εμπλουτιστούν με την προσφορά πρόσβασης σε φυσικές επιφάνειες εργασίας που έχουν επεξεργαστική ισχύ γραφικών και εκτελούνται στον φυσικό διακομιστή στο κέντρο δεδομένων. Προμηθευτές που προσφέρουν τέτοιου είδους λύσεις είναι για παράδειγμα η Microsoft (RDS-V), VMware (View), Citrix (XenDekstop) και η Quest (vworkspace). Οι εξατομικευμένες φυσικές επιφάνειες εργασίας (Server Hosted Personal Remote Physical Desktops) είναι εφοδιασμένες με πρόσθετη επεξεργαστική ισχύ γραφικών και περιέχουν ισχυρές μονάδες επεξεργασίας γραφικών (Graphics Processing Units (GPU). Οι μοναδές επεξεργασίας γραφικών παρέχουν ικανή επεξεργαστική ισχύ γραφικών για την εκτέλεση εφαρμογών πολυμέσων και δισδιάστατων και τρισδιάστατων εφαρμογών (2D/3D). Κατάσταση/προφίλ χρήστη εικονικοποίησης (User state/profile virtualization) Ο όρος επιφάνεια εργασίας χωρίς κατάσταση (Stateless desktops) αναφέρεται σε εικονικές επιφάνειες εργασίας οι οποίες παραμένουνε καθαρές (Clean) ή χωρίς κατάσταση (Stateless). Όλες οι τροποποιήσεις σχετικές με την επιφάνεια εργασίας, για παράδειγμα αλλαγές σε εφαρμογές από τον χρήστη αφαιρούνται μετά την αποσύνδεση του χρήστη. Ωστόσο συγκεκριμένες ρυθμίσεις του χρήστη που καταγράφονται στο προφίλ του χρήστη μπορούν να αποθηκευτούν και να ξαναχρησιμοποιηθούν. Ο όρος επιφάνεια εργασίας με κατάσταση( Statefull desktops) αναφέρεται σε εικονικές επιφάνειες εργασίας στις οποίες οι χρήστες έχουν την ελευθερία να εγκαταστήσουν λογισμικό και να κάνουν αλλαγές στην επιφάνεια εργασίας τους. Αυτό είναι γνωστό και σαν κατάσταση χρήστη ή εικονικό προφίλ. Οι αλλαγές θα διατηρηθούν μέσα στην επιφάνεια εργασίας, από όπου προκύπτει και ο όρος επιφάνεια εργασίας με κατάσταση( Statefull desktops). Ωστόσο η ενημέρωση η αναβάθμιση και η ασφάλεια είναι δυσκολότερο να διαχειριστούν από ότι είναι στις επιφάνειες εργασίας χωρίς κατάσταση. Η επίπτωση στον αποθηκευτικό χώρο είναι επίσης μεγαλύτερη από της χωρίς κατάσταση επιφάνειες εργασίας καθώς η κατάσταση του χρήστη πρέπει να αποθηκεύετε.[9],[20] 38

39 2.5.2 Εικονικοποίηση επιφάνειας εργασίας από την πλευρά πελάτη Η εικονικοποίηση επιφάνειας εργασίας από την πλευρά πελάτη, είναι μία λύση μέσω της οποίας, εικονική (ες) μηχανή (ες) εκτελούνται τοπικά στο τελικό σημείο. Ο υπερεπόπτης εξασφαλίζει ότι, κάθε μία εικονική μηχανή λειτουργεί ανεξάρτητα από το υλικό και καθιστά δυνατή την χρησιμοποίηση αρκετών εικονικών μηχανών στον σταθμό εργασίας κατά την ίδια χρονική στιγμή. Ο υπερεπόπτης είναι παρόμοιος με εκείνων των διακομιστών με την έννοια ότι, μπορεί να τρέξει πολλές εικονικές μηχανές. Ο υπερεπόπτης πελάτη κάνει χρήση του υλικού του πελάτη. Αυτός είναι και ο λόγος που ο υπερεπόπτης πελάτη είναι ιδανικός για χρήστες που χρειάζονται περισσότερη επεξεργαστική ισχύ και καλύτερα γραφικά. Υπάρχουν δύο τύποι υπερεποπτών πελάτη: Ο τύπου 1 γυμνού υλικού ο οποίος είναι εγκατεστημένος πάνω στο υλικό και ο τύπου 2 (client Hosted) που είναι εγκατεστημένος πάνε σε ένα λειτουργικό σύστημα σαν εφαρμογή. Οι εταιρίες Citrix με το XenClient, VMware Client Virtualization Platform, Neocleus και Virtual Computer προσφέρουν λύσεις με υπερεπόπτη τύπου 1 (bare-metal). Microsoft VirtualPC, XPM, MED-V, VMware ACE- και Fusion, Parallels Desktop, Sun VirtualBox αποτελούν λύσεις εικονικοποίησης με υπερεπόπτη τύπου 2.[20] Τα οφέλη και οι περιορισμοί της εικονικοποίησης επιφάνειας εργασίας Για τα οφέλη που προσφέρει η εικονικοποίηση επιφάνειας εργασίας θα μπορούσαμε να αναφερθούμε σε μια ολοκληρή ενότητα. Στην συνέχεια παραθέτουμε κάποια που θεωρούμε σημαντικά καθώς και κάποιους περιορισμούς που υπάρχουν : Συντήρηση όλων των σταθμών εργασίας από μια κεντρική τοποθεσία. Δεν υπάρχει ανάγκη για πρόσβαση στα φυσικά μηχανήματα για εγκατάσταση ή αναβάθμιση λογισμικού η αλλαγή παραμετροποίησης. Η υποστήριξη είναι βελτιωμένη με την σκίαση των συνεδριών (shadowing sessions) και την παρακολούθηση των ενεργειών των χρηστών. Με την χρήση εργαλείων απομακρυσμένης πρόσβασης RDP ή την κονσόλα διαχείρισης του VΜware διακομιστή μπορούμε να παρακολουθήσουμε τι κάνει ο χρήστης όταν παρέχεται απομακρυσμένη υποστήριξη ή παίρνουμε τον έλεγχο του υπολογιστή. Εύκολη αποκατάσταση ή αντικατάσταση των υπολογιστών. Μπλε οθόνες, νεκρό Λειτουργικό σύστημα, κανένα πρόβλημα! Απλά διαγράφουμε τον εικονικοποιημένο σταθμό εργασίας και τον αντικαθιστούμε σε μερικά λεπτά αντί για ώρες. Δεν υπάρχει ανάγκη για τη φυσική περισυλλογή του υπολογιστή. Κεντρικός έλεγχος, κλείσιμο και επανεκκίνηση των υπολογιστών απομακρυσμένα. Εάν ένας χρήστης αλλάξει τμήμα, απλά αλλάζουμε το προφίλ σύνδεσης του συγκεκριμένου χρήστη, δίνοντας του πρόσβαση στο κατάλληλο μοντέλο-προφίλ του νέου τμήματος. Διαχείριση των διαθέσιμων σταθμών εργασίας (Pool of Machines). Η προσθήκη ή αφαίρεση σταθμών εργασίας γίνεται σε μερικά λεπτά ανάλογα με τις ανάγκες. Δεν χρειάζεται να περιμένουμε την παραλαβή υλικού όταν γίνονται αλλαγές στο προσωπικό. Μείωση Κόστους. Παλοί προσωπικοί υπολογιστές και χαμηλού κόστους λεπτοί υπολογιστές (thin clients) μπορούν να αξοιοποιηθούν, καθώς η επεξεργασία γίνεται στον 39

40 Περιορισμοί διακομιστή και όχι στον πελάτη. Δεν χρειάζονται άδειες για την χρήση διακομιστή τερματικών. Ο χρόνος που απαιτείτε για την υποστήριξη και διαχείριση των εικονικών σταθμών εργασίας είναι μειωμένος. Ενδεχόμενοι κίνδυνοι στην ασφάλεια εάν το δίκτυο δεν διαχειρίζεται κατάλληλα. Μερική απώλεια της αυτονομίας και της ιδιωτικότητας των τελικών χρηστών. Προκλήσεις στην εγκατάσταση και διαχείριση προγραμμάτων οδηγών για εκτυπωτές και άλλες περιφεριακές συσκευές. Δυσκολία στη εκτέλεση συγκεκριμένων πολύπλοκων εφαρμογών όπως είναι οι εφαρμογές πολυμέσων. Αυξημένος χρόνος μη διαθεσιμότητας των συστημάτων (Downtime) σε περίπτωση βλάβης στο δίκτυο. Πολυπλοκότητα και υψηλά κόστη υλοποίησης και διαχείρισης του VDI.[19] 2.6 Τα οφέλη της εικονικοποίησης Η τεχνολογία της εικονικοποίησης είναι ίσως από τα πιο σημαντικά ζητήματα στον τομέα της πληροφορικής. Η αυξανόμενη συνειδητοποίηση των πλεονεκτημάτων της εικονικοποίησης μας επιτρέπει να εκτελέσουμε πολλαπλό φόρτο εργασίας για το ίδιο υλικό με ένα προβλέψιμο, ασφαλές, και απομονωμένο τρόπο. Υπάρχουν μια σειρά από βασικά επιχειρηματικά οφέλη που οδηγούν τους IT οργανισμούς των επιχειρήσεων να υιοθετήσουν τεχνολογίες εικονικοποίησης. Μερικά από τα πιο σημαντικά είναι: 1. Ενοποίηση κέντρων δεδομένων o Ενοποίηση Διακομιστών (Server Consolidation). o Ενοποίηση Σταθμών εργασίας 2. Βελτίωση της παραγωγικότητας του ΙΤ προσωπικού o Λιγότερα σημεία διαχείρισης o Λιγότερη συντήρηση του υλικού και λιγότερες απαιτήσεις υποδομής. o Ταχύτερη εγκατάσταση διακομιστών o Αντιδρούν ταχύτερα στις ανάγκες των επιχειρήσεων o Ταχύτερη αντικατάσταση διακομιστών 3. Μείωση στα λειτουργικά κόστη του ΙΤ ενός οργανισμού o Μείωση των απαιτήσεων σε άδειες λογισμικού o Αποτελεσματικότερη διαχείριση του υφιστάμενου εξοπλισμού o Μείωση της κατανάλωσης ενέργειας, αναγκών ψύξης και φυσικού χώρου που καταλαμβάνουν τα υπολογιστικά συστήματα 40

41 4. Δημιουργία εικονικών εργαστηρίων για δοκιμές και ανάπτυξη. 5. Ταχύτερη ανάκαμψη από καταστροφή (Disaster & Recovery). 6. Επιχειρησιακές βελτιώσεις o Ευκολότερη και ταχύτερη προσαρμογή σε ζητούμενες αλλαγές των επιχειρήσεων o Παράδοση υπηρεσιών κατά παραγγελία o Βελτίωση διαθεσιμότητας εφαρμογών o Καλύτερη διασφάλιση δεδομένων και υποδομών από κινδύνους 7. Μετάβαση στο νέφος 41

42 3. Υπολογιστικό Νέφος (Cloud Computing) Η έννοια του υπολογιστικού νέφους έχει τις ρίζες τις σε μια ιδέα του επιστήμονα πληροφορικής John McCarthy, ο οποίος πρότεινε δημόσια το 1961 : Εάν οι υπολογιστές του τύπου που υποστηρίζω γίνουν τελικά οι υπολογιστές του μέλλοντος, τότε η χρήση υπολογιστών κάποια μέρα θα οργανωθεί σαν παροχή υπηρεσίας κοινής ωφέλειας, όπως είναι η τηλεφωνία... Η παροχή υπολογιστικών υπηρεσιών θα μπορούσε να είναι η βάση για μια νέα και σημαντική βιομηχανία. [22]. Ο ορισμός ο οποίος έτυχε ευρείας αποδοχής είναι αυτός που δόθηκε από το NIST (National Institute of Standards and Technology). Το NIST δημοσίευσε τον αρχικό ορισμό το 2009, και ακολούθησε μια αναθεωρημένη εκδοχή μετά από εκτεταμένη ανασκόπηση στοιχείων από τον συγκεκριμένο κλάδο της βιομηχανίας, ο οποίος δημοσιεύτηκε το Σεπτέμβριο του 2011:[23] Το υπολογιστικό νέφος είναι ένα μοντέλο που επιτρέπει την «πανταχού», εύκολή, κατά παραγγελία (on demand) πρόσβαση μέσω δικτύου σε μια «κοινόχρηστη συγκέντρωση» (shared pool) από παραμετροποιήσιμους υπολογιστικούς πόρους (π.χ. δίκτυα, διακομιστές, αποθηκευτικούς χώρους, εφαρμογές και υπηρεσίες), οι οποίοι μπορούν πολύ γρήγορα να διατεθούν και να αποδεσμευτούν, με ελάχιστη προσπάθεια διαχείρισης ή αλληλεπίδρασης από το πάροχο των υπηρεσιών. Αυτό το μοντέλο νέφους αποτελείται από πέντε βασικά χαρακτηριστικά, τρία μοντέλα παροχής υπηρεσιών, και τέσσερα μοντέλα ανάπτυξης.[23] Στις ενότητες που ακολουθούν γίνεται μια παρουσίαση όλων των συστατικών που ορίζονται από το μοντέλο NIST για το υπολογιστικό νέφος, καθώς επίσης αναλύονται έννοιες σχετικά με την ασφάλεια την διακυβέρνηση και τα οφέλη που προκύπτουν από την υλοποίηση του. 3.1 Τι είναι υπολογιστικό νέφος Το υπολογιστικό νέφος αναφέρεται σε εφαρμογές και υπηρεσίες που τρέχουν σε ένα κατανεμημένο δίκτυο με τη χρήση εικονικών πόρων στο οποίο η πρόσβαση παρέχετε από κοινά πρωτόκολλα του Διαδικτύου και πρότυπα δικτύωσης. Διακρίνεται από την ιδέα ότι οι πόροι είναι εικονικοί και απεριόριστοι και ότι οι λεπτομέρειες των φυσικών συστημάτων στα οποία τρέχει το λογισμικό έχουν αφαιρεθεί από τον χρήστη. Το υπολογιστικό νέφος παίρνει την τεχνολογία, υπηρεσίες και εφαρμογές που είναι παρόμοιες με αυτές στο Διαδίκτυο και της μετατρέπει σε ένα πρόγραμμα αυτοεξυπηρέτησης (self-service utility). Η χρήση της λέξης "νέφος" κάνει αναφορά στις δύο βασικές έννοιες: - Αφαιρετικότητα (Abstraction). Το υπολογιστικό νέφος αφαιρεί τις λεπτομέρειες της εφαρμογής του συστήματος από τους χρήστες και τους προγραμματιστές. Οι εφαρμογές εκτελούνται σε φυσικά συστήματα που δεν προσδιορίζονται, τα δεδομένα αποθηκεύονται σε τοποθεσίες που είναι άγνωστες, και η διαχείριση των συστημάτων ανατίθεται σε άλλους, και η πρόσβαση από χρήστες είναι πανταχού παρούσα. 42

43 - Εικονικοποίηση. Το υπολογιστικό νέφος εικονικοποιεί συστήματα με τη συγκέντρωση και τη διανομή των πόρων. Πόροι συστήματος και αποθήκευσης μπορούν να τροφοδοτηθούν από μια κεντρική υποδομή, οι δαπάνες εκτιμώνται σε μετρούμενη βάση, η πολλαπλή μίσθωση (multi tenancy) είναι ενεργοποιημένη, η επέκταση των πόρων γίνεται ευέλικτα. [21] Πρακτικά θα μπορούσαμε να πούμε ότι το υπολογιστικό νέφος είναι η χρήση των υπολογιστικών πόρων (υλικού και λογισμικού) που παραδίδονται ως υπηρεσία μέσω δικτύου (συνήθως το Διαδίκτυο). Το υπολογιστικό νέφος αναθέτει εξ αποστάσεως υπηρεσίες με τα δεδομένα του χρήστη, το λογισμικό και τον υπολογισμό. Εικόνα 15. Λογικό διάγραμμα υπολογιστικού νέφους [14] Ιστορία του υπολογιστικού νέφους Δύο δεκαετίες πριν για να σχηματιστεί ένας υπέρ υπολογιστής με μεγάλη επεξεργαστική ισχύει γινόταν ομαδοποίηση πολλών ηλεκτρονικών υπολογιστών. Η συμπλεγματοποίηση (clustering), όπως είναι γνωστή, μας δίνει τη δυνατότητα να ρυθμίσουμε τους υπολογιστές χρησιμοποιώντας ένα ειδικό πρωτόκολλο, έτσι ώστε όλοι να μπορούν να συνομιλούν με τους υπόλοιπους. Ο σκοπός ήταν να εξισορροπήσει το φορτίο επεξεργασίας σε πολλαπλές μηχανές, κατανέμοντας το σε μονάδες εργασίας, και πολλαπλασιάζοντας επεξεργαστές. Σαν χρήστης δεν σε ενδιέφερε πια κεντρική μονάδα επεξεργασίας θα χρησιμοποιούσες για να εκτελέσεις το πρόγραμμα σου. Το λογισμικό διαχείρισης του συμπλέγματος (cluster) εξασφαλίζει μεγαλύτερη επεξεργαστική ικανότητα κατά τον χρόνο που χρησιμοποιείται για να εκτελέσει μια εφαρμογή ή κώδικα. Και το κλειδί για την αποτελεσματική διαχείριση είναι η μηχανική πίσω από τα δεδομένα που πραγματοποιείται / πραγματοποιήθηκε. Αυτή η διαδικασία έγινε γνωστή ως ημερομηνία κατοίκησης (date residency). Οι υπολογιστές ήταν συνήθως δικτυωμένοι και συνδεδεμένοι σε 43

44 μαγνητικούς δίσκους για την αποθήκευση των δεδομένων, ενώ οι κεντρικοί επεξεργαστές χρησιμοποιούντο για την ταχεία επεξεργασία των δεδομένων (Ι/Ο). Στις αρχές της δεκαετίας του '90 οι Ian Foster και Carl Kesselman παρουσίασαν μια νέα ιδέα που ονομάστηκε The Grid (το πλέγμα). Το ανάλογο που χρησιμοποιήθηκε για την ιδέα αυτή ήταν το ηλεκτρικό δίκτυο, στο οποίο οι χρήστες θα μπορούσαν να συνδεθούν και να χρησιμοποιήσουν ένα πιο βαθμονομημένο σύστημα. Σκέφτηκαν ότι εάν οι εταιρείες δεν μπορούν να έχουν την δική τους ενεργειακή αλυσίδα, τότε θα πρέπει να αγοράσουν από κάποιον πάροχο αυτή την υπηρεσία ώστε να έχουν μια συνεχή ροή ρεύματος. Και τότε είπαν: «Γιατί δεν εφαρμόζουμε την ίδια σχέση και με τους υπολογιστικούς πόρους;» Εάν ένας υπολογιστής μπορούσε να συνδεθεί σε ένα πλέγμα υπολογιστών και χρεωνόταν μόνο για τις υπηρεσίες που χρησιμοποιούσε, αυτό θα αποτελούσε μια πολύ αποδοτικά οικονομική λύση από το να αγοράσει και να διαχειριστή η ίδια η εταιρεία την υποδομή της. Το Grid Computing (υπολογιστικό πλέγμα) χρησιμοποιεί τεχνικές συμπλεγματοποίησης, βάσει των οποίων πολλά συμπλέγματα εμφανίζονται ως ένα πλέγμα μιας και ανήκουν στον ίδιο τομέα.[33] Το μεγαλύτερο εμπόδιο για να ξεπεραστεί η μετανάστευση (migration) σε συμπλέγματα που χρησιμοποιούνται για την υποστήριξη συστημάτων πλέγματος είναι η διαδικασία του χρόνου παραμονής (residency time), καθώς οι φυσικοί κόμβοι διανομής υπολογιστών πλέγματος μπορούν να βρίσκονται οπουδήποτε στον κόσμο. Η διαχείριση της αποθήκευσης, η επίβλεψη της ασφάλειας και η μετακίνηση δεδομένων ήταν το βασικό πρόβλημα που έπρεπε να επιλυθεί έτσι ώστε να μπορεί να αναπτυχθεί το πλέγμα. Ένα σύνολο από εργαλεία, ονομαζόμενο Globus, δημιουργήθηκε για να επιλύσει αυτά τα θέματα, αλλά σε επίπεδο υποδομών δεν υπήρχε ακόμα η διαθεσιμότητα και η πρόοδος σε ένα τέτοιο επίπεδο που να επιτρέπει τη πραγματική και καθολική επιτυχία του Grid. Οντότητες που σχετίζονται με το υπολογιστικό νέφος, όπως οι πάροχοι των κέντρων δεδομένων έχουν χρησιμοποιήσει την έννοια του Grid Computing στην παροχή υπηρεσιών σε άλλους οργανισμούς που δεν θέλουν τις υποδομές τους, αλλά θέλουν να φορτώνονται οι δυνατότητες που υπάρχουν σε αυτά τα κέντρα δεδομένων.[33] Το μοντέλο NIST (National Institute of Standards and Technology) για το υπολογιστικό νέφος. Βασικά λειτουργικά χαρακτηριστικά του νέφους Το μοντέλο NIST αρχικά δεν απαιτούσε ένα νέφος για να χρησιμοποιήσει την εικονικοποίηση για τη συγκέντρωση πόρων. Η τελευταία έκδοση του NIST απαιτεί, τα δίκτυα υπολογιστών νέφους (cloud computing networks) να χρησιμοποιούν εικονικοποίηση και υποστήριξη πολλαπλής μίσθωσης. Σύμφωνα με το NIST, το υπολογιστικό νέφος είναι ένα μοντέλο που επιτρέπει την «πανταχού», εύκολή, κατά παραγγελία (on demand) πρόσβαση μέσω δικτύου σε μια «κοινόχρηστη συγκέντρωση» από παραμετροποιήσιμους υπολογιστικούς πόρους (π.χ. δίκτυα, διακομιστές, αποθηκευτικούς χώρους, εφαρμογές και υπηρεσίες), οι οποίοι μπορούν πολύ γρήγορα να διατεθούν και να αποδεσμευτούν, με ελάχιστη προσπάθεια διαχείρισης ή αλληλεπίδρασης από το πάροχο των υπηρεσιών. Αυτό το μοντέλο νέφους αποτελείται από πέντε βασικά χαρακτηριστικά, τρία μοντέλα παροχής υπηρεσιών, και τέσσερα μοντέλα ανάπτυξης. 44

45 Εικόνα 16. Το μοντέλο του ΝΙST για το υπολογιστικό νέφος [15] Βασικά λειτουργικά χαρακτηριστικά του νέφους - Κατά παραγγελία αυτοεξυπηρέτηση (On demand self-service) Ο καταναλωτής μπορεί να ζητήσει μονομερώς της υπολογιστικές δυνατότητες, όπως το χρόνο που θα χρησιμοποίηση τον διακομιστή και το μέγεθος του αποθηκευτικού χώρου που θα χρησιμοποιήσει μέσο δικτύου αυτόματα, χωρίς να απαιτείται καμία ανθρώπινη αλληλεπίδραση με τον πάροχο της εκάστοτε υπηρεσίας. - Ευρεία πρόσβαση στο δίκτυο (Broad network access) Οι δυνατότητες αυτές είναι διαθέσιμες από παντού δια μέσου δικτύου, παρέχοντας πρόσβαση μέσο στάνταρ μηχανισμών που προωθούν τη χρήση από διαφορές ετερογενής πλατφόρμες. (π.χ. κινητά τηλέφωνα, ταμπλέτες, φορητούς υπολογιστές, σταθερούς σταθμούς εργασίας). - Συγκέντρωση Πόρων (Resource Pooling) Οι υπολογιστικοί πόροι του παρόχου συγκεντρώνονται (pooled to) για να εξυπηρετήσει πολλαπλούς καταναλωτές χρησιμοποιώντας ένα μοντέλο πολλαπλής μίσθωσης με διαφορετικούς φυσικούς και εικονικούς πόρους οι οποίοι ανατίθενται δυναμικά και ανάλογα με τη ζήτηση των καταναλωτών. Γενικά ο «πελάτης» δεν έχει κανέναν έλεγχο ή γνώση σχετικά με την ακριβή τοποθεσία των παρεχόμενων πόρων, αλλά μπορεί να είναι σε θέση να προσδιορίσει σε ένα υψηλότερο επίπεδο αφαίρεσης την τοποθεσία, όπως χώρα, πόλη ή κέντρο δεδομένων. Παραδείγματα τέτοιων πόρων είναι αποθηκευτικός χώρος, επεξεργασία, μνήμη, εύρος ζώνης δικτύου. 45

46 - Ταχεία ελαστικότητα (Rapid elasticity) Σε μερικές περιπτώσεις οι δυνατότητες μπορούν να διατεθούν και να αποδεσμευτούν αυτόματα ανάλογα με την ζήτηση. Για τον καταναλωτή πελάτη, οι δυνατότητες για παροχή συχνά φαίνονται απεριόριστες και μπορούν να διατεθούν σε οποιαδήποτε ποσότητα ανά πάσα ώρα και στιγμή. - Μετρούμενη υπηρεσία (Measured service) Τα συστήματα νέφους αυτόματα ελέγχουν και βελτιστοποιούν τη χρήση των πόρων με τη χρήση κάποιον μετρητικών συστημάτων σε κάποιο επίπεδο αφαίρεσης ανάλογα με το είδος της υπηρεσίας (π.χ., αποθήκευση, επεξεργασία, το εύρος ζώνης, και ενεργούς λογαριασμούς χρηστών). Η Χρήση των πόρων μπορεί να παρακολουθείται, ελέγχεται, και αναφέρεται, παρέχοντας με αυτό τον τρόπο διαφάνεια σχετικά με την χρησιμοποιούμενη υπηρεσία τόσο στον πάροχο όσο καις τον χρήστη.[23] Πολλαπλή Μίσθωση Το χαρακτηριστικό ενός προγράμματος λογισμικού το οποίο επιτρέπει σε ένα στιγμιότυπο (Instance) ενός προγράμματος να εξυπηρετεί διαφορετικούς καταναλωτές-χρήστες ο καθένας εκ των οποίων είναι απομονωμένος από τον άλλο, αναφέρεται σαν πολλαπλή μίσθωση. Ένας πάροχος υπολογιστικού νέφους (cloud provider) συγκεντρώνει τους ΙΤ πόρους ώστε να εξυπηρετεί πολλαπλούς καταναλωτές υπηρεσιών υπολογιστικού νέφους κάνοντας χρήση μοντέλων πολλαπλής μίσθωσης τα οποία συχνά βασίζονται στη χρήση τεχνολογιών εικονικοποίησης. Με τη χρήση τεχνολογιών πολλαπλής μίσθωσης, οι ΙΤ πόροι μπορούν να εκχωρούνται και να επανεκχωρούνται δυναμικά, σύμφωνα με τις απαιτήσεις των καταναλωτών υπολογιστικού νέφους. Οι εικόνες 17 και 18 απεικονίζουν τη διαφορά μεταξύ απλής και πολλαπλής μίσθωσης. Εικόνα 17. Σε ένα απλού-ενοικιαστή περιβάλλον, κάθε καταναλωτής υπηρεσιών νέφους έχει μια ξεχωριστή εμφάνιση των πόρων IT. [16] 46

47 Εικόνα 18. Σε ένα περιβάλλον πολλαπλής μίσθωσης ένα στιγμιότυπο πόρων ΙΤ, όπως μια συσκευή αποθήκευσης μοιράζετε σε πολλαπλούς καταναλωτές [16] Όπως φαίνεται στη εικόνα 18, η πολλαπλή μίσθωση επιτρέπει σε πολλούς καταναλωτές υπολογιστικού νέφους να χρησιμοποιούν τον ίδιο ΙΤ πόρο ή το στιγμιότυπό του, ενώ ο καθένας τους δεν γνωρίζει ότι ο πόρος μπορεί να χρησιμοποιείται και από άλλους.[24] Το πλαίσιο SPI για το υπολογιστικό νέφος. Το κοινά αποδεκτό πλαίσιο για την περιγραφή των υπηρεσιών νέφους ονομάζεται SPI. Το ακρωνύμιο περιγράφει στα αρχικά του τις τρεις κύριες υπηρεσίες που παρέχονται μέσω του σύννεφου: S: software-as-a-service (SaaS), λογισμικό ως υπηρεσία P: platform-as-a-service (PaaS), πλατφόρμα ως υπηρεσία I: infrastructure-as-a-service (IaaS), υποδομή ως υπηρεσία Σήμερα το πλαίσιο αυτό είναι το πιο ευρέως αποδεκτό. Η εικόνα 19 περιγράφει τη σχέση ανάμεσα σε υπηρεσίες, χρήσεις και τύπους νέφους. Στη συνέχεια θα δούμε το καθένα από τα παραπάνω λεπτομερώς. Το NIST ακολουθεί αυτό το πλαίσιο, και οι περισσότεροι πάροχοι υπηρεσιών νέφους (Cloud Service Providers (CSPs)) υποστηρίζουν αυτή την ιδέα.[25] Εικόνα 19. Το SPI μοντέλο υπηρεσιών [17] 47

48 Η Εξέλιξη του SPI Για να γίνει αντιληπτό πώς εξελίχθηκε το πλαίσιο SPI, βοηθά να το δούμε σε σχέση με την εξέλιξη των Παρόχων Διαδικτυακών Υπηρεσιών (Internet service provider (ISP)). Ένας κοινός τρόπος για να δούμε πώς οι SP εξελίχθηκαν είναι μέσω των γενεαλογικών εκδόσεων, όπως περιγράφονται στην ακόλουθη απλοποιημένη λίστα: Καθώς οι ISP αρχικά ξεκίνησαν να παρέχουν υπηρεσίες Διαδικτύου, υπηρεσίες διααποδιαμόρφωσης (modems) για κατοικίες και οργανισμούς πολλαπλασιάστηκαν καθιστώντας το Διαδίκτυο ένα εμπορικό είδος Στο διάστημα μιας περιόδου συγχωνεύσεων και ενοποιήσεων, οι ISP άρχισαν να προσφέρουν και άλλες υπηρεσίες όπως ηλεκτρονικό ταχυδρομείο ( ) και εκτός χώρου αποθήκευση Η αυξανόμενη ζήτηση για υποδομές που θα φιλοξενούσαν τις εφαρμογές και στοιχεία των πελατών τους, οδήγησε στην δημιουργία κέντρων δεδομένων γνωστές σαν κέντρα συνεγκατάστασης, όπου πολλαπλοί πελάτες μπορούσαν να επικεντρώσουν τους διακομιστές τους, την αποθήκευση και τα συστήματα επικοινωνίας επί των εγκαταστάσεων των ISP Η εμπορευματοποίηση των κέντρων συνεγκατάστασης οδήγησε στην δημιουργία των παρόχων υπηρεσιών εφαρμογών (Application Service Provider (ASP)). Οι ASP παρείχαν εφαρμογές λογισμικού στα μέτρα ενός οργανισμού, έχοντας ιδιοκτησία τόσο της εφαρμογής όσο και της υποδομής Το μοντέλο ASP με την πάροδο του χρόνου εξελίχθηκε σε υπολογιστικό νέφος, που έφερε νέα μοντέλα παράδοσης όπως το πλαίσιο SPI με τα SaaS, PaaS, και IaaS μοντέλα υπηρεσιών του, καθώς και διάφορα μοντέλα ανάπτυξης, όπως τα ιδιωτικά, κοινοτικά, δημόσια και υβριδικά μοντέλα νέφους. Για καλύτερη θεώρηση αυτής της προόδου, η εικόνα που ακολουθεί παρουσιάζει την εξέλιξη των κέντρων δεδομένων μέσω βασικής εικονικής διαμόρφωσης σε πλήρη πλαίσιο SPI και ως εκ τούτου αυξάνοντας την ευελιξία και μειώνοντας το κόστος.[25] Εικόνα 20. Εξέλιξη του SPI μέσω εικονικής διαμόρφωσης [18] 48

49 3.1.5 Σχετικές Τεχνολογίες στο υπολογιστικό νέφος Το υπολογιστικό νέφος δεν είναι μία αυτόνομη τεχνολογία αλλά ο συνδυασμός πολλών υφιστάμενων τεχνολογιών. Οι τεχνολογίες αυτές, διαφορετικές μεταξύ τους, έχουν ωριμάσει σε διαφορετικό πλαίσιο και με διαφορετικούς στόχους. Ποτέ δεν σχεδιάστηκαν ως μέρος μίας συγκεκριμένης τεχνολογίας. Ωστόσο χρησιμοποιήθηκαν για τη δημιουργία του τεχνολογικού οικοσυστήματος του νέφους. Η τεχνολογική εξέλιξη (γρήγοροι και φθηνοί επεξεργαστές, δίσκοι, εξυπηρετητές, ευρωζωνικές συνδέσεις, κλπ) έχουν βοηθήσει σε μεγάλο βαθμό ώστε το σύννεφο να καταστεί μία δόκιμη και ανταγωνιστική λύση. [25] Εικόνα 21. Αρχιτεκτονική σχετικών τεχνολογιών [17] Συσκευές πρόσβασης στο νέφος (Cloud access devices) Το πλήθος των συσκευών για πρόσβαση στο νέφος έχει αυξηθεί τα τελευταία χρόνια. Οικιακοί και εταιρικοί δικτυακοί υπολογιστές, κινητά τηλέφωνα, φορητές συσκευές, ακόμη και οικιακές συσκευές (π.χ. ψυγεία) είναι σε διαρκή σύνδεση στο διαδίκτυο. Χαρακτηριστικό είναι το παράδειγμα του iphone το οποίο έδωσε πρόσβαση και χρήση του σύννεφου σε εκατομμύρια χρήστες ανά τον κόσμο μέσω του App Store, του ηλεκτρονικού καταστήματος όπου οι χρήστες μπορούν να περιηγηθούν και να επιλέξουν για εγκατάσταση εφαρμογές που τους ενδιαφέρουν. Το αποτέλεσμα είναι η ύπαρξη πληθώρας εφαρμογών ακόμη και peer-to-peer όπως το Skype και το Salesforce.com. [25] 3.2 Μοντέλα υπηρεσιών νέφους Ένα μοντέλο διανομής υπηρεσιών νέφους (cloud model service) αντιπροσωπεύει ένα συγκεκριμένο, προ-συσκευασμένο συνδυασμό των πόρων πληροφορικής που προσφέρονται από τον πάροχο του νέφους. Τρία είναι τα βασικά μοντέλα παράδοσης - διανομής υπηρεσιών νέφους τα οποία έχουν καθιερωθεί: 49

50 Υποδομή ως υπηρεσία (Infrastructure-as-a-Service (Iaas) Πλατφόρμα ως υπηρεσία (Platform-as-a-Service (PaaS) Λογισμικό ως υπηρεσία (Software-as-a-Service (SaaS) Τα τρία μοντέλα διανομής στο νέφος είναι αλληλοσυνδεόμενα ως προς τον πεδίο εφαρμογής, κάτι το οποίο αναλύεται στις ενότητες που ασχολούνται με τα τρία βασικά μοντέλα διανομής. Εικόνα 22. Μοντέλα υπηρεσιών υπολογιστικού νέφους [20] Πολλές εξειδικευμένες παραλλαγές των τριών μοντέλων διανομής υπηρεσιών νέφους έχουν προκύψει, κάθε ένα εμπεριέχετε από ένα ξεχωριστό συνδυασμό των πόρων πληροφορικής. Μερικά παραδείγματα αυτού του συνδυασμού των πόρων είναι: - Storage-as-a-Service - Database-as-a-Service - Security-as-a-Service - Integration-as-a-Service - Testing-as-a-Service - Process-as-a-Service Το λογισμικό ως υπηρεσία (Software as a Service - SaaS) Το λογισμικό ως υπηρεσία είναι από τις πρώτες υλοποίησης των υπηρεσιών νέφους. Είναι το μοντέλο στο οποίο μια εφαρμογή φιλοξενείτε ως υπηρεσία σε πελάτες που την προσπελάζουν μέσω του διαδικτύου. Το SaaS έχει τις ρίζες του σε ένα αρχικό είδος λειτουργίας της φιλοξενίας που πραγματοποιείται από τους παρόχους υπηρεσιών εφαρμογών (ASPs). Όταν το λογισμικό φιλοξενείτε εκτός εταιρείας, ο πελάτης δεν χρειάζεται να το συντηρεί ή να το υποστηρίζει. Η 50

51 ιδέα είναι ότι χρησιμοποιείται το λογισμικό όπως ακριβώς είναι και δεν χρειάζεται να πραγματοποιούμε αλλαγές ή να απαιτούμε την ολοκλήρωση με άλλα συστήματα. Ο παροχέας είναι υπεύθυνος για όλες τις επιδιορθώσεις, βελτίωσης καθώς επίσης και της λειτουργικότητας της υποδομής. Το κόστος του λογισμικού είναι σε ανά χρήστη βάση (per-use basis) και δεν συνεπάγεται εκ των προτέρων κόστος από τον παροχέα υπηρεσιών. Το όφελος στις κεφαλαιακές δαπάνες για μια επιχείρηση με την υιοθέτηση υπηρεσιών SaaS είναι άμεσο. Επιπλέον, οι επιχείρησης αποκτούν την ευελιξία να δοκιμάσουν ένα νέο λογισμικό σε μια βάση ενοικίου και στη συνέχεια μπορούν να συνεχίσουν να χρησιμοποιούν και να υιοθετήσουν το λογισμικό, εάν αποδειχθεί κατάλληλο. Γενικά οποιοδήποτε λογισμικό εκτελεί μια απλή εργασία και δεν χρειάζεται να αλληλεπιδρά με άλλα συστήματα το κάνει ιδανικό για χρήση Saas μοντέλου. Το μοντέλο SaaS αναπτύχθηκε ώστε να μπορεί να χρησιμοποιεί web εργαλεία, όπως έναν περιηγητή (browser). Οι εφαρμογές SaaS δημιουργήθηκαν με ένα υπόβαθρο πολλαπλής μίσθωσης, το οποίο επιτρέπει σε πολλαπλούς πελάτες να χρησιμοποιούν μια εφαρμογή. Το SaaS παρέχει πρόσβαση βασισμένη σε δίκτυο σε εμπορικά διαθέσιμο λογισμικό. Αφού το λογισμικό τοποθετηθεί σε μια κεντρική θέση, οι πελάτες μπορούν να έχουν πρόσβαση όποτε έχουν πρόσβαση στο Διαδίκτυο. Εικόνα 23. Ο καταναλωτής υπηρεσιών νέφους έχει πρόσβαση στην σύμβαση παροχής υπηρεσιών νέφους, αλλά όχι σε οποιαδήποτε υποκείμενο IT πόρο ή λεπτομέρεια της εφαρμογής.[16] Οφέλη της υπηρεσίας SaaS Σε ένα υψηλό επίπεδο, το SaaS παρέχει διάφορα οφέλη σε όλη την οργανωτική δομή. Κατ' αρχάς, επιτρέπει σε έναν οργανισμό να μεταφέρει την φιλοξενία της εφαρμογής σε έναν ανεξάρτητο προμηθευτή λογισμικού (Independent software vendor (ISV)) ή σε άλλο πάροχο υπηρεσίας λογισμικού. Αυτό σχεδόν πάντα μειώνει τη δαπάνη για την χορήγηση αδειών, τη διαχείριση του υλικού και σε άλλους πόρους που απαιτούνται για να φιλοξενήσουν μια εφαρμογή. Το SaaS ωφελεί επίσης και τον προμηθευτή της εφαρμογής ή τον ανεξάρτητο προμηθευτή λογισμικού με την αύξηση του ελέγχου του στην χρήση του λογισμικού - με τον περιορισμό της διανομής του χωρίς την άδεια αντιγράφων και επιτρέποντας στον προμηθευτή του λογισμικού 51

52 καλύτερη αναβάθμιση και διαχείριση των διορθώσεων (patches). Διαχείριση των διορθώσεων είναι η διαδικασία που γίνεται με στρατηγική και σχέδιο για το τι διορθώσεις θα πρέπει να εφαρμοστούν σε κάποιο σύστημα σε μια συγκεκριμένη στιγμή. Επίσης, επιτρέπει στον προμηθευτή να δημιουργήσει και να ελέγξει τις πολλαπλές ροές εσόδων με ένα one-to-many μοντέλο και με αυτόν τον τρόπο μειώνεται η επανάληψη των πακέτων λογισμικού και των γενικών εξόδων. Επιπλέον, οι τελικοί χρήστες ή τα απομακρυσμένα υποκαταστήματα μπορούν να έχουν πρόσβαση στην εφαρμογή ευκολότερα μέσω ενός broswer, και έτσι η ανάπτυξη απλοποιείται πολύ. Εκτός από τις τροποποιήσεις στις περιμετρικές συσκευές (όπως τα firewalls), οι απαιτήσεις σε υλικό για τον τελικό χρήστη είναι ελάχιστες.[26] Η πλατφόρμα ως υπηρεσία (Platform as a Service PaaS) Όπως αναφέρθηκε προηγουμένως, το P στο πλαίσιο SPI αντιπροσωπεύει την πλατφόρμα ως υπηρεσία. Η PaaS είναι παρόμοια με τη SaaS, αλλά η υπηρεσία είναι ένα ολόκληρο περιβάλλον ανάπτυξης εφαρμογών και όχι μόνο η χρήση μίας εφαρμογής. Οι λύσεις PaaS διαφέρουν από τις λύσεις SaaS στο ότι παρέχουν μία πλατφόρμα φιλοξενούμενη σε νέφος εικονικής ανάπτυξης που είναι προσβάσιμη μέσω ενός προγράμματος περιήγησης στον Ιστό. Οι πάροχοι λύσεων PaaS παρέχουν τόσο την πλατφόρμα επεξεργασίας όσο και τη στοίβαξη της λύσης. Αυτό επιταχύνει κατά πολύ την ανάπτυξη και εγκατάσταση των εφαρμογών λογισμικού. Χρησιμοποιώντας την έννοια του PaaS, οι παραγωγοί λογισμικού μπορούν να χτίσουν εφαρμογές Ιστού, χωρίς να χρειάζεται να εγκαταστήσουν τα εργαλεία ανάπτυξης λογισμικού στο δικό τους υπολογιστή και μετά εύκολα να διανείμουν ή να εγκαταστήσουν τις εφαρμογές τους στο νέφος. Η PaaS ενσωματώνει ένα στρώμα λογισμικού και το παρέχει σαν υπηρεσία που μπορεί να χρησιμοποιηθεί για τη δημιουργία υπηρεσιών υψηλότερου επιπέδου. Το NIST περιγράφει την PaaS ως ακολούθως: Η δυνατότητα που δίδεται στον καταναλωτή είναι να αναπτύξει στην υποδομή του νέφους εφαρμογές που δημιούργησε ή απέκτησε ο καταναλωτής, που δημιουργήθηκαν χρησιμοποιώντας γλώσσες προγραμματισμού και εργαλεία που υποστηρίζονται από τον πάροχο. Ο καταναλωτής δεν διαχειρίζεται ούτε ελέγχει το υπόβαθρο του πλαισίου του νέφους, συμπεριλαμβανομένου και του δικτύου, των διακομιστών, λειτουργικών συστημάτων ή αποθηκεύσεων, αλλά έχει τον έλεγχο στις αναπτυχθείσες εφαρμογές και πιθανώς στις διατάξεις του περιβάλλοντος φιλοξενίας των εφαρμογών. Για να θεωρηθεί μία πλατφόρμα ανάπτυξης λογισμικού σαν πραγματική λύση PaaS, θα πρέπει να συνυπάρχουν αρκετά στοιχεία: Παρακολούθηση στη βάση της χρήσης εφαρμογής θα πρέπει να χρησιμοποιείται για να επιτύχει την βελτίωση της επεξεργασίας της πλατφόρμας. Η λύση θα πρέπει να παρέχει απρόσκοπτη ενσωμάτωση με άλλους πόρους νεφών όπως βάσεις δεδομένων στον Ιστό και άλλα μέρη υποδομών και υπηρεσιών με βάση τον Ιστό. 52

53 Θα πρέπει να είναι εφικτή η Δυναμική Πολλαπλή Μίσθωση καθώς και η συνεργασία μέσω του νέφους μεταξύ αυτών που αναπτύσσουν την εφαρμογή, πελατών, και χρηστών μέσω του SDLC (Software Development Life Cycle) να είναι εύκολα πραγματοποιήσιμη. Η ασφάλεια, προσωπικά δεδομένα και αξιοπιστία πρέπει να παρέχονται σαν βασική υπηρεσία. Η πλατφόρμα ανάπτυξης θα πρέπει να βασίζεται στο πρόγραμμα περιήγησης. [26] Εικόνα 24. Ένας καταναλωτής νέφους έχει πρόσβαση σε ένα περιβάλλον Paas. Το ερωτηματικό δηλώνει ότι ο καταναλωτής υπηρεσιών νέφους είναι σκόπιμα προστατευμένος από τις λεπτομέρειες υλοποίησης της πλατφόρμας.[16] Η υποδομή ως υπηρεσία (Infrastructure as a Service IaaS) Το μοντέλο διανομής υπηρεσιών υποδομή ως υπηρεσία (IaaS) αντιπροσωπεύει ένα αυτόνομο περιβάλλον πληροφορικής που αποτελείται από υποδομές και πόρους πληροφορικής στους οποίους μπορούμε να έχουμε πρόσβαση και να τους διαχειριζόμαστε, διαμέσου εφαρμογών και διεπαφών που μας παρέχονται με την μορφή υπηρεσιών του νέφους (cloud-based services).το περιβάλλον αυτό μπορεί να περιλαμβάνει - παρέχει υλικό, δίκτυο, συνδεσιμότητα, τα λειτουργικά συστήματα. Σε αντίθεση με τα παραδοσιακά περιβάλλοντα φιλοξενίας ή την εξωτερική ανάθεση, με την υπηρεσία IaaS, οι IT πόροι είναι συνήθως εικονικοποιημένοι και συσκευάζονται σε δέσμες που απλοποιούν την εκ των προτέρων κλιμάκωση του χρόνου εκτέλεσης και την παραμετροποίηση των υποδομών. Ο γενικός σκοπός του περιβάλλοντος IaaS είναι να παρέχει καταναλωτές υπηρεσιών νέφους με υψηλό επίπεδο ελέγχου και αρμοδιότητας για τη διαμόρφωση και τη χρησιμοποίησή του. Οι IT πόροι που παρέχονται από το μοντέλο IaaS γενικά δεν είναι προ-διαμορφωμένη, την ευθύνη της διαχείρισης φέρει αποκλειστικά ο καταναλωτής του νέφους. Το μοντέλο IaaS συνεπώς θα χρησιμοποιηθεί από τους καταναλωτές του νέφους που απαιτούν ένα υψηλό επίπεδο ελέγχου πάνω από το νέφους-βασιζόμενα περιβάλλοντα που σκοπεύουν να δημιουργήσουν. Οι IT πόροι που διατίθενται μέσω IaaS περιβάλλοντα γενικά προσφέρονται ως 53

54 πρόσφατα αρχικοποιημένα εικονικά στιγμιότυπα. Ένας κεντρικός και βασικός πόρος μέσα σε ένα τυπικό περιβάλλον IaaS είναι ο εικονικός διακομιστής. Οι εικονικοί διακομιστές μισθώνονται προσδιορίζοντας τις απαιτήσεις σε επεξεργαστική ισχύ, μνήμη και αποθηκευτικό χώρο. Η υποδομή μπορεί να κλιμακωθεί δυναμικά προς τα επάνω ή προς τα κάτω ανάλογα με τις ανάγκες σε πόρους της εφαρμογής. Οι πόροι γενικά τιμολογούνται με βάση τη χρήση τους, έτσι ο παροχέας χρεώνει με τους πόρους που καταναλώνονται. [24] Εικόνα 25. Καταναλωτής νέφους χρησιμοποιεί ένα εικονικό διακομιστή σε ένα περιβάλλον Iaas. Στους καταναλωτές υπηρεσιών σύννεφου παρέχεται μια σειρά από συμβατικές εγγυήσεις από τον πάροχο, σχετικά με τα χαρακτηριστικά, όπως η ικανότητα, η απόδοση και διαθεσιμότητα. [16] Μοντέλο Αναφοράς νέφους Η κατανόηση των σχέσεων και εξαρτήσεων μεταξύ των μοντέλων υπολογιστικού νέφους είναι κρίσιμη για την κατανόηση των ρίσκων ασφάλειας του υπολογιστικού νέφους. Η IaaS είναι το θεμέλιο για όλες τις υπηρεσίες νέφους με την Paas να χτίζει επί της IaaS, και ακολούθως η SaaS να χτίζει επί της PaaS όπως περιγράφεται και στην εικόνα του Μοντέλου Αναφοράς νέφους (εικόνα 26). Είναι σημαντικό να σημειωθεί ότι οι εμπορικοί πάροχοι νέφους πιθανόν να μην ταιριάζουν απόλυτα με τα μοντέλα της στρωματικής υπηρεσίας. Παρά ταύτα, το μοντέλο αναφοράς είναι σημαντικό για να συσχετίσει κανείς τις υπηρεσίες στον πραγματικό κόσμο με ένα αρχιτεκτονικό πλαίσιο και να κατανοήσει τους πόρους και τις υπηρεσίες που απαιτούν ανάλυση ασφάλειας. 54

55 Η IaaS περιλαμβάνει το σύνολο της υποδομής της σωρού των πόρων από τις εγκαταστάσεις έως τις πλατφόρμες εξοπλισμού που βρίσκονται μέσα σε αυτές. Περιλαμβάνει την ικανότητα για αφαιρετικότητα πόρων (ή όχι), καθώς και να παρέχει φυσική και λογική σύνδεση με αυτούς τους πόρους. Τελικά η IaaS παρέχει ένα σύνολο από API(Application Programming Interface) που επιτρέπουν την διαχείριση και άλλες μορφές αλληλεπίδρασης με την υποδομή από τους καταναλωτές. Η PaaS κάθεται επάνω στην IaaS και προσθέτει ένα επιπλέον στρώμα ολοκλήρωσης με τα πλαίσια ανάπτυξης εφαρμογών, μεσολογισμικών ικανοτήτων και λειτουργιών όπως οι βάσεις δεδομένων, αποστολή μηνυμάτων και αναμονή εν σειρά, που επιτρέπουν στους προγραμματιστές να δομήσουν εφαρμογές επί της πλατφόρμας, και των οποίων οι γλώσσες προγραμματισμού και τα εργαλεία υποστηρίζονται από τη σωρό. Εικόνα 26.Μοντέλο Αναφοράς νέφους [19] Η SaaS στη συνέχεια χτίζεται επί των υποκειμένων σωρών IaaS και PaaS, και παρέχει ένα αυτοφερούμενο λειτουργικό περιβάλλον που χρησιμεύει για να προσφέρει την ολική εμπειρία του χρήστη, συμπεριλαμβανομένων και του περιεχομένου της παρουσίασής του, των εφαρμογών, και των ικανοτήτων της διαχείρισης. Θα πρέπει επομένως να είναι ξεκάθαρο ότι υπάρχουν σημαντικοί συμβιβασμοί σε κάθε μοντέλο σε σχέση με τις ενσωματωμένες λειτουργίες, την πολυπλοκότητα έναντι της διαφάνειας (δυνατότητα επέκτασης) και την ασφάλεια. Συμβιβασμοί μεταξύ των τριών μοντέλων εφαρμογής νέφους περιλαμβάνουν: Γενικά, η SaaS παρέχει την πλέον ενσωματωμένη λειτουργικότητα που εμπεριέχεται στο προσφερόμενο, με την ελάχιστη επεκτασιμότητα του καταναλωτή και σχετικά υψηλό επίπεδο ενσωματωμένης ασφάλειας (τουλάχιστον ο πάροχος αναλαμβάνει κάποια ευθύνη για ασφάλεια). 55

56 Η PaaS αποσκοπεί στον να επιτρέψει στους προγραμματιστές να χτίσουν τις δικές τους εφαρμογές πάνω στην πλατφόρμα. Σαν αποτέλεσμα τείνει να είναι πιο επεκτάσιμη από την SaaS, αλλά εις βάρος των έτοιμων λειτουργιών για τον πελάτη. Αυτός ο συμβιβασμός επεκτείνεται στις ιδιότητες ασφάλειας και δυνατότητες, όπου οι ενσωματωμένες δυνατότητες είναι λιγότερο πλήρεις αλλά υπάρχει μεγαλύτερη ελαστικότητα για επικάλυψη με επιπλέον ασφάλεια. Η IaaS παρέχει μερικά χαρακτηριστικά τύπου εφαρμογών, αλλά κυρίως μεγάλη επεκτασιμότητα. Αυτό γενικά σημαίνει λιγότερες δυνατότητες ενσωματωμένης ασφάλειας και λειτουργικότητας πέραν από το να προστατεύει την υποδομή αυτή κάθε αυτή. Το μοντέλο αυτό απαιτεί τα λειτουργικά συστήματα, οι εφαρμογές και το περιεχόμενο να είναι διαχειρίσιμα και ασφαλή από τον καταναλωτή του νέφους. Το κύριο όφελος από την αρχιτεκτονική ασφάλειας είναι ότι όσο χαμηλότερα στη σωρό σταματά ο πάροχος του νέφους, τόσο περισσότερες είναι οι δυνατότητες ασφάλειας και διαχείρισης που οι ίδιοι οι καταναλωτές ευθύνονται για την εφαρμογή τους και διαχείρισή τους. Στην περίπτωση της SaaS, αυτό σημαίνει ότι τα επίπεδα υπηρεσίας ασφάλειας, διακυβέρνησης, συμμόρφωσης και προσδοκίες ευθύνης της υπηρεσίας και του παρόχου καθορίζονται μέσω συμβολαίου, διαχειρίζονται και επιβάλλονται. Στην περίπτωση της PaaS ή της IaaS είναι στην ευθύνη του διαχειριστή συστήματος του καταναλωτή να διαχειριστεί αποτελεσματικά αυτά τα ίδια, με κάποιο συμψηφισμό που αναμένεται από τον πάροχο για να εξασφαλίσει τη υποκείμενη πλατφόρμα και τα στοιχεία της υποδομής για να εξασφαλίσει βασική διαθεσιμότητα της υπηρεσίας και ασφάλεια. Πρέπει να είναι ξεκάθαρο σε οποιαδήποτε από τις δύο περιπτώσεις ότι κάποιος μπορεί να αναθέσει / μεταθέσει την υπευθυνότητα αλλά όχι απαραίτητα και την ευθύνη.[27] Συγκρίνοντας μοντέλα διανομής νέφους Στους παρακάτω πίνακες συγκρίνονται οι διαφορετικές πτυχές των μοντέλων διανομής νέφους ως προς την χρήση και την υλοποίηση τους. Στον πρώτο πίνακα παρουσιάζονται τα επίπεδα ελέγχου των μοντέλων διανομής. Στον δεύτερο πίνακα παρουσιάζονται οι τυπικές αρμοδιότητες και η χρήση. [24] 56

57 Μοντέλα υπηρεσιών Νέφους SaaS PaaS IaaS Τυπικά επίπεδα έλεγχου που παρέχονται σε καταναλωτές υπηρεσιών νέφους Απλή χρήση χρήση με διαμόρφωση Περιορισμένη δικαιώματα διαχείρισης Πλήρη δικαιώματα διαχείρισης Τυπική λειτουργικότητα που τίθενται στη διάθεση των καταναλωτών υπηρεσιών νέφους Πρόσβαση στο front-end περιβάλλον του χρηστή. Μέτριο επίπεδο διαχείρισης IT πόρων που έχουν σχέση με τη χρήση της πλατφόρμας από ον καταναλωτή νέφους Πλήρη πρόσβαση σε εικονικοποιημένη υποδομή σχετική με πόρους ΙΤ και πιθανός στους φυσικούς υποκείμενους. Πίνακας 1. Συγκριτικός πίνακας επιπέδων ελέγχου μοντέλων διανομής νέφους.[1] Μοντέλα υπηρεσιών Νέφους SaaS PaaS IaaS Κοινές δραστηριότητες του καταναλωτή υπηρεσιών νέφους Χρησιμοποιεί και ρυθμίζει τις παραμέτρους τις υπηρεσίας νέφους Εξελίσσει, δοκιμάζει, αναπτύσσει και διαχειρίζεται τις υπηρεσίες νέφους και cloudbased λύσεις Ρυθμίζει και διαμορφώνει την ΙΤ υποδομή, και εγκαθιστά, διαχειρίζεται και παρακολουθεί οποιοδήποτε λογισμικό χρειάζεται. Κοινές δραστηριότητες πάροχου υπηρεσιών νέφους υλοποιεί, διαχειρίζεται και συντηρεί την υπηρεσία του νέφους Ελέγχει τη χρήση που γίνεται από τους καταναλωτές των υπηρεσίών νέφους Διαμορφώνει την πλατφόρμα και της παρεχόμενες υποκείμενες υποδομές, καθώς και οποιουσδήποτε άλλους ΙΤ πόρους ανάλογα με τις ανάγκες. Ελέγχει τη χρήση που γίνεται από τους καταναλωτές των υπηρεσίών νέφους Εφοδιάζει και διαχειρίζεται τη φυσική επεξεργασία, την αποθήκευση, τη δικτύωση και τη φιλοξενία που απαιτούνται Ελέγχει τη χρήση που γίνεται από τους καταναλωτές των υπηρεσίών νέφους Πίνακας 2. Τυπικές δραστηριότητες που διεξάγονται από τους καταναλωτές και τους παρόχους νέφους σε σχέση με τα μοντέλα διανομής νέφους. [1] 57

58 3.3 Μοντέλα ανάπτυξης νέφους Στο υπολογιστικό νέφος υπάρχουν διάφορα μοντέλα ανάπτυξης και κάθε ένα από αυτά παρέχει συγκεκριμένα ανταλλάγματα για τους οργανισμούς που μεταναστεύουν υπηρεσίες και λειτουργίες σε περιβάλλοντα βασιζόμενα σε αυτό. Λόγω των διαφορετικών χαρακτηριστικών και των συμβιβασμών των διαφόρων μοντέλων ανάπτυξης νέφους, είναι σημαντικό οι επαγγελματίες ΙΤ των οργανισμών να έχουν μια σαφή κατανόηση των ειδικών αναγκών του οργανισμού τους, καθώς και το πώς τα διάφορα συστήματα μπορούν να τους βοηθήσουν να ανταποκριθούν σε αυτές τις ανάγκες. Ένα μοντέλο ανάπτυξης νέφους αντιπροσωπεύει ένα συγκεκριμένο τύπο του περιβάλλοντος νέφους, κυρίως διακρίνεται για την ιδιοκτησία, το μέγεθος, και την πρόσβαση. Υπάρχουν 4 κοινά μοντέλα ανάπτυξης νέφους τα οποία περιγράφονται στις παρακάτω ενότητες : Δημόσιο νέφος (Public Cloud) Κοινοτικό νέφος (Community Cloud) Ιδιωτικό νέφος (Private Cloud) Υβριδικό νέφος (Hybrid Cloud) Δημόσιο νέφος Το Δημόσιο νέφος είναι ένας συνδυασμός από υπηρεσίες πληροφορικής που παρέχονται μέσω του διαδικτύου. Ο πάροχος του νέφους είναι υπεύθυνος για τη δημιουργία και τη διαρκή συντήρηση του, καθώς και των ΙΤ πόρων του. Μπορεί να ανήκει, να διαχειρίζεται και να λειτουργεί από μια επιχείρηση, έναν ακαδημαϊκό ή κυβερνητικό οργανισμό ή κάποιο συνδυασμό αυτών και υπάρχει στις εγκαταστάσεις του. Οι υπηρεσίες προσφέρονται σύμφωνα με το μοντέλο pay as you go ή με κάποια άλλη υπηρεσία μέτρησης της χρήσης ή δωρεάν μέσω άλλων οδών όπως η διαφήμιση. Το δημόσιο μοντέλο ανάπτυξης νέφους έχει το μοναδικό πλεονέκτημα να είναι πολύ πιο ασφαλή από την πρόσβαση σε πληροφορίες μέσω του Διαδικτύου και τείνει να κοστίζει λιγότερο από τα ιδιωτικά νέφη επειδή οι υπηρεσίες είναι πιο εμπορευματοποιημένες. Εικόνα 27. Οργανισμοί ενεργούν ως καταναλωτές νέφους κατά την πρόσβαση σε υπηρεσίες νέφους και ΙΤ πόρους που διατίθενται από διάφορους παρόχους νέφους. [16] 58

59 Το δημόσιο νέφος έχει τα ακόλουθα πλεονεκτήματα: Πληρώνουμε μόνο για τους πόρους που καταναλώνουμε. Υπάρχει μεγάλη ευελιξία και κλιμάκωση λόγω της άμεσης διάθεσης των υπηρεσιών. Όλες οι υπηρεσίες προσφέρονται με βελτιωμένη και συνεχή διαθεσιμότητα, ελαστικότητα, ασφάλεια και διαχειρισιμότητα. Στα δημόσια νέφη περιλαμβάνονται οι παρακάτω κατηγορίες: Κοινόχρηστο δημόσιο νέφος (Shared Public Cloud): Το κοινόχρηστο Δημόσιο νέφος παρέχει το πλεονέκτημα της ταχείας εφαρμογής, μαζική επεκτασιμότητα, και το χαμηλό κόστος εισόδου. Παραδίδεται σε μια κοινή φυσική υποδομή, όπου η αρχιτεκτονική, παραμετροποίηση, και ο βαθμός ασφάλειας έχουν σχεδιαστεί και διαχειρίζονται από τον πάροχο, σύμφωνα με τις προδιαγραφές της αγοράς. Δημόσιο νέφος αποκλειστικής λειτουργιάς (Dedicated Public Cloud): Το δημόσιο νέφος αποκλειστικής λειτουργιάς παρέχει λειτουργικότητα παρόμοια με ένα κοινόχρηστο δημόσιο νέφος εκτός από το ότι παρέχεται από αποκλειστική φυσική υποδομή. Ασφάλεια, απόδοση, και παραμετροποίηση είναι καλύτερα μερικές φορές στο αποκλειστικής λειτουργιάς δημόσιο νέφος σε σχέση με το κοινόχρηστο δημόσιο νέφος. Η αρχιτεκτονική του καθώς και το επίπεδο υπηρεσιών του καθορίζονται από τον πάροχο και το κόστος μπορεί να είναι υψηλότερο από εκείνο του κοινόχρηστου δημόσιου νέφους, ανάλογα με τον όγκο.[28] Κοινοτικό νέφος (Community Cloud) Το κοινοτικό νέφος είναι παρόμοιο με ένα δημόσιο εκτός από το ότι η πρόσβαση περιορίζεται σε μια συγκεκριμένη ομάδα χρηστών - καταναλωτών. Το κοινοτικό νέφος μπορεί να ανήκει από κοινού στα μέλη της κοινότητας ή μπορεί να ανήκει σε τρίτο πάροχο που παρέχει ένα δημόσιο νέφος με περιορισμένη πρόσβαση. Τα μέλη της κοινότητας μοιράζονται συνήθως την ευθύνη για τον καθορισμό και την εξέλιξη του νέφους αυτού. Η συμμετοχή στην κοινότητα δεν εγγυάται κατ 'ανάγκην πρόσβαση ή έλεγχο σε IT πόρους του νέφους. Χρήστες έξω από την κοινότητα γενικά δεν έχουν πρόσβαση εκτός εάν τους επιτραπεί από την κοινότητα. Το κοινοτικό μοντέλο ανάπτυξης είναι ιδανικό και βελτιστοποιημένο για υπηρεσίες ή ανεξάρτητους οργανισμούς που έχουν κοινές ανησυχίες, και ως εκ τούτου πρέπει να έχουν πρόσβαση σε κοινά και αμοιβαία αρχεία και σε άλλα είδη αποθηκευμένων πληροφοριών.[24] Στο έγγραφο Digital Ecosystems in the Clouds: Towards Community Cloud Computing έχουν ορίσει διάφορα στοιχεία που πρέπει να υφίστανται για να μπορεί ένα νέφος να ορίζεται ως κοινοτικό.[35] Διαφάνεια (Openness) 59

60 Η κατάργηση της εξάρτησης από τους προμηθευτές κάνει το κοινοτικό νέφος το ανοικτό ισοδύναμο με το νέφος του προσφέρεται από προμηθευτή επί αμοιβής. Ως εκ τούτου προσδιορίζει μια νέα διάσταση στην ανοιχτή έναντι στην «κλειστή»-εταιρική μάχη που έχει προκύψει στον κώδικα, στα πρότυπα και τα δεδομένα, αλλά δεν έχει μέχρι τώρα εκφραστεί στο πεδίο των υπηρεσιών που φιλοξενούνται. Κοινότητα (Community) Το κοινοτικό νέφος είναι μια κοινωνική δομή της οποίας η κυριότητα των υποδομών ανήκει στην ίδια την κοινότητα. Αυτή η ιδιοκτησία της κοινότητας φέρνει σε ένα βαθμό τη δυνατότητα οικονομικής ευρωστίας, χωρίς την οποία δεν θα υπήρχε ανταγωνισμός και θα καταποντιζόταν η καινοτομία, χαρακτηριστικά που ίσως δούμε στο εταιρικό νέφος που παρέχουν επαγγελματίες προμηθευτές. Ελεγχόμενη Αποτυχία (Graceful failure) Το κοινοτικό νέφος δεν ανήκει και δεν ελέγχεται από καμία οργάνωση και ως εκ τούτου δεν εξαρτάται από τη διάρκεια ζωής ή την αποτυχία καμίας από αυτές. Θα παραμείνει ισχυρό και ανθεκτικό στην αποτυχία, και θα έχει ανοσία σε όλη την αποτυχία του συστήματος του νέφους του εταιρικού προμηθευτή, εξαιτίας της ποικιλομορφίας των κόμβων υποστήριξης του. Ακόμη και στην περίπτωση που περιστασιακά αποτύχει, η αποτυχία θα γίνει με τρόπο μη καταστροφικό, με ελάχιστο χρόνο εκτός λειτουργίας, μιας και οι ανεπηρέαστοι κόμβοι θα αντισταθμίζουν την αποτυχία. Ευκολία στην χρήση και Έλεγχος (Convenience and Control) Στο κοινοτικό νέφος σε αντίθεση με το νέφος του προμηθευτή, δεν υπάρχει καμία σύγκρουση συμφερόντων μεταξύ της πρακτικότητας και του ελέγχου, επειδή η κυριότητα της κοινότητας προβλέπει τον δημοκρατικά κατανεμημένο έλεγχο. Περιβαλλοντική βιωσιμότητα (Environmental Sustainability) Το κοινοτικό νέφος θα έχει ένα σημαντικά μικρότερο αποτύπωμα άνθρακα από το νέφος του προμηθευτή, αφού η χρήση των υπό-χρησιμοποιούμενων μηχανών του χρήστη απαιτεί πολύ λιγότερη ενέργεια από ότι τα ειδικά κέντρα δεδομένων που απαιτούνται για το νέφος του προμηθευτή. Τα συμπλέγματα των διακομιστών στα κέντρα δεδομένων είναι μια εντατική μορφή της παροχής πόρων πληροφορικής, ενώ το κοινοτικό νέφος είναι περισσότερο οργανικό, αυξάνεται και μειώνεται σε μια συμβιωτική σχέση για να υποστηρίξει τα αιτήματα της κοινότητας, η οποία με τη σειρά της την υποστηρίζει.[26] 60

61 Εικόνα 28. Παράδειγμα μιας «κοινότητας» οργανισμών προσπελάζοντας πόρους ΙΤ ενός κοινοτικού σύννεφου.[16] Ιδιωτικό νέφος (Private Cloud) Το ιδιωτικό νέφος αποτελεί ένα σύνολο από υπολογιστικούς πόρους που προσφέρονται ως ένα προτυποποιημένο σύνολο υπηρεσιών οι οποίες καθορίζονται, σχεδιάζονται και ελέγχονται από ένα συγκεκριμένο οργανισμό ή από έναν τρίτο, ή κάποιο συνδυασμό τους, και μπορεί να υφίσταται εντός ή εκτός των εγκαταστάσεων ενός οργανισμού. Η επιλογή ανάπτυξης ενός ιδιωτικού νέφους συνήθως καθοδηγείται από την ανάγκη για τη διατήρηση του πλήρους ελέγχου ενός παραγωγικού περιβάλλοντος εξ αιτίας ιδιαίτερων απαιτήσεων των εφαρμογών από πλευράς απόδοσης, ωριμότητας, ή νομικού πλαισίου λειτουργίας. Σημαντικό χαρακτηριστικό του είναι πολύ υψηλό κόστος απόκτησης και λειτουργίας του. Η χρήση ενός ιδιωτικού νέφους μπορεί να αλλάξει τον τρόπο οργάνωσης και την εμπιστοσύνη των ορίων που καθορίζονται και εφαρμόζονται. Η πραγματική διαχείριση ενός περιβάλλοντος ιδιωτικού νέφους μπορεί να διεξάγεται από εσωτερική ή εξωτερική ανάθεση προσωπικού ΙΤ. Με ένα ιδιωτικό νέφος, ο ίδιος οργανισμός τεχνικά είναι και καταναλωτής αλλά και πάροχος. Υπάρχουν τρείς κατηγορίες ιδιωτικών νεφών : 1. Ίδιο-φιλοξενούμενο ιδιωτικό νέφος (Self-hosted Private Cloud ): Ένα ίδιο-φιλοξενούμενο ιδιωτικό νέφος παρέχει το πλεονέκτημα της αρχιτεκτονικής και του λειτουργικού ελέγχου, χρησιμοποιεί την υπάρχουσα επένδυση σε ανθρώπινο δυναμικό και εξοπλισμό, και παρέχει ένα αποκλειστικό εντός-της-εγκατάστασης περιβάλλον που έχει σχεδιαστεί, φιλοξενείται και διαχειρίζεται εσωτερικά. 2. Φιλοξενούμενο ιδιωτικό νέφος (Hosted Private Cloud) : Ένα φιλοξενούμενο ιδιωτικό νέφος είναι ένα αποκλειστικό περιβάλλον που έχει σχεδιαστεί εσωτερικά, και το οποίο φιλοξενείται και διαχειρίζεται εξωτερικά. Συνδυάζει τα οφέλη του ελέγχου της υπηρεσίας και του αρχιτεκτονικού σχεδιασμού με τα οφέλη της εξωτερικής ανάθεσης του κέντρου δεδομένων (data center). 61

62 3. Συσκευή Πρόσβασης στο νέφος (Private Cloud Appliance) : Η Συσκευή Πρόσβασης στο νέφος είναι ένα αποκλειστικό περιβάλλον που παρέχεται από έναν προμηθευτή, έχει σχεδιαστεί από τον ίδιο με γνώμονα τα χαρακτηριστικά που απαιτεί η αγορά αλλά και με πλήρη έλεγχο της αρχιτεκτονικής της συσκευής, φιλοξενείται εσωτερικά, και η διαχείριση του γίνεται είτε εσωτερικά είτε εξωτερικά. Συνδυάζει τα οφέλη από τη χρήση προκαθορισμένης λειτουργικής αρχιτεκτονικής, έχει χαμηλότερο κίνδυνο ανάπτυξης και εμφανίζει όλα τα οφέλη της εσωτερικής ασφάλειας και ελέγχου. Έχει το μειονέκτημα όμως του κλειδώματος της επιχείρησης στην λογική και την αρχιτεκτονική της συσκευής της οποίας συνήθως ελάχιστα ελέγχει το περιβάλλον. Είναι σημαντικό να χρησιμοποιούνται σωστά οι όροι εντός εγκατάστασης (on premise) και βασισμένο στο νέφος όταν αναφέρονται σε ιδιωτικά νέφη. Το γεγονός ότι το ιδιωτικό νέφος είναι εγκατεστημένο στις εγκαταστάσεις της εταιρείας, οι πόροι που φιλοξενεί θεωρούνται ότι είναι βασισμένοι στο νέφος αρκεί να διατίθενται σε απομακρυσμένους πελάτες αυτού του νέφους. Αν οι πελάτες αυτοί βρίσκονται εντός της εταιρείας τότε θεωρείται ότι το σύννεφο είναι εντός εγκατάστασης.[28] Εικόνα 29. Ένας πελάτης χρησιμοποιεί το εικονικό ιδιωτικό δίκτυο για να αποκτήσει πρόσβαση σε υπηρεσίες νέφους και συνδέεται με υπηρεσία η οποία φιλοξενείται «εντός εγκατάστασης» στο ιδιωτικό σύννεφο της εταιρείας. [16] Υβριδικό νέφος (Hybrid Cloud) Το υβριδικό μοντέλο ανάπτυξης νέφους είναι, ένας συνδυασμός δύο ή περισσοτέρων διακριτών υποδομών νεφών (ιδιωτικών, δημόσιων ή κοινοτικών ) όπου παραμένουν ως μοναδικές οντότητες, αλλά συνδέονται μεταξύ τους με τυποποιημένη ή αποκλειστική τεχνολογία που επιτρέπει φορητότητα εφαρμογών και δεδομένων. Τα υβριδικά νέφη συχνά προσφέρονται ως ένας τρόπος για την παροχή ελαστικότητας που πηγαίνει πέρα από την ικανότητα ενός ιδιωτικού σύννεφου. Ένα παράδειγμα υβριδικού νέφους μπορεί να αποτελείται από έναν οργανισμό που αναπτύσσει μη κρίσιμες εφαρμογές λογισμικού στο δημόσιο νέφος, διατηρώντας παράλληλα κρίσιμες ή ευαίσθητες εφαρμογές σε ένα ιδιωτικό νέφος, στις εγκαταστάσεις του. To υβριδικό 62

63 νέφος συνδυάζει τόσο το δημόσιο όσο και το ιδιωτικό μοντέλο νέφους και μπορεί να είναι ιδιαίτερα αποτελεσματικό όταν και οι δύο τύποι βρίσκονται στην ίδια εγκατάσταση (εικόνα 30). Ένα χαρακτηριστικό της υβριδικής ανάπτυξης νέφους που την καθιστά διαφορετική από τους άλλους τύπους είναι το Cloudburst. Τα πιο κοινά υβριδικά σύννεφα αποτελούνται από συνδυασμό ιδιωτικών και δημοσίων περιβαλλόντων νεφών, τα οποία αναπτύσσονται, χρησιμοποιούνται και λειτουργούν αδιάλειπτα. Μερικές υβριδικές υλοποιήσεις, όμως, εκμεταλλεύονται την δυναμική φύση του υπολογιστικού νέφους και χρησιμοποιούν την έννοια του Cloudburst. Το cloudburst γενικά αναφέρετε στην δυναμική εκτέλεση μιας εφαρμογής, η οποία ενώ τρέχει κατά κύριο λόγο στην εσωτερική υποδομή υπολογιστικού νέφους ενός οργανισμού, μπορεί επίσης να εκτελεστεί και σε εξωτερική υποδομή υπολογιστικού νέφους σε περίπτωση αυξημένων απαιτήσεων σε υπολογιστική ισχύ. Εικόνα 30. Παράδειγμα ενός υβριδικού νέφους [21] Ανεξάρτητη προμηθευτές λογισμικού (independent software vendor (ISV) ) έχουν αρχίσει να προσφέρουν εικονικές συσκευές (virtual appliances) οι οποίες παρέχουν ένα αυτοεξυπηρετούμενο μηχανισμό cloudburst. [26] Πρωτόκολλα επικοινωνίας. Τo υπολογιστικό νέφος λειτουργεί πάνω από τα δύο βασικά πρωτόκολλα μεταφοράς του διαδικτύου το HTTP και HTTPS. Όλα τα άλλα πρωτόκολλα και εφαρμογές που εμπλέκονται στην τεχνολογία του νέφους δημιουργούν δεδομένα και επικοινωνίες σε μορφή πακέτων που αποστέλλονται με τη χρήση των δύο αυτών πρωτοκόλλων. Πολλά πρωτοκόλλα πελάτη/εξυπηρετητή έχουν εφαρμοσθεί στην κατανεμημένη δικτύωση (distributed networking) ώστε να εκμεταλλευτούν και να χρησιμοποιήσουν τη λειτουργία της εσωτερικής διαδικασίας επικοινωνίας (Inter-Process Communication - IPC). 63

64 Διάφορες μορφές υλοποίησης των απομακρυσμένων κλήσεων διαδικασιών (RPC - Remote Procedure Call, π.χ. (DCOM, Java RMI, COBRA) προσπαθούν να λύσουν το πρόβλημα της ορθής χρησιμοποίησης του IPC και της διαχείρισης των συναλλαγών μέσω αυτού πάνω από μη χαρακτηρισμένα (stateless) δίκτυα. Η πρώτη πραγματική τεχνολογία RPC είναι η XML-RPC και βασίζεται σε XML (Extensible Markup Language) η οποία είναι ανεξάρτητη από πλατφόρμες. Κωδικοποιεί τις κλήσεις και τις μεταφέρει πάνω από HTTP, το πλέον δημοφιλές πρωτόκολλο μεταφοράς. Με την άνοδο την τελευταία δεκαετία της χρήσης του διαδικτύου και των εφαρμογών που την αφορούν, δημιουργήθηκε η ανάγκη εύρεσης μεθόδων για την ανεύρεση και δημιουργία υπηρεσιών και πόρων. Σήμερα, το πιο δημοφιλές στάνταρ για τη μεταφορά μηνυμάτων είναι το Πρωτόκολλο Πρόσβασης Απλού Αντικειμένου (Simple Object Access Protocol - SOAP). Αντικατέστησε το XML-RPC με XML και χρήση των πρωτοκόλλων RPC και HTTP για την μεταφορά. To SOAP είναι πλέον η βάση για τις περισσότερες διαδικτυακές υπηρεσίες επικοινωνίας σήμερα. Τόσο το SOAP όσο και οι επεκτάσεις WS-* ενσωμάτωσαν στις προδιαγραφές τους εφαρμογές που εκτελούνται σε επίπεδο εξυπηρετητή δανειζόμενες από τα DCOM και COBRA σε μία κίνηση να γίνουν ανεξάρτητα από πλατφόρμες. Αναδείχτηκε με αυτόν τον τρόπο η ανάγκη εύρεσης μίας μεθόδου για την τυποποίηση των πόρων στο Διαδίκτυο από εκεί προέκυψε η ιδέα για το REST (Representational State Transfer). Το REST (Αναπαραστατική Μεταφορά Κατάστασης) οφείλει την ύπαρξή του στη δουλειά του Roy Fielding, ο οποίος μετείχε στην δημιουργία του HTTP πρωτοκόλλου. Το REST χρησιμοποιεί ένα καθολικό αναγνωριστικό για κάθε πόρο με σκοπό την ύπαρξη ομοιόμορφης μεθόδου για την πρόσβαση σε πηγές πληροφόρησης. Το αναγνωριστικό αυτό είναι στην πραγματικότητα ένα URI (uniform resource identifier) μεταφρασμένο σε μορφή HTTP. Για κάθε πόρο ο οποίος βρίσκεται σε γνωστή διεύθυνση, υπάρχουν δικτυακοί πελάτες, γνωστοί και ως ατζέντηδες, που επικοινωνούν με τον πόρο αυτό χρησιμοποιώντας εντολές HTTP (κλήσεις) για την ανταλλαγή δεδομένων σε μορφή εγγράφων και αρχείων. Οι τυπικές μεταφορές δεδομένων χρησιμοποιούν XML, κείμενο, εικόνες, JSON (JavaScript Object Notation ) αρχεία ή κάποιο άλλο συμφωνημένο στάνταρ για την ανταλλαγή δεδομένων. Μία συναλλαγή που ακολουθεί τους κανόνες του REST θεωρείται ως RESTful και αποτελεί τη βάση των σύγχρονων συναλλαγών στο σύννεφο από την έναρξη, την εκτέλεση και έως την ολοκλήρωσή τους. Οι υπηρεσίες που παρέχονται μέσω του νέφους καλύπτουν το σύνολο των εφαρμογών που διατίθενται έξω από αυτό. Κάθε εφαρμογή χρησιμοποιεί πρωτόκολλα που έχουν αναπτυχθεί με σκοπό τη δικτυακή τους χρήση και που έχουν τροποποιηθεί για χρήση στο Διαδίκτυο. Η επίπτωση από την εξάπλωση των υπηρεσιών μέσω σύννεφου βαρύνει την ισορροπία ανάμεσα σε ανοιχτά και κλειστά πρωτόκολλα υπέρ των πρώτων.[21] 64

65 3.4 Ασφάλεια στο νέφος. Η ασφάλεια των πληροφοριών είναι ένα πολύπλοκο σύνολο από τεχνικές, τεχνολογίες, κανονισμούς, και συμπεριφορές που προστατεύουν συλλογικά την ακεραιότητα και την πρόσβαση σε συστήματα υπολογιστών και δεδομένων. Τα μέτρα ασφάλειας στοχεύουν στην υπεράσπιση έναντι των απειλών και των παρεμβολών που προκύπτουν τόσο από κακόβουλη πρόθεση όσο και από ακούσια λάθη του χρήστη. Αυτό το κεφάλαιο εξετάζει τον κίνδυνο του υπολογιστικού νέφους ως προς την εξασφάλιση των προσωπικών δεδομένων και των κανόνων συμμόρφωσης, πώς η επεξεργασία στο νέφος παρουσιάζει ένα μοναδικό κίνδυνο στην παραδοσιακή αντίληψη των δεδομένων, ταυτότητας και διαχείρισης πρόσβασης διαμέσου της υποδομής, και πώς αυτοί οι κίνδυνοι και οι απειλές μπορεί να αποδίδονται ειδικά στους παρόχους υπηρεσιών σήμερα (CSP) Κατανοώντας την ασφάλεια και τους κινδύνους Οι τρεις θεμελιώδεις αρχές της ασφάλειας των πληροφοριών - εμπιστευτικότητα, ακεραιότητα, και διαθεσιμότητα (CIA), καθορίζουν τη στάση στο θέμα της ασφάλειας ενός οργανισμού. Όλοι οι έλεγχοι διασφαλίσεων της ασφάλειας των πληροφοριών και όλες οι απειλές, τα τρωτά σημεία, και οι διαδικασίες ασφάλειας υπόκεινται στο κριτήριο της CIA. Βασικές Αρχές της Ασφάλειας Πληροφοριών I. Εμπιστευτικότητα (Confidentiality) Εμπιστευτικότητα είναι η πρόληψη εκούσιας ή ακούσιας μη εξουσιοδοτημένης αποκάλυψης περιεχομένου. Η απώλεια της εμπιστευτικότητας μπορεί να συμβεί με πολλούς τρόπους. Για παράδειγμα, απώλεια εμπιστευτικότητας μπορεί να συμβεί μέσω της εσκεμμένης διαρροής πληροφοριών ιδιωτικής εταιρείας ή μέσω κακής εφαρμογής δικαιωμάτων διαδικτύου. Μερικά από τα στοιχεία των τηλεπικοινωνιών που χρησιμοποιούνται για να διασφαλίσουν την εμπιστευτικότητας είναι τα εξής: Πρωτόκολα ασφάλισης δικτύου Υπηρεσίες πιστοποίησης δικτύου Υπηρεσίες κρυπτογράφησης δεδομένων II. Ακεραιότητα (Integrity) Η Ακεραιότητα αναφέρεται στην αξιοπιστία των δεδομένων. Για να υπάρχει ακεραιότητα, τα δεδομένα πρέπει να προστατεύονται από μη εξουσιοδοτημένη τροποποίηση. Η απώλεια ακεραιότητας μπορεί να συμβεί μέσω εσκεμμένης επίθεσης για αλλαγή των πληροφοριών (για παράδειγμα μία αλλοίωση ιστοσελίδας), ή περισσότερο συχνά, χωρίς πρόθεση (τα δεδομένα αλλοιώνονται κατά λάθος από έναν χειριστή). Μερικά από τα στοιχεία που χρησιμοποιούνται για να εξασφαλίσουν την ακεραιότητα περιλαμβάνουν τα ακόλουθα: Υπηρεσίες τοίχου προστασίας Διαχείριση ασφάλειας επικοινωνιών 65

66 Υπηρεσίες ανίχνευσης εισβολής III. Διαθεσιμότητα (Availability) Αυτή η έννοια αναφέρεται στην προσβασιμότητα των δεδομένων. Για να είναι διαθέσιμα, τα δεδομένα θα πρέπει να προστατεύεται από την διακοπή της υπηρεσίας. [26],[39] Στόχοι ασφάλειας πληροφοριών στο νέφος Η ανάπτυξη ασφαλούς λογισμικού βασίζεται στην εφαρμογή των αρχών ασφαλούς σχεδιασμού λογισμικού που συνθέτουν την θεμελιώδη βάση για τη διασφάλιση του λογισμικού. Στη διασφάλιση λογισμικού έχουν δοθεί πολλοί ορισμοί και είναι σημαντικό να γίνει αντιληπτή η έννοια. Η αναφορά: «The Software Security Assurance Report2» καθορίζει την διασφάλιση λογισμικού σαν την βάση για την απόκτηση αιτιολογημένης εμπιστοσύνης ότι το λογισμικό θα εκθέτει με συνέπεια όλες τις ιδιότητες που απαιτούνται για να διασφαλίσουν, ότι το λογισμικό σε λειτουργία θα συνεχίσει να λειτουργεί αξιόπιστα παρά την παρουσία εμβόλιμων (εκουσίων) λαθών. Στην πράξη, αυτό το λογισμικό θα πρέπει να μπορεί να ανθίσταται στις περισσότερες επιθέσεις, να ανέχεται όσον το δυνατόν περισσότερες από αυτές που δεν μπορεί να αντισταθεί και να περιορίσει τη ζημία και να ανακτήσει ένα κανονικό επίπεδο λειτουργίας όσο το δυνατόν συντομότερα μετά από οποιεσδήποτε εισβολές που δεν μπορούσε να αντισταθεί ή να αντέξει. Το Data and Analysis Center for Software (DACS) απαιτεί από το λογισμικό να έχει τις εξής τρεις ιδιότητες για να θεωρείται ασφαλές: Αξιοπιστία: Το Λογισμικό που εκτελεί εντολές προβλέψιμα και λειτουργεί ορθά κάτω από διάφορες συνθήκες, συμπεριλαμβανομένης και της λειτουργίας υπό επίθεση ή να τρέχει πάνω σε κακόβουλο κεντρικό υπολογιστή. Εμπιστοσύνη : Το λογισμικό που περιέχει ελάχιστο αριθμό ευπαθειών ή ευπάθειες που θα μπορούσαν να σαμποτάρουν την αξιοπιστία του λογισμικού. Θα πρέπει επίσης να είναι ανθεκτικό σε κακόβουλη λογική. Επιβίωση (Ανθεκτικότητα) : Το λογισμικό που είναι ανθεκτικό σε, ή ανεκτικό σε επιθέσεις και έχει την ικανότητα να ανακάμπτει όσο το δυνατό συντομότερα με όσο λιγότερη βλάβη είναι δυνατόν. Υπάρχουν και κάποιες συμπληρωματικές αρχές που υποστηρίζουν την διασφάλιση πληροφοριών. Αυτές οι αρχές αναπτύσσονται εν περιλήψει παρακάτω.[26] I. Εμπιστευτικότητα Η εμπιστευτικότητα αναφέρεται στην εκούσια ή ακούσια μη εξουσιοδοτημένη αποκάλυψη πληροφοριών. Η εμπιστευτικότητα στα συστήματα νέφους σχετίζεται με τις περιοχές των δικαιωμάτων πνευματικής ιδιοκτησίας, καλυμμένα κανάλια, ανάλυση κίνησης, κρυπτογράφηση και διεπαφή: Δικαιώματα πνευματικής ιδιοκτησίας: Η πνευματική ιδιοκτησία (IP) περιλαμβάνει εφευρέσεις, σχεδιασμούς, καθώς και έργα τέχνης, μουσικής και φιλολογίας. Τα 66

67 δικαιώματα στην πνευματική ιδιοκτησία καλύπτονται από νόμους πνευματικής ιδιοκτησίας, οι οποίοι προστατεύουν πνευματικές δημιουργίες, διπλώματα ευρεσιτεχνίας, που παρέχονται για καινούργιες εφευρέσεις. Καλυμμένα Κανάλια: Ένα καλυμμένο κανάλι είναι μία μη εξουσιοδοτημένη και ακούσια οδός επικοινωνίας που επιτρέπει την ανταλλαγή πληροφοριών. Καλυμμένα κανάλια μπορούν να επιτευχθούν μέσω χρονισμού των μηνυμάτων ή ακατάλληλη χρήση των μηχανισμών αποθήκευσης. Ανάλυση κίνησης: Η ανάλυση κίνησης είναι μία μορφή παραβίασης της εμπιστευτικότητας που μπορεί να επιτευχθεί με την ανάλυση του όγκου, την ταχύτητα, την πηγή και τον προορισμό της κίνησης του μηνύματος, ακόμη και αν είναι κωδικοποιημένο. Αυξημένη δραστηριότητα μηνυμάτων και υψηλές εξάρσεις κίνησης μπορεί να υποδηλώνουν ότι κάποιο κύριο γεγονός λαμβάνει χώρα. Αντίμετρα για την ανάλυση κίνησης περιλαμβάνουν την διατήρηση μίας σχεδόν σταθερής τιμής κίνησης μηνυμάτων και την μεταμφίεση της τοποθεσίας πηγής και προορισμού της κίνησης. Κρυπτογράφηση: Η κρυπτογράφηση περιλαμβάνει ανακάτεμα των μηνυμάτων, έτσι ώστε να μην είναι αναγνώσιμα από μία μη εξουσιοδοτημένη οντότητα, ακόμη και εάν έχουν υποκλαπεί. Το μέγεθος της προσπάθειας (παράγοντας εργασίας) που απαιτείται για την αποκρυπτογράφηση του μηνύματος είναι παράμετρος του πόσο ισχυρό είναι το κλειδί κρυπτογράφησης και τη δύναμη και ποιότητα του αλγόριθμου κρυπτογράφησης. Διεπαφή: Η διεπαφή σχετίζεται συνήθως με την ασφάλεια της βάσης δεδομένων. Διεπαφή είναι η ικανότητα μίας οντότητας να χρησιμοποιεί και να συσχετίζει πληροφορίες που προστατεύονται σε ένα επίπεδο ασφάλειας για να αποκαλύψει πληροφορίες που προστατεύονται σε ένα υψηλότερο επίπεδο ασφάλειας.[26] II. Ακεραιότητα Η έννοια της ακεραιότητας της πληροφορίας στο σύννεφο απαιτεί ότι οι ακόλουθες τρείς αρχές θα ικανοποιηθούν: Δεν γίνονται τροποποιήσεις σε δεδομένα από μη εξουσιοδοτημένο προσωπικό ή επεξεργασίες. Μη εξουσιοδοτημένες τροποποιήσεις δεν γίνονται σε δεδομένα από εξουσιοδοτημένο προσωπικό ή επεξεργασίες. Τα δεδομένα είνα εσωτερικά και εξωτερικά σταθερά με άλλα λόγια, η εσωτερική πληροφορία είναι σταθερή τόσο μεταξύ όλων των υπό-οντοτήτων καθώς και με τον πραγματικό κόσμο - την εξωτερική κατάσταση. III. Διαθεσιμότητα Η διαθεσιμότητα διασφαλίζει την αξιόπιστη και έγκαιρη πρόσβαση στα δεδομένα του σύννεφου ή στους πόρους επεξεργασίας του σύννεφου από το κατάλληλο προσωπικό. Η διαθεσιμότητα εγγυάται ότι τα συστήματα λειτουργούν κανονικά όταν χρειάζονται. Επιπλέον, αυτή η έννοια εγγυάται ότι οι υπηρεσίες ασφαλείας του συστήματος βρίσκονται σε καλή λειτουργική 67

68 κατάσταση. Παράδειγμα μια επίθεση τύπου άρνησης υπηρεσίας είναι ένα παράδειγμα απειλής κατά της διαθεσιμότητας. Το αντίστροφο της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας είναι η αποκάλυψη, η μετατροπή, και η καταστροφή (DAD).[26] Υπηρεσίες Ασφάλειας στο νέφος Επιπρόσθετοι παράγοντες που άμεσα επηρεάζουν την διασφάλιση λογισμικού του νέφους περιλαμβάνουν την πιστοποίηση, εξουσιοδότηση, έλεγχο και υπευθυνότητα, όπως αυτά αναφέρονται περιληπτικά ακολούθως. Πιστοποίηση (Authentication) Πιστοποίηση είναι ο έλεγχος ή η ταυτοποίηση των αποδεικτικών στοιχείων της ταυτότητας του χρήστη. Καθιερώνει την ταυτότητα του χρήστη και διασφαλίζει ότι οι χρήστες είναι αυτοί που ισχυρίζονται ότι είναι. Για παράδειγμα, ένας χρήστης παρουσιάζει μία ταυτότητα (ID χρήστη) στην οθόνη σύνδεσης του υπολογιστή και μετά πρέπει να παρέχει ένα κώδικα πρόσβασης. Το σύστημα του υπολογιστή πιστοποιεί τον χρήστη επαληθεύοντας ότι ο κώδικας πρόσβασης ανταποκρίνεται στο άτομο που παρουσιάζει την ταυτότητα του (ID). Εξουσιοδότηση (Authorization) Η εξουσιοδότηση αναφέρεται στα δικαιώματα και προνόμια που δίδονται σε ένα άτομο ή επεξεργασία που επιτρέπει πρόσβαση στους πόρους του υπολογιστή και πρόσβαση στις πληροφορίες. Μόλις η ταυτότητα και η πιστοποίηση του χρήστη καθιερωθούν, τα επίπεδα εξουσιοδότησης καθορίζουν την έκταση των δικαιωμάτων στο σύστημα που μπορεί να έχει ο χρήστης. Έλεγχος (Auditing) Για τη διατήρηση λειτουργικής διασφάλισης, οι οργανισμοί χρησιμοποιούν δύο βασικές μεθόδους. Τους ελέγχους συστήματος και την παρακολούθηση. Αυτές οι μέθοδοι μπορούν να υιοθετηθούν από τον πελάτη του νέφους, τον πάροχο νέφους, ή και των δύο, ανάλογα με την αρχιτεκτονική παγίων και εφαρμογής. Ο έλεγχος συστήματος είναι ένα περιοδικό ή εφάπαξ γεγονός για την αξιολόγηση της ασφάλειας. Η παρακολούθηση αναφέρεται σε μία συνεχή δραστηριότητα που εξετάζει είτε το σύστημα, είτε τους χρήστες, όπως για ανακάλυψη διείσδυσης. Οι ελεγκτές πληροφοριακών συστημάτων (IT) χωρίζονται συνήθως σε δύο τύπους: εσωτερικοί και εξωτερικοί. Οι εσωτερικοί ελεγκτές κατά κανόνα εργάζονται για ένα συγκεκριμένο οργανισμό, ενώ οι εξωτερικοί ελεγκτές όχι. Οι εξωτερικοί ελεγκτές είναι συχνά πιστοποιημένοι ορκωτοί λογιστές ή άλλου είδους επαγγελματίες ελεγκτές που προσλαμβάνονται για να εκτελέσουν έναν ανεξάρτητο έλεγχο των οικονομικών καταστάσεων ενός οργανισμού. Οι εσωτερικοί ελεγκτές συνήθως έχουν μία πιο ευρεία αποστολή από τους εξωτερικούς ελεγκτές, όπως να ελέγχουν για την συμμόρφωση και πρότυπα δέουσας προσοχής, να ελέγχουν την αποδοτικότητα των λειτουργικών εξόδων και να υποδεικνύουν τις κατάλληλες ρυθμίσεις. 68

69 Οι ελεγκτές ΙΤ κατά κανόνα ελέγχουν τις ακόλουθες λειτουργίες: Έλεγχοι συστήματος και συναλλαγών Πρότυπα ανάπτυξης συστήματος Έλεγχοι εφεδρικών αρχείων Διαδικασίες της Βιβλιοθήκης Δεδομένων Ασφάλεια του κέντρου δεδομένων (Data Center) Σχέδια έκτακτης ανάγκης Επιπλέον οι ελεγκτές ΙΤ μπορούν να εισηγηθούν βελτιώσεις στους ελέγχους, καθώς συχνά συμμετέχουν στην διαδικασία ανάπτυξης ενός συστήματος για να βοηθήσουν έναν οργανισμό να αποφύγει το κόστος του ανασχεδιασμού μετά την εφαρμογή του συστήματος.[26] Υπευθυνότητα (Accountability) Υπευθυνότητα είναι η ικανότητα να καθοριστούν οι δράσεις και οι συμπεριφορές ενός ατόμου μέσα στο σύστημα του νέφους και να αναγνωριστεί αυτό το συγκεκριμένο άτομο. Τα ίχνη ελέγχου και τα ημερολόγια υποστηρίζουν την υπευθυνότητα και μπορούν να χρησιμοποιηθούν για τη διεξαγωγή μετά θάνατον μελετών που αναλύουν ιστορικά γεγονότα και τα άτομα ή τις επεξεργασίες που σχετίζονται με αυτά τα γεγονότα. Η υπευθυνότητα σχετίζεται με την έννοια της μη αποκήρυξης, όπου ένα άτομο δεν μπορεί να αρνηθεί επιτυχώς την εκτέλεση μίας πράξης Κοινές Απειλές και Ευπάθειες Μία απειλή είναι απλά οποιοδήποτε γεγονός που εάν πραγματοποιηθεί μπορεί να προξενήσει ζημία σε ένα σύστημα και να προξενήσει απώλεια της εμπιστευτικότητας, διαθεσιμότητας και ακεραιότητας. Οι απειλές μπορεί να είναι κακοπροαίρετες, όπως η εσκεμμένη τροποποίηση ευαίσθητων πληροφοριών ή μπορεί να είναι τυχαίες όπως ένα σφάλμα στον υπολογισμό μίας εγγραφής ή την κατά λάθος διαγραφή ενός αρχείου. Η ευπάθεια είναι μία αδυναμία σε ένα σύστημα που θα μπορούσε να τύχει εκμετάλλευσης από μία απειλή. Μειώνοντας τις ευπαθείς απόψεις ενός συστήματος μπορεί να μειώσει τον κίνδυνο και την επίδραση των απειλών στο σύστημα. Για παράδειγμα ένα εργαλείο δημιουργίας κωδικού πρόσβασης, που βοηθά τους χρήστες να επιλέξουν δυνατούς κωδικούς πρόσβασης, μειώνει την πιθανότητα αυτοί οι χρήστες να επιλέξουν φτωχούς κώδικες πρόσβασης (η ευπάθεια) και κάνει των κώδικα πρόσβασης πιο δύσκολο να αποκωδικοποιηθεί (η απειλή της εξωτερικής επίθεσης). Κοινές απειλές τόσο στο νέφος όσο και στις παραδοσιακές υποδομές περιλαμβάνουν τα ακόλουθα: Λαθρακρόαση: Αναζήτηση υπολειμμάτων δεδομένων, ανάλυση κίνησης ή τάσης, κοινωνικές διαμορφώσεις, οικονομική ή πολιτική κατασκοπεία, ψαχούλευμα, παρακολούθηση των πληκτρολογήσεων και λαθροπαρατήρηση οθόνης, είναι όλα μορφές 69

70 λαθρακρόασης για την απόκτηση πληροφορικών ή για τη δημιουργία μίας βάσης για μετέπειτα επίθεση. Η λαθρακρόαση είναι η κύρια αιτία για την απώλεια της εμπιστευτικότητας. Απάτη: Παραδείγματα απάτης περιλαμβάνουν συμπαιγνία, παραποίηση εγγραφών, επέμβαση στα δεδομένα και άλλου τύπου αλλαγής στην ακεραιότητα των δεδομένων προς όφελος. Κλοπή: Παραδείγματα κλοπής περιλαμβάνουν την κλοπή πληροφοριών ή επαγγελματικών μυστικών προς κέρδος ή μη εξουσιοδοτημένη αποκάλυψη και φυσική κλοπή του εξοπλισμού ή του λογισμικού. Δολιοφθορά: Η δολιοφθορά περιλαμβάνει τις επιθέσεις άρνησης υπηρεσίας Sabotage (DoS), καθυστερήσεις παραγωγής και δολιοφθορά στην ακεραιότητα των δεδομένων. Εξωτερική επίθεση: Παραδείγματα εξωτερικής επίθεσης περιλαμβάνουν το εσκεμμένο σπάσιμο κωδικών, σάρωση και διερεύνηση για την απόκτηση πληροφοριών υποδομής, κλήσεις δαίμονα για να εντοπιστεί μία μη ασφαλής γραμμή μόντεμ, και η εισαγωγή ενός κακόβουλου κώδικα ή ιού. Πολλές επιθέσεις σε δίκτυα έχουν κοινά σημεία με την παραδοσιακή υποδομή και την υποδομή του νέφους. Οι επιθέσεις εναντίον υπολογιστών, δικτύων και κρυπτογραφικών συστημάτων έχουν ποικιλία κινήτρων. Μερικές επιθέσεις στοχεύουν στη διακοπή της υπηρεσίας, άλλες επικεντρώνονται στην παράνομη απόκτηση ευαίσθητων πληροφοριών και άλλες προσπαθούν να ξεγελάσουν ή να εξαπατήσουν. Γενικά, αυτές οι επιθέσεις έχουν σαν στόχο τα στοιχεία πληροφοριακής ασφάλειας του CIA.[26] Κίνδυνοι του πάροχου υπηρεσιών νέφους Χρησιμοποιώντας εικονικά συστήματα παρουσιάζονται πολλοί καινούργιοι κίνδυνοι, ενώ διατηρούνται πολλοί, εάν όχι οι περισσότεροι από τους κινδύνους που είναι εγγενείς στα παραδοσιακά συστήματα. Οι εκδόσεις του Burton Group, Attacking and Defending Virtual Environments, 5 ομαδοποιεί αυτούς τους κινδύνους ως ακολούθως: Όλες οι υπάρχουσες επιθέσεις παραμένουν ακόμη ενεργές Ως ένα ξεχωριστό σύστημα που πρέπει να προστατεύεται, ο υπερεπόπτης είναι ένας επιπρόσθετος κίνδυνος Συσσωρεύοντας ξεχωριστά συστήματα σε εικονικές μηχανές αυξάνεται ο κίνδυνος. Ένας αναξιόπιστος υπερεπόπτης με μια αξιόπιστη εικονική μηχανή έχει υψηλότερο κίνδυνο από έναν αξιόπιστο υπερεπόπτη με μια αναξιόπιστη εικονική μηχανή. Βασιζόμενοι σε αυτές τις παραμέτρους, μπορούμε να αναγνωρίσουμε αρκετές περιοχές κινδύνου στα εικονικοποιημένα συστήματα, συμπεριλαμβανομένων και των ακολούθων: Πολυπλοκότητα της διαμόρφωσης: Τα εικονικά συστήματα προσθέτουν περισσότερες στρωματώσεις πολυπλοκότητας στα δίκτυα και στα συστήματα, αυξάνοντας γενικά την πιθανότητα ακατάλληλης διαμόρφωσης ή την εισαγωγή αφανών ευπαθειών. 70

71 Κλιμάκωση προνομίου: Ένας χάκερ είναι δυνατόν να κλιμακώσει τα προνόμιά του ή της σε ένα σύστημα μοχλεύοντας μία εικονική μηχανή χρησιμοποιώντας χαμηλότερο επίπεδο δικαιωμάτων πρόσβασης και μετά να επιτίθεται στην VM με ένα υψηλότερο επίπεδο ελέγχων ασφάλειας μέσω του υπερεπόπτη. Ανενεργές εικονικές μηχανές: Οι εικονικές μηχανές που δεν είναι ενεργές, (δηλ., είναι σε νάρκη), θα μπορούσαν να αποθηκεύσουν δεδομένα που είναι ευαίσθητα. Παρακολουθώντας την πρόσβαση σε αυτά τα δεδομένα, σε μία εν υπνώσει VM είναι πρακτικά αδύνατο, αλλά προσφέρει ένα κίνδυνο ασφάλειας μέσο της απώλειας της ή πρόσβαση στην VM. Επίσης, τα εργαλεία παρακολούθησης για συστήματα VM δεν είναι τόσο προηγμένα όσο τα παραδοσιακά εργαλεία αλλά αναμένεται να βελτιωθούν γρήγορα. Διαχωρισμός καθηκόντων: Ένα εικονοποιημένο σύστημα θέτει κίνδυνο στους οργανισμούς μέσω του ακατάλληλου ορισμού των ρόλων πρόσβασης χρηστών. Επειδή η VM παρέχει πρόσβαση σε πολλούς τύπους από στοιχεία από πολλές κατευθύνσεις, ο κατάλληλος διαχωρισμός των καθηκόντων μπορεί να αποβεί δύσκολος να συντηρηθεί. Αδύναμοι έλεγχοι πρόσβασης: Ο υπερεπόπτης της εικονικής μηχανής διευκολύνει την εικονοποίηση του εξοπλισμού και μεσολαβεί για όλες τις προσβάσεις στον εξοπλισμό για να τρέξουν οι εικονικές μηχανές. Αυτό δημιουργεί ένα νέο διάνυσμα επίθεσης στην VM, λόγω του μοναδικού σημείου πρόσβασης. Επομένως, ο υπερεπόπτης μπορεί να εκθέσει το αξιόπιστο δίκτυο μέσω κακού σχεδιασμού των συστημάτων ελέγχου πρόσβασης, ελαττωματική συμπλήρωση προγράμματος και απουσία παρακολούθησης. Αυτή η ευπάθεια συναντάται επίσης και στις εικονοποιημένες βάσεις δεδομένων. Υπάρχουν και άλλοι τύποι επιθέσεων που θα πρέπει να καταλάβουμε και να αναγνωρίσουμε. Αυτοί οι τύποι παρουσιάζονται στην συνέχεια. Άρνηση υπηρεσιών (Denial of Sevice) Παραπλάνηση (Spoofing) Επίθεση Παρεμβολής (Man-in-the-Middle) Επίθεση Επανάληψης (Replay Attack) TCP Hijacking Κοινωνική Μηχανική (Social Engineering) Δούρειοι Ίπποι και κακόβουλο λογισμικό (Trojan Horses and Malware) [26] Υπολογιστικό νέφος πέραν της αρχιτεκτονικής - Η περιοχή της Κρίσιμης Εστίασης Σύμφωνα με το έγγραφο «SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0» της CSA (Cloud Security Alliance) εκτός από την αρχιτεκτονική του νέφους, υπάρχουν και κάποιοι άλλοι τομείς που πρέπει να ληφθούν υπόψη σχετικά με την ασφάλεια στο νέφος. Αυτοί οι τομείς χωρίζονται σε δύο κατηγορίες: Στους τομείς διακυβέρνησης και στους επιχειρησιακούς τομείς. Οι τομείς διακυβέρνησης είναι ευρείς και απευθύνονται σε θέματα στρατηγικής και πολιτικής εντός ενός περιβάλλοντος υπολογιστικού 71

72 νέφους, ενώ οι επιχειρησιακοί τομείς επικεντρώνονται περισσότερο σε ανησυχίες τακτικής ασφάλειας και εφαρμογής εντός της αρχιτεκτονικής.[29] Τομείς Διακυβέρνησης I. Διακυβέρνηση και Διαχείριση Κινδύνων Επιχείρησης Η ικανότητα ενός οργανισμού να κυβερνά και να μετρά τον κίνδυνο της επιχείρησης που προκύπτει από την μετάβαση στο υπολογιστικό νέφος. Θέματα όπως νομικά προηγούμενα για παραβιάσεις συμφωνιών, η δυνατότητα των χρηστών οργανισμών να αξιολογήσουν επαρκώς τους κινδύνους ενός πάροχου νέφους, η υπευθυνότητα να προστατευθούν τα ευαίσθητα δεδομένα όταν τόσο ο χρήστης όσο και ο πάροχος μπορεί να είναι σε υπαιτιότητα και πως τα διεθνή σύνορα μπορεί να επηρεάσουν αυτά τα θέματα. II. Νομικά Θέματα: Συμβόλαια και Ηλεκτρονική Ανακάλυψη Τα θέματα που άπτονται αυτού του τμήματος, περιλαμβάνουν τις απαιτήσεις προστασίας για πληροφορίες και συστήματα υπολογιστών, παραβίαση ασφάλειας, νόμων αποκάλυψης, ρυθμιστικές απαιτήσεις, απαιτήσεις προσωπικών δεδομένων, διεθνείς νόμοι, κ.λ.π. III. Συμμόρφωση και Έλεγχος Διατήρηση και παροχή συμμόρφωσης όταν χρησιμοποιείται το υπολογιστικό νέφος. Θέματα που ασχολούνται με την αξιολόγηση του πως το υπολογιστικό νέφος επιδρά στη συμμόρφωση με τις εσωτερικές πολιτικές ασφάλειας, καθώς και διάφορες απαιτήσεις συμμόρφωσης (ρυθμιστικές, νομοθετικές κλπ) που αναπτύσσονται σε αυτά. Αυτός ο τομέας περιλαμβάνει κάποια καθοδήγηση για την απόδειξη της συμμόρφωσης κατά τη διάρκεια ενός ελέγχου. IV. Διαχείριση της Πληροφορίας και Ασφάλεια Δεδομένων Η Διαχείριση των δεδομένων που τοποθετούνται στο νέφος. Εδώ παρουσιάζονται θέματα περί αναγνώρισης και ελέγχου δεδομένων στο νέφος, καθώς και αντισταθμιστικές ρυθμίσεις που μπορούν να χρησιμοποιηθούν για να διαχειριστούν την απώλεια φυσικού ελέγχου καθώς προωθούνται δεδομένα στο νέφος. Αναφέρονται και άλλα θέματα, όπως ποιος είναι υπεύθυνος για την εμπιστευτικότητα των δεδομένων, την ακεραιότητα και τη διαθεσιμότητα. V. Φορητότητα και Δια - χειριστικότητα Η ικανότητα να μεταφέρονται δεδομένα / υπηρεσίες από έναν πάροχο σε έναν άλλο, ή να τα επαναφέρει κανείς πίσω ενδοεταιρικά. Μαζί με θέματα που αφορούν την δια χειριστικότητα μεταξύ των παρόχων Επιχειρησιακή Τομείς 72

73 I. Παραδοσιακή Ασφάλεια, Συνέχεια στην Επιχείρηση, και Ανάνηψη από Καταστροφή Πώς το υπολογιστικό νέφος επηρεάζει τις λειτουργικές επεξεργασίες και διαδικασίες που χρησιμοποιούνται σήμερα για την εφαρμογή ασφάλειας, συνέχειας στην επιχείρηση, και ανάνηψη από καταστροφή. Κυρίως επικεντρώνεται στο να συζητήσει και να εξετάσει πιθανούς κινδύνους του υπολογιστικού νέφους, με την ελπίδα να επεκτείνει το διάλογο και την αντιπαράθεση για μία ιδιαίτερα μεγάλη ζήτηση για καλύτερα μοντέλα διαχείρισης κινδύνου της επιχείρησης. II. Λειτουργίες του Κέντρου Δεδομένων Το πως να αξιολογηθεί η αρχιτεκτονική του κέντρου δεδομένων του παρόχου και οι λειτουργίες. Αυτό επικεντρώνεται κυρίως στη βοήθεια προς τους χρήστες για να αναγνωρίσουν κοινά χαρακτηριστικά κέντρου δεδομένων που θα μπορούσαν να είναι καθοριστικά στις εν λειτουργία υπηρεσίες, καθώς και χαρακτηριστικά που είναι θεμελιώδη στη μακρόχρονη σταθερότητα. III. Απόκριση σε Συμβάντα, Ειδοποίηση και Αποκατάσταση Η ορθή και επαρκής ανίχνευση συμβάντος, η απόκριση, η ειδοποίηση και η αποκατάσταση. Αυτό το τμήμα προσπαθεί να εξετάσει θέματα που θα έπρεπε να βρίσκονται στη θέση τους τόσο στο επίπεδο του παρόχου όσο και στο επίπεδο του χρήστη για να είναι δυνατός ο ορθός χειρισμός συμβάντων και η δυνατότητα εξεύρεσης αποδεικτικών στοιχείων. Αυτός ο τομέας θα βοηθήσει στην κατανόηση των πολυπλοκοτήτων που φέρει το σύννεφο στο τρέχον πρόγραμμα διαχείρισης συμβάντων. IV. Ασφάλεια Εφαρμογών Η ασφάλιση του λογισμικού εφαρμογής που τρέχει ή έχει αναπτυχθεί στο νέφος. Αυτό περιλαμβάνει θέματα όπως το κατά πόσο είναι πρέπον να μεταναστεύσει ή να σχεδιαστεί μία εφαρμογή να τρέχει στο νέφος και αν ναι, τι τύπος πλατφόρμας νέφους είναι ο πλέον ενδεδειγμένος. V. Κρυπτογράφηση και Διαχείριση Κλειδιού Αναγνωρίζοντας την κατάλληλη χρήση κρυπτογράφησης και κλιμακωτή διαχείριση κλειδιού. Αυτό το τμήμα δεν είναι καθοδηγητικό, αλλά είναι περισσότερο πληροφοριακό στη συζήτηση γιατί χρειάζονται και θέματα αναγνώρισης που εγείρονται κατά τη χρήση, τόσο για την προστασία της πρόσβασης στους πόρους, όσο και στην προστασία των δεδομένων. VI. Ταυτότητα και Διαχείριση Πρόσβασης Διαχείριση ταυτοτήτων και υπηρεσίες αξιοποίησης του κατάλογου για να παρέχει έλεγχο πρόσβασης. Η έμφαση είναι σε θέματα που εμφανίζονται όταν επεκτείνεται η ταυτότητα ενός οργανισμού στο νέφος. Αυτό το τμήμα παρέχει επίγνωση της εκτίμησης της ετοιμότητας ενός οργανισμού να πραγματοποιεί Ταυτότητα με βάση το νέφος, Δικαίωμα και Διαχείριση Πρόσβασης (IdEA). VII. Εικονικοποίηση 73

74 Η χρήση της τεχνολογίας εικονικοποίησης στο υπολογιστικό νέφος. Ο τομέας απευθύνεται σε θέματα όπως σχετικά με τον κίνδυνο με πολλαπλή μίσθωση, απομόνωση της VM, συγκατοίκηση της VM, ευπάθειες του υπερεπόπτη, κ.λ.π. Αυτός ο τομέας επικεντρώνεται στα θέματα ασφάλειας που περιβάλουν το σύστημα / εξοπλισμό της εικονικοποίησης, παρά σε μία πλέον γενική επιθεώρηση όλων των μορφών της εικονικοποίησης. VIII. Ασφάλεια ως Υπηρεσία Η παροχή διασφάλισης ασφάλειας που διευκολύνεται από τρίτο μέρος, η διαχείριση συμβάντος, η συμμόρφωση με βεβαιώσεις και επίβλεψη ταυτότητας και πρόσβασης. Η ασφάλεια σαν υπηρεσία είναι η εκχώρηση της ανίχνευσης, αποκατάστασης και διακυβέρνηση της υποδομής ασφάλειας σε ένα αξιόπιστο τρίτο μέρος με τα κατάλληλα εργαλεία και εμπειρία. Οι χρήστες αυτής της υπηρεσίας έχουν σαν κέρδος το όφελος αποκλειστικής εξειδίκευσης και τεχνολογίας αιχμής στη μάχη για την εξασφάλιση και ισχυροποίηση ευαίσθητων επιχειρηματικών λειτουργιών. [29] Νομικά θέματα σχετικά με τα δεδομένα στο νέφος I. Το υπολογιστικό νέφος δεν έχει περιορισμούς. Η έννοια του υπολογιστικού νέφους είναι παγκόσμια και εντός του νέφους δεν υπάρχουν σύνορα. Υπολογιστές που χρησιμοποιούνται για επεξεργασία και αποθήκευση δεδομένων του χρήστη, καθώς και η υποδομή δικτύου ICT (Information and Communications Technology) μπορούν να βρίσκονται οπουδήποτε στο κόσμο, απλώς εξαρτώμενοι από το που είναι διαθέσιμες οι απαραίτητες χωρητικότητες για την εκτέλεση των λειτουργιών του ICT σύμφωνα με την βελτιστοποιημένη - προσανατολισμένη διαχείριση των πόρων στα παγκόσμια δίκτυα υπολογιστών που χρησιμοποιούνται για το υπολογιστικό νέφος. Μερικοί από τους παρόχους υπηρεσιών νέφους όπως, για παράδειγμα, η Αmazon, προσφέρουν στους πελάτες τους την επιλογή να επιλέξουν μεταξύ ορισμένων ζωνών διαθεσιμότητας. Τα δεδομένα του πελάτη παραμένουν τότε εντός της επιλεχθείσης ζώνης. Αναφορικά με την προστασία των δεδομένων, το υπολογιστικό νέφος εγείρει μερικά πολύ ενδιαφέροντα θέματα. Ο νόμος προστασίας δεδομένων βασίζεται στην παραδοχή ότι είναι πάντοτε ξεκάθαρο που βρίσκονται τα προσωπικά δεδομένα, από ποιον επεξεργάζονται και ποιος είναι υπεύθυνος για την επεξεργασία των δεδομένων. Το υπολογιστικό νέφος φαίνεται να είναι σε θεμελιακή αντίθεση με αυτή την απόδειξη. Για παράδειγμα, εάν ένας πελάτης χρησιμοποιεί μία υπηρεσία ηλεκτρονικού ταχυδρομείου ( ) που βασίζεται στο υπολογιστικό νέφος, τα δεδομένα του πελάτη, μπορεί να αποθηκεύονται οπουδήποτε στον κόσμο, εξαρτώμενο από το που βρίσκονται οι κεντρικοί υπολογιστές επί των οποίων η απαραίτητη ικανότητα αποθήκευσης είναι διαθέσιμη. Διαφορετικές υπηρεσίες που προσφέρονται από μία μεγάλη γκάμα παρόχων συχνά συγκροτούνται για να παράγουν μία πρόταση στον τελικό χρήστη. 74

75 Εικόνα 31.Ένας χάρτης που δείχνει πιθανές διαφορές στις γεωγραφικές περιοχές μεταξύ πελατών, παρόχων και των κέντρων δεδομένων.[22] Επομένως, με το υπολογιστικό νέφος δεν είναι πλέον δυνατόν να πει κανείς που βρίσκονται τα δεδομένα σε κάποια δεδομένη στιγμή και από ποιον και πως αυτά επεξεργάζονται. Αυτό σημαίνει ότι είναι αμφίβολο το κατά πόσο αυτοί οι οποίοι είναι υπεύθυνοι για την επεξεργασία των δεδομένων, σύμφωνα με τους κανονισμούς για την προστασία των δεδομένων, είναι σε θέση να αναλάβουν αποτελεσματικά την οποιαδήποτε ευθύνη τους. Εάν τα δεδομένα κυκλοφορούν ελεύθερα ανά τον κόσμο μέσω του διαδικτύου δεν είναι επίσης πλέον ξεκάθαρο ποιες αρχές προστασίας δεδομένων και σε ποια τοποθεσία είναι υπεύθυνη για την εξασφάλιση της παρακολούθησης των αρχών της προστασίας δεδομένων. Εάν ένας πάροχος στη χώρα "A" αποθηκεύει μεγάλους όγκους προσωπικών δεδομένων που σχετίζονται με πελάτες εταιρειών που χρησιμοποιούν τη λύση CRM ενός παρόχου με έδρα στη χώρα "B", είναι επομένως όχι άμεσα σίγουρο ποιες αρχές σε ποια χώρα (χώρα "A", χώρα "B" ή οι χώρες που οι εταιρείες χρησιμοποιούν τη λύση CRM ή οι πελάτες τους ή εκεί που οι πελάτες τους διαμένουν ή και τα δύο) είναι υπεύθυνοι ή θα έπρεπε δεόντως να είναι υπεύθυνοι για την τήρηση της προστασίας δεδομένων που περιλαμβάνει την αποθήκευση δεδομένων.[30] ΙΙ. Η ανάγκη για την τροποποίηση του νόμου προστασίας δεδομένων. Επομένως, από τη μία μεριά, υπάρχει μία απαίτηση ότι οι εφαρμοστέες κανονιστικές προβλέψεις σχετικά με την προστασία δεδομένων να ρυθμιστούν ώστε να βρεθεί μία κατάλληλη ρύθμιση για το υπολογιστικό νέφος. Το κατά πόσο οι κανονιστικές ρυθμίσεις είναι αναγκαίες ήταν το θέμα στο ακροατήριο που έγινε από την US Federal Trade Commission (FTC) το Μάρτιο του 2009, αν και το κατά πόσο νέες προβλέψεις για προστασία δεδομένων θα έπρεπε να σχεδιαστούν 75

76 είναι υπό ερωτηματικό, ιδιαίτερα επειδή η αγορά υπηρεσιών υπολογιστικού νέφους είναι ακόμη πολύ νέα και στα πρώτα βήματα της ανάπτυξης της. Σε αυτή την πρόωρη φάση είναι δύσκολο να καθοριστεί η σωστή νομική υποδομή για αποτελεσματική και κατάλληλη προστασία δεδομένων. Θέματα που αφορούν προστασία δεδομένων, καλύπτονται από μορφές του νόμου περί ανταγωνισμού, λόγω της δύναμης στην αγορά παρόχων όπως οι Google και Amazon, οι οποίες δεν μπορούν να προκληθούν από έναν ατομικό πελάτη που δεν έχει αρκετή διαπραγματευτική δύναμη στη διάθεσή του για να διαπραγματευθεί όρους συμβολαίου και συνθήκες κατά τρόπο αποτελεσματικό. ΙΙΙ. Παρούσα κατάσταση : Η ευθύνη του ρυθμιστή δεδομένων. Ασχέτως από το κατά πόσο το υπολογιστικό νέφος θα είναι θέμα συγκεκριμένων κανονιστικών διατάξεων στο μέλλον, οι τρέχουσες προβλέψεις προστασίας δεδομένων εφαρμόζονται και για το υπολογιστικό νέφος. Σύμφωνα με τον Ελβετικό νόμο προστασίας δεδομένων, οι βασικές αρχές του οποίου συμβαδίζουν με το Νόμο της Ευρωπαϊκής Ένωσης (EU), τρία θέματα είναι σημαντικά: οι συνθήκες υπό τις οποίες είναι επιτρεπτή η μεταφορά επεξεργασίας προσωπικών δεδομένων προς τρίτα μέρη, οι συνθήκες κάτω από τις οποίες προσωπικά δεδομένα μπορούν να αποσταλούν στο εξωτερικό και ασφάλεια των δεδομένων. - Επεξεργασία δεδομένων από τρίτα μέρη Σε συστήματα νόμων με εκτεταμένη προστασία δεδομένων, όπως αυτή είναι η περίπτωση με την Ευρωπαϊκή Ένωση και την Ελβετία, είναι επιτρεπτό να προστρέξει κανείς στη βοήθεια τρίτων μερών για την επεξεργασία δεδομένων. Πλην όμως, ο ρυθμιστής δεδομένων παραμένει υπεύθυνος για την επεξεργασία των δεδομένων, ακόμη και εάν αυτό εκτελείται από ένα ή περισσότερα τρίτα μέρη επί τη βάσει οδηγιών του. Σύμφωνα με τον Ελβετικό Νόμο προστασίας δεδομένων, ο ρυθμιστής δεδομένων πρέπει επομένως να εξασφαλίσει ότι ένα διορισμένο τρίτο μέρος (επεξεργαστής δεδομένων) επεξεργάζεται μόνο τα δεδομένα κατά τέτοιο τρόπο που θα επιτρεπόταν στον ίδιο τον ρυθμιστή δεδομένων να το κάνει. Επιπλέον, ο ρυθμιστής δεδομένων πρέπει να εξασφαλίσει ότι ο επεξεργαστής δεδομένων ανταποκρίνεται στις ίδιες απαιτήσεις για ασφάλεια δεδομένων που έχουν εφαρμογή στον συλλέκτη δεδομένων. Ανάλογα με τον τομέα (ηλεκτρονική υγεία, κοινόχρηστα, λιανικό εμπόριο, κ.λ.π.) στον οποίο ανήκει ο ρυθμιστής δεδομένων, μπορεί να έχουν εφαρμογή και επιπλέον ειδικές απαιτήσεις. Για παράδειγμα, τράπεζες και χρηματιστές, πρέπει να καταλήξουν σε γραπτή συμφωνία με τον επεξεργαστή δεδομένων (ένα ηλεκτρονικό, κλειστό, online συμβόλαιο δεν είναι αρκετό), στην οποία υποχρεώνουν τον επεξεργαστή δεδομένων να τηρήσει το τραπεζικό απόρρητο της Ελβετίας. Επιπλέον ο επεξεργαστής δεδομένων πρέπει να είναι ενσωματωμένος στο εσωτερικό σύστημα παρακολούθησης και θα πρέπει να έχει βεβαιωθεί ότι οι εσωτερικοί και εξωτερικοί έλεγχοι και η αρχή εποπτείας της τράπεζας μπορούν να διενεργήσουν ελέγχους στον επεξεργαστή δεδομένων ανά πάσα στιγμή. Στο συμβόλαιο με τον επεξεργαστή δεδομένων η τράπεζα πρέπει επομένως να συμφωνήσει σε αντίστοιχα δικαιώματα για επιθεώρηση, δικαιώματα επιβολής και δικαιώματα ελέγχου. [30] 76

77 - Μεταβίβαση προσωπικών δεδομένων στο εξωτερικό Σύμφωνα με το Ελβετικό Δίκαιο, όπως και με αυτό της Ευρωπαϊκής Ένωσης, εφαρμόζονται ειδικοί κανόνες όταν αποστέλλονται δεδομένα στο εξωτερικό. Σύμφωνα με αυτούς, η εξαγωγή δεδομένων στο εξωτερικό επιτρέπεται εάν υπάρχει νομοθεσία που εξασφαλίζει την επαρκή προστασία δεδομένων σύμφωνα με τα πρότυπα της Ελβετίας, στη χώρα που βρίσκεται ο αποδέκτης των δεδομένων. Οι χώρες της Ευρωπαϊκής Ένωσης και της EFTA (European Free Trade Association) συγκεκριμένα, έχουν τέτοια νομοθεσία. Ένας κατάλογος που δημοσιεύεται από τον Ομοσπονδιακό Επίτροπο Προστασίας Δεδομένων της Ελβετίας, περιέχει περισσότερες πληροφορίες για το κατά πόσο επαρκής νομοθεσία προστασίας δεδομένων υπάρχει σε μία συγκεκριμένη χώρα. Ειδική αναφορά πρέπει να γίνει για το γεγονός ότι οι ΗΠΑ δεν έχουν επαρκή νομοθεσία προστασίας δεδομένων. Πλην όμως, εάν ο αποδέκτης των δεδομένων καλύπτεται από το Καθεστώς Ασφαλούς Λιμένος, το οποίο επιπροσθέτως με την Ευρωπαϊκή Ένωση εφαρμόζεται επίσης στη σχέση μεταξύ Ελβετίας και ΗΠΑ, από τις αρχές του Αυτό εγγυάται την επάρκεια της προστασίας δεδομένων και η μεταφορά δεδομένων είναι επομένως επιτρεπτή. Παρ όλα αυτά, εάν δεν υπάρχει επαρκής νομοθεσία προστασίας δεδομένων στη χώρα αποδέκτη, η μεταβίβαση των δεδομένων από την Ελβετία, επιτρέπεται μόνο σε ειδικές περιπτώσεις. Σε σχέση με την επεξεργασία προσωπικών δεδομένων για επιχειρηματικούς σκοπούς, πρέπει να γίνει μνεία των ακόλουθων περιπτώσεων και συγκεκριμένα: η ολοκλήρωση ενός συμβολαίου με τον αποδέκτη των δεδομένων το οποίο υποχρεούνται να τηρήσουν, συγκατάθεση από τα πρόσωπα ή πρόσωπο που εμπλέκεται και μεταβίβαση των δεδομένων που αφορούν το συμβαλλόμενο μέρος σε σχέση με την ολοκλήρωση ή εφαρμογή ενός συμβολαίου. - Ασφάλεια Δεδομένων Ο Ελβετικός νόμος για την προστασία δεδομένων απαιτεί όπως απαιτούν και οι εθνικοί νόμοι της Ευρωπαϊκής Ένωσης η ασφάλεια δεδομένων να διασφαλίζεται κατά την επεξεργασία προσωπικών δεδομένων. Η εμπιστευτικότητα, διαθεσιμότητα και ακεραιότητα των δεδομένων πρέπει να εξασφαλίζονται μέσω κατάλληλων οργανωτικών και τεχνικών μέτρων. Αυτοί περιλαμβάνουν επίσης την προστασία των συστημάτων και των δεδομένων από τον κίνδυνο της μη εξουσιοδοτημένης ή αυθαίρετης καταστροφής, αυθαίρετης απώλειας, τεχνικών σφαλμάτων, παραχάραξης, κλοπής και παράνομης χρήσης, καθώς και από μη εξουσιοδοτημένες τροποποιήσεις, αντιγραφές, πρόσβαση ή άλλη μη εξουσιοδοτημένη επεξεργασία. Ο συλλέκτης δεδομένων παραμένει νομικά υπεύθυνος για την τήρηση της ασφάλειας δεδομένων, έστω και εάν αναθέτει την επεξεργασία δεδομένων σε ένα τρίτο μέρος. IV. Θέματα συμβάσεων Στο υπολογιστικό νέφος τη νομική ευθύνη για την επεξεργασία δεδομένων την έχει ο χρήστης, ο οποίος χρησιμοποιεί τις υπηρεσίες ενός πάροχου νέφους. Ο χρήστης είναι ο συλλέκτης δεδομένων. Όπως και σε όλες τις άλλες περιπτώσεις στις οποίες ένα τρίτο μέρος αναλαμβάνει 77

78 το έργο της επεξεργασίας προσωπικών δεδομένων, ο χρήστης ή ο ρυθμιστής δεδομένων είναι υπεύθυνος για να εξασφαλίσει ότι καλύπτονται οι απαιτήσεις προστασίας δεδομένων. Αυτό ισχύει και για τους καταναλωτές (για παράδειγμα, εάν χρησιμοποιούν μια υπηρεσία ταχυδρομείου του ιστού, ή χειρίζονται φωτογραφίες στο διαδίκτυο), και σε εταιρείες και οργανισμούς (που χρησιμοποιούν, για παράδειγμα, τη λύση ενός πάροχου υπηρεσιών στο νέφος για το CRM). Ο συλλέκτης δεδομένων στην Ελβετία που θέλει να χρησιμοποιήσει τις υπηρεσίες ενός παρόχου υπολογιστικού νέφους, πρέπει να βεβαιωθεί ότι οι απαιτήσεις προστασίας δεδομένων θεωρούνται δεσμευτικές στο συμβόλαιό του με τον πάροχο. Αυτό γίνεται είτε με ατομική διαπραγμάτευση των όρων στο συμβόλαιο ή μέσω της δήλωσης ότι η πολιτική για ασφάλεια και προστασία δεδομένων του παρόχου είναι μέρος του συμβολαίου, στο μέτρο που αυτά ικανοποιούν τις κανονιστικές απαιτήσεις. Ιδιαίτερη προσοχή πρέπει να δοθεί στα ακόλουθα σημεία σε ένα συμβόλαιο με ένα πάροχο υπηρεσιών σύννεφου: - Έκταση επεξεργασίας Το είδος της επεξεργασίας δεδομένων που επιτρέπεται από τον πάροχο πρέπει να είναι ξεκάθαρα ορισμένο, καθώς και το σκοπό για τον οποίο τα δεδομένα μπορεί να επεξεργαστούν. - Υπεργολάβοι Οι συνθήκες κάτω από τις οποίες ένας πάροχος μπορεί από την πλευρά του να μεταφέρει τα δεδομένα σε υπεργολάβους πρέπει να καθοριστούν, για παράδειγμα, όπως σε ένα πάροχο με ικανότητα αποθήκευσης. Πρέπει να διασφαλιστεί ότι ο χρήστης είναι ενήμερος σε ποιο υπεργολάβο προωθούνται τα δεδομένα και οι κανονισμοί που διέπουν την προστασία δεδομένων στο συμβόλαιο μεταξύ του χρήστη και του παρόχου, είναι επίσης δεσμευτικές για τους υπεργολάβους. - Διαγραφή δεδομένων Ένα σημαντικό σημείο είναι ότι τα δεδομένα που πρέπει να διαγραφούν από τον χρήστη, επειδή αυτός ή αυτή δεν τα χρειάζονται πλέον ή δεν θα μπορεί πλέον να τα επεξεργαστεί για οποιοδήποτε άλλο λόγο, είναι αντιστοίχως διαγραμμένα και από τον πάροχο και δεν υπάρχουν πλέον διαθέσιμα αντίγραφα των δεδομένων. Αυτό μπορεί να οδηγήσει σε προβλήματα, ιδιαίτερα σε σχέση με τη δημιουργία αντιγράφων ασφαλείας που δημιουργούνται από τον πάροχο, εάν αυτά περιλαμβάνουν δεδομένα που ανήκουν σε έναν αριθμό πελατών του και η στοχευμένη διαγραφή ατομικών στοιχείων δεδομένων, αποδεικνύεται οικονομικά ασύμφορη ή τεχνικά ακατάλληλη όσον αφορά τη σκοπιμότητα. Η διαγραφή των δεδομένων είναι επίσης μέγιστης σημασίας όταν λύεται το συμβόλαιο με τον πάροχο. - Μέτρα ασφάλειας δεδομένων Τα οργανωτικά και τεχνικά μέτρα ασφάλειας δεδομένων που πρόκειται να ληφθούν από τον πάροχο, θα πρέπει να προβλέπονται στο συμβόλαιο, όπως είναι τα δικαιώματα πρόσβασης από τους υπαλλήλους του παρόχου, στα δεδομένα και συστήματα που χρησιμοποιούνται για την 78

79 επεξεργασία τους ή η κρυπτογράφηση δεδομένων κατά τη διάρκεια της μεταβίβασης ή αποθήκευσης τους ή και τα δύο. - Εντοπισμός δεδομένων Για να είναι δυνατή η ικανοποίηση των απαιτήσεων σε σχέση με την εξαγωγή δεδομένων, ο πελάτης θα πρέπει να γνωρίζει σε ποιες χώρες είναι ανεπτυγμένοι οι κεντρικοί υπολογιστές επί των οποίων γίνεται επεξεργασία των δεδομένων και αποθηκεύονται και ο πάροχος θα πρέπει να έχει την υποχρέωση να μην μεταβιβάσει τα δεδομένα σε οποιεσδήποτε άλλες χώρες χωρίς την προηγούμενη διαβούλευση με το χρήστη. - Συμφωνίες για το επίπεδο υπηρεσίας Ανάλογα με το σκοπό για τον οποίο τα δεδομένα επεξεργάζονται, είναι σημαντικό να υπάρχει συμφωνία να δεσμεύονται επίπεδα υπηρεσιών για διαθεσιμότητα και ανάκτηση δεδομένων, εάν χρειαστεί, που προστατεύεται από υποστηρικτικά συγκεκριμένα πρόστιμα στην περίπτωση της μη συμμόρφωσης με τα συμφωνημένα επίπεδα υπηρεσίας. - Αποκατάσταση δεδομένων Με τη λήξη του συμβολαίου, θα πρέπει να διασφαλίζεται η κανονική επιστροφή των δεδομένων στο χρήστη. Αυτό απαιτεί αρκετά εκτεταμένες περιόδους ειδοποίησης για το χρήστη, ώστε να μπορεί να λάβει τα απαραίτητα μέτρα για να εξασφαλίσει τη διαθεσιμότητα και σταθερή περαιτέρω επεξεργασία των δεδομένων μετά τη λήξη του συμβολαίου. Θα πρέπει επίσης να καθοριστεί η μορφή στην οποία θα παραδίδονται τα δεδομένα στο χρήστη από τον πάροχο. - Έλεγχοι Συμφωνώντας για δικαιώματα επί πληροφόρησης και ελέγχων, ο χρήστης καθιερώνει την ευκαιρία να επιβεβαιώσει ότι οι υποχρεώσεις που αναλαμβάνει ο πάροχος ικανοποιούνται. Ανάλογα με τον τομέα στον οποίο ο χρήστης ανήκει, τα ίδια δικαιώματα θα πρέπει να παρέχονται σε εταιρείες ελέγχου και ρυθμιστικές αρχές, στον έλεγχο των οποίων υπόκειται ο χρήστης.[30] 3.5 Οφέλη του υπολογιστικού νέφους Υπάρχουν πολλά οφέλη που προκύπτουν από την χρήση του υπολογιστικού νέφους αλλά, και μερικά συνοδευτικά μειονεκτήματα. Όπως και με οποιοδήποτε φυσικό σύστημα, η υπολογιστική νέφους (cloud computation) θα πρέπει να λειτουργεί μέσα σε όρια φυσικών παραμέτρων. Το νέφος προσφέρει την ικανότητα για παροχή τεραστίων ποσοτήτων υπολογιστικής ισχύς και αποθήκευσης, αλλά αυτές οι ποσότητες δεν είναι άπειρες. Επομένως, οι χρήστες του νέφους μπορεί να χρειαστεί να προσαρμόσουν τις εφαρμογές τους σε ένα πλαίσιο κατηγορίας χρήσης πόρων που καθορίζεται από τον πάροχο του νέφους. Το παράδειγμα του νέφους υποστηρίζει επίσης καινοτομίες με την έννοια ότι, μία ποικιλία από νέες και προωθημένες εφαρμογές μπορεί να χρησιμοποιηθούν κατά το τρόπο που είναι ανεκτός οικονομικά, ενώ συγχρόνως μειώνοντας το συνολικό κόστος κτήσης.[26] Τα κυριότερα οφέλη του παραδείγματος του νέφους μπορεί να επικεντρωθούν στα ακόλουθα: 79

80 Ελαστικότητα και Προσαρμοστικότητα Οι πάροχοι νέφους δεν μπορούν να παρέχουν άπειρες διατάξεις και ελαστικότητα εφοδίων, γι αυτό και θα φροντίσουν να προσφέρουν δομημένες εναλλακτικές λύσεις. Μπορούν να προσφέρουν επιλογή μεταξύ διαφόρων υπολογιστικών και αποθηκευτικών διατάξεων πόρων, διαφορετικών ικανοτήτων και κόστους και ο πελάτης του νέφους θα πρέπει να ρυθμίσει τις απαιτήσεις του για να προσαρμοστεί σε αυτά τα μοντέλα. Η προσαρμοστικότητα επιτυγχάνεται μέσω της διαθεσιμότητας πολλαπλών πλεοναστικών πόρων και τοποθεσιών. Καθώς η αυτόματη επεξεργασία γίνεται πιο ώριμη, μηχανισμοί αυτόδιαχείρισης και αυτό-αποκατάστασης εγγυώνται την αυξημένη αξιοπιστία και την ευρωστία των πόρων του νέφους. Επίσης, η ανάνηψη από καταστροφές και ο σχεδιασμός συνέχειας λειτουργίας των εργασιών είναι εγγενείς στην χρήση της πλατφόρμας επεξεργασίας σύννεφου των παρόχων. Μειωμένα Κόστη Το παράδειγμα του νέφους γενικά, αποτελεί βάση για οικονομίες στα κόστη λόγω του ότι δυνατότητες και πόροι μπορούν να πληρωθούν κλιμακωτά χωρίς την ανάγκη μεγάλων επενδύσεων σε υποδομή υπολογιστών. Επομένως, τα κόστη κεφαλαίου μειώνονται και αντικαθίστανται από διαχειριζόμενα, κλιμακωτά λειτουργικά έξοδα. Ένας άλλος παράγοντας που πρέπει να ληφθεί υπ όψη στην επιλογή του νέφους, είναι ότι τα κόστη οργανωτικής υποστήριξης και συντήρησης μειώνονται σημαντικά, διότι αυτά τα έξοδα μεταφέρονται στον πάροχο του νέφους, συμπεριλαμβανομένης και της υποστήριξης 24 ώρες το εικοσιτετράωρο 7 ημέρες την εβδομάδα. Μειώνεται επίσης και η ανάγκη για υψηλής κατάρτισης και ακριβό προσωπικό ΙΤ. Οι πόροι χρησιμοποιούνται πιο αποτελεσματικά στο υπολογιστικό νέφος με αποτέλεσμα σημαντική οικονομία σε κόστη υποστήριξης και ενέργειας. Γενικά, το υπολογιστικό νέφος προσφέρει μειώσεις στην διαχείριση του συστήματος, στα έξοδα εφοδίων, έξοδα ενέργειας, άδειες χρήσης λογισμικού και κόστος εξοπλισμού. Συγκέντρωση της Αποθήκευσης Δεδομένων Το νέφος προσφέρει μεγαλύτερους πόρους αποθήκευσης δεδομένων από ότι είναι συνήθως διαθέσιμοι σε τοπικά, εταιρικά συστήματα υπολογιστών. Επιπλέον οι πόροι αποθήκευσης δεδομένων στο νέφος μπορούν να μειωθούν ή να αυξηθούν κατά βούληση με αντίστοιχη ρύθμιση του κόστους. Επίσης, προστασίες δεδομένων εφαρμόζονται και παρακολουθούνται ευκολότερα σε ένα κεντρικό σύστημα παρά σε μεγάλο αριθμό από πλατφόρμες υπολογιστών που μπορεί να είναι ευρέως διασκορπισμένες γεωγραφικά σε διάφορα μέρη του οργανισμού. 80

81 Πολλά κέντρα δεδομένων είναι ένα συνονθύλευμα παλαιών εφαρμογών, λειτουργικών συστημάτων, εξοπλισμού και λογισμικού και αποτελούν εφιάλτη υποστήριξης και συντήρησης. Αυτή η συνθήκη απαιτεί περισσότερο προσωπικό συντήρησης, αυξημένο κόστος λόγο της ανυπαρξίας τυποποίησης και μεγαλύτερο κίνδυνο να πέσει το σύστημα. Μειωμένος Χρόνος Εφαρμογής Σε ένα ανταγωνιστικό περιβάλλον όπου η γρήγορη αξιολόγηση και ανάπτυξη νέων προσεγγίσεων είναι κρίσιμη, το νέφος προσφέρει τις συνθήκες να χρησιμοποιηθούν πανίσχυροι υπολογιστικοί πόροι σε σύντομο χρονικό διάστημα καθώς και μεγάλες ποσότητες από αποθήκευση χωρίς να απαιτείται σημαντική αρχική επένδυση σε εξοπλισμό, λογισμικό και προσωπικό. Η βελτιωμένη παράδοση υπηρεσιών που λαμβάνεται από την γρήγορη τροφοδότηση του νέφους βελτιώνει το χρόνο στην αγορά και την ανάπτυξη της αγοράς. Δυνατότητα κλιμάκωσης Το υπολογιστικό νέφος παρέχει τα μέσα, εντός ορίων, σε ένα πελάτη να φροντίσει γρήγορα για υπολογιστικούς πόρους για να αντιμετωπίσει αυξήσεις ή μειώσεις στη ζήτηση. Σε πολλές περιπτώσεις, οι οργανισμοί απαιτούν μεγάλης περιεκτικότητας αποθηκευτική ικανότητα για κρίσιμα δεδομένα και αυτή η ανάγκη μπορεί να ικανοποιηθεί από τον πάροχο του νέφους. Αυτή η προσέγγιση παρέχει μία εναλλακτική λύση στα αναποδοτικά συστήματα εντός του οργανισμού που πρέπει να είναι σχεδιασμένα για φορτία αιχμής αλλά να λειτουργούν μόνο στη μερική τους δυνατότητα τον περισσότερο χρόνο. Η δυνατότητα κλιμάκωσης του νέφους επιτρέπει απομακρυσμένη βελτιστοποίηση έτσι ώστε οι υπολογιστικοί πόροι να οργανώνονται για μεγιστοποίηση του οφέλους -προς-κόστος. Επειδή ο πάροχος του νέφους λειτουργεί με βάση το μοντέλο χρήσης, ο οργανισμός πελάτης πληρώνει μόνο για τους πόρους που χρησιμοποιεί όταν τους χρειάζεται. [26] Κινητικότητα Πολλοί χρήστες μεταβαίνουν με πολύ γρήγορο ρυθμό από τους συμβατικούς υπολογιστές σε ultrabook, ταμπλέτες και smartphones. Το υπολογιστικό νέφος κάνει αυτή τη μετάβαση πιο ομαλή, παρέχοντας μια εύρωστη συλλογή απο επιλογές για πρόσβαση σε δεδομένα από αυτές τις συσκευές. 81

82 4. Τερματικές συσκευές με έμφαση στην φορητότητα. Mobile computing (Κινητός Υπολογισμός) Ο κινητός υπολογισμός γίνεται ολοένα και πιο σημαντικός εξαιτίας της αύξησης του αριθμού των φορητών υπολογιστών και της επιθυμίας για συνεχή σύνδεση-πρόσβαση στο Διαδίκτυο ανεξαρτήτως της φυσικής τοποθεσίας του κόμβου. Έχει γρήγορα γίνει ένα σημαντικό νέο παράδειγμα στον σημερινό κόσμο των πληροφοριακών συστημάτων σε δίκτυο. Από φορητούς υπολογιστές με ασύρματη σύνδεση μέχρι κινητά τηλέφωνα και από ταμπλέτες (που υποστηρίζουν τεχνολογίες Wi-Fi/Bluetooth) έως ασύρματα δίκτυα αισθητήρων, ο κινητός υπολογισμός είναι πανταχού παρών όσον αφορά το αντίκτυπο που έχει στην καθημερινή μας ζωή. Σκοπός μας στις παρακάτω ενότητες είναι να επισημάνουμε κάποιους από τους περιορισμούς, τα χαρακτηριστικά, τα πλεονέκτημα, τις εφαρμογές και τα θέματα που δημιουργούνται από τον κινητό υπολογισμό. 4.1 Τι είναι Κινητός υπολογισμός. Ο όρος Κινητός Υπολογισμός χρησιμοποιείται για να περιγράψει την χρήση τερματικών συσκευών οι οποίες συνήθως αλληλεπιδρούν, με κάποιον τρόπο, με ένα κεντρικό πληροφοριακό σύστημα ενώ βρίσκονται μακριά από τον προκαθορισμένο και σταθερό σταθμό εργασίας. Η τεχνολογία του κινητού υπολογισμού επιτρέπει στον κινούμενο χρήστη να δημιουργήσει, αποκτήσει πρόσβαση, αποθηκεύσει και ανταλλάξει πληροφορίες χωρίς τον περιορισμό να βρίσκεται σε ένα σταθερό σημείο. Επεκτείνοντας την προσβασιμότητα σε ένα σταθερό πληροφοριακό σύστημα ενός οργανισμού, ο κινητός υπολογισμός επιτρέπει την αλληλεπίδραση με το προσωπικό του εν λόγω οργανισμού το οποίο προηγουμένως ήταν εκτός σύνδεσης. Ο κινητός υπολογισμός αποτελεί τον τρόπο δημιουργίας μιας πλατφόρμας διαχείρισης πληροφοριών η οποία είναι απαλλαγμένη από χωροταξικούς και χρονικούς περιορισμούς. Η απαλλαγή από τους παραπάνω περιορισμούς, επιτρέπει στους χρήστες να έχουν πρόσβαση αλλά και να επεξεργαστούν την επιθυμητή πληροφορία από οπουδήποτε μέσα στο χώρο. Η κατάσταση του χρήστη, στατική ή κινητή, δεν επηρεάζει την ικανότητα διαχείρισης της πληροφορίας της κινητής πλατφόρμας η οποία περιορίζεται σε μία μοναδική τοποθεσία.[31] Στις πλατφόρμες κινητού υπολογισμού η πληροφορία μεταξύ των επεξεργαστών ρέει μέσω ασύρματων καναλιών. Οι επεξεργαστές (παράδειγμα πελάτη σε πελάτη/διακομιστή) είναι απαλλαγμένοι από χωροταξικούς και χρονικούς περιορισμούς. Επομένως, ένα επεξεργαστής (πελάτης) μπορεί να κινείται ελεύθερα στον χώρο κατά την σύνδεσή του στον διακομιστή. Η συγκεκριμένη ελευθερία χώρου και χρόνου παρέχει μια ισχυρή εγκατάσταση επιτρέποντας στους χρήστες να φτάσουν στην τοποθεσία (site) που βρίσκονται τα δεδομένα (χώρος αποθήκευσης επιθυμητών δεδομένων) και στην τοποθεσία επεξεργασίας (γεωγραφική τοποθεσία στην οποία εκτελείται μια επεξεργασία), από οπουδήποτε. Η δυνατότητα αυτή επιτρέπει στους οργανισμούς να εγκαθιστούν τα γραφεία τους σε οποιαδήποτε τοποθεσία. Οι 82

83 αρχές του κινητού υπολογισμού προέρχονται από τις Προσωπικές Υπηρεσίες Επικοινωνιών (PCS - Personal Communications Services). Το PCS αναφέρεται σε μία μεγάλη γκάμα υπηρεσιών ασύρματης πρόσβασης καθώς και προσωπικής κινητικότητας οι οποίες παρέχονται μέσω ενός μικρού τερματικού (πχ κινητό τηλέφωνο), με σκοπό την ενεργοποίηση επικοινωνίας ανά πάσα ώρα, σε οποιοδήποτε μέρος, με οποιαδήποτε μορφή. Οι συγκεκριμένες υπηρεσίας PCS, είναι συνδεδεμένες σε ένα δίκτυο τύπου PSTN (Public Switched Telephone Network) ώστε να δοθεί πρόσβαση σε ενσύρματα τηλέφωνα.[31] 4.2 Χαρακτηριστικά του Κινητού υπολογισμού Ο κινητός υπολογισμός επιτυγχάνεται συνδυάζοντας υλικό (hardware), λογισμικό συστήματος και πληροφοριών καθώς και κάποιο είδος επικοινωνιακού μέσου. Ανταγωνιστικές λύσεις κινητού υπολογισμού έχουν γίνει πρόσφατα εφικτές λόγω της διαθεσιμότητας ιδιαίτερα δυνατών και μικρού μεγέθους υπολογιστικών συσκευών, εξειδικευμένου λογισμικού αλλά και βελτιωμένων τεχνολογιών τηλεπικοινωνίας: Υλικό Τα χαρακτηριστικά του κινητού υπολογισμού προσδιορίζονται από τον παράγοντα μεγέθους και μορφής, το βάρος, τον μικροεπεξεργαστή, την κύρια μνήμη αποθήκευσης, την δευτερεύουσα, το μέγεθος οθόνης και τον τύπο αυτής, τον τρόπο τροφοδοσίας, την διάρκεια της μπαταρίας, τις ικανότητες επικοινωνίας, την επεκτασιμότητα και την αντοχή της συσκευής. Λογισμικό Οι κινητοί υπολογιστές χρησιμοποιούν μία ευρεία γκάμα λογισμικού συστήματος και εφαρμογών. Το πιο συνηθισμένο λογισμικό καθώς και λειτουργικά συστήματα που βρίσκεις κανείς στους κινητούς υπολογιστές είναι: το MSDOS, τα Windows XP/WIN7/WIN8, android, ios κτλ. Αυτά τα λειτουργικά συστήματα διαφέρουν σε δυνατότητες π.χ. από ένα μινιμαλιστικό γραφικά-ενισχυμένο και ενεργοποιούμενο μέσω γραφίδας περιβάλλον DOS μέχρι σε ένα γεμάτο από ισχυρές δυνατότητες περιβάλλον όπως αυτό τον Windows8. Κάθε λειτουργικό σύστημα/περιβάλλον διαθέτει κάποιου είδους ολοκληρωμένο περιβάλλον ανάπτυξης (IDE) προς μετέπειτα διαμόρφωση των εφαρμογών. Τα περισσότερα λειτουργικά συστήματα παρέχουν παραπάνω από μία επιλογή περιβάλλοντος ανάπτυξης για προσαρμοσμένη διαμόρφωση μιας εφαρμογής. Επικοινωνία Η ικανότητα ενός κινητού υπολογιστή να επικοινωνεί με κάποιον τρόπο με ένα σταθερό σύστημα πληροφοριών είναι ένα χαρακτηριστικό που ορίζει τον κινητό υπολογισμό. Ο τύπος και η διαθεσιμότητα του μέσου επικοινωνίας έχει καθοριστικό αντίκτυπο στον τύπο της εφαρμογής κινητού υπολογισμού που δύναται να δημιουργηθεί. Ο τρόπος με τον οποίο με συσκευή κινητού υπολογισμού επικοινωνεί με ένα σταθερό σύστημα πληροφοριών κατηγοριοποιείται ως εξής: (α) συνδεδεμένο (β) ασθενώς συνδεδεμένο (γ) batch και (δ) αποσυνδεδεμένο. Η κατηγορία σύνδεσης συνεπάγεται μία σταθερά διαθέσιμη και γρήγορη σύνδεση. Η ικανότητα διαρκούς επικοινωνίας, αλλά σε χαμηλές ταχύτητες, επιτρέπει 83

84 στους κινητούς υπολογιστές ασθενή σύνδεση με το σταθερό σύστημα πληροφοριών. Η κατάσταση batch δηλώνει πως ο κινητός υπολογιστής δεν είναι διαρκώς διαθέσιμος για επικοινωνία με το σταθερό σύστημα πληροφοριών. Στην κατάσταση batch η επικοινωνία θεσπίζεται σπάνια ή περιοδικά για ανταλλαγή και ενημέρωση της πληροφορίας ανάμεσα στον κινητό υπολογιστή και στα σταθερά συστήματα πληροφοριών. Οι κινητοί υπολογιστές μπορούν να λειτουργούν σε κατάσταση batch σε εκείνα τα μέσα επικοινωνίας που δύνανται να δουλεύουν διαρκώς, μειώνοντας τον χρόνο ασύρματης εκπομπής και το σχετικό κόστος αυτής. Οι αποσυνδεδεμένοι κινητοί υπολογιστές επιτρέπουν στους χρήστες να βελτιώσουν την απόδοση κάνοντας υπολογισμούς, αποθηκεύοντας πληροφορίες επαφών, κρατώντας ατομικό πρόγραμμα καθώς και άλλες εργασίες που δεν σχετίζονται με την επικοινωνία. Η συγκεκριμένη μορφή λειτουργίας είναι χαμηλής σημασίας λόγω του ότι η κινητή συσκευή αδυνατεί να διαδράσει ηλεκτρονικά και να ανταλλάξει πληροφορία με το σταθερό σύστημα πληροφοριών. Η παραπάνω μορφή ανταλλαγής πληροφορίας δεν είναι αποδοτικότερη από την χρήση απλού χαρτιού επομένως δεν υφίσταται από την στιγμή που εικονικά όλα τα σύγχρονα είδη κινητού υπολογισμού έχουν τη δυνατότητα κάποιας μορφής μητρικής επικοινωνίας των ηλεκτρονικών δεδομένων.[32] Η επικοινωνία δεδομένων είναι η ανταλλαγή δεδομένων κάνοντας χρήση υπαρχόντων δικτύων επικοινωνίας. Ο όρος δεδομένα καλύπτει ένα μεγάλο φάσμα εφαρμογών όπως η μεταφορά αρχείων, η διασύνδεση μεταξύ δικτύων Wide-Area-Networks (WAN), το fax, το ηλεκτρονικό ταχυδρομείο, η πρόσβαση στο διαδίκτυο και τον παγκόσμιο ιστό (WWW). Σήμερα υπάρχουν πολλές διαθέσιμες τεχνολογίες επικοινωνίας που επιτρέπουν στους κινητούς υπολογιστές να επικοινωνούν. Οι πιο συνηθισμένες από αυτές είναι: (α) Τοπικά ασύρματα δίκτυα (WLANs) (β) Δορυφόροι (γ) Πακέτα ψηφιακών δεδομένων κινητής (CDPD) (δ) Προσωπικά συστήματα επικοινωνίας (PCS) (ε) Παγκόσμιο σύστημα επικοινωνιών κινητής (GSM) (στ ) τα δίκτυα δεδομένων RAM και ARDIS (η) η υπηρεσία εξειδικευμένου ραδιοφώνου κινητής (SMR service) (θ) μονόδρομη και αμφίδρομη τηλεειδοποίηση (i) το απλό παλαιό τηλεφωνικό σύστημα (POTS) (κ) το Διαδίκτυο (λ) οι υπέρυθρες (μ) η σύνδεση/δέσιμο (π.χ. σειριακή, παράλληλη, τοπικού δικτύου LAN) και (ν) ανταλλαγής δίσκου.[31] 4.3 Δουλεύοντας διαδικτυακές υπηρεσίες με φορητές συσκευές. Οι κινητές συσκευές καταναλώνουν περισσότερη δικτυακή κίνηση κατά την χρήση υπηρεσιών διαδικτύου συγκριτικά με τα συστήματα σταθερής γραμμής. Οι περισσότεροι άνθρωποι διαπιστώνουν πως χρόνο με το χρόνο η χρήση τους όσον αφορά τις υπηρεσίες Διαδικτύου, αυξάνεται δραματικά. Το Διαδίκτυο γίνεται πλέον μία πηγή με πλούσιο περιεχόμενο για τις κινητές συσκευές. Οι τελευταίες παρουσιάζουν κάποιες προκλήσεις για τις υπηρεσίες Διαδικτύου. Συγκεκριμένα, τα χαρακτηριστικά τους δεν ταιριάζουν με την ανάλυση και την λεπτομέρεια των σταθερών υπολογιστών. Για τον λόγο αυτό, πολλά πρωτόκολλα υπηρεσιών επιστρατεύονται ώστε να προσφέρουν την κατάλληλη μετάφραση που χρειάζεται προκειμένου οι ιστοσελίδες να εμφανίζονται όμορφα σε μία κινητή συσκευή. Μία συσκευή, για να 84

85 χρησιμοποιήσει μια υπηρεσία Διαδικτύου, χρειάζεται να γνωρίζει την εν λόγω υπηρεσία αλλά και πως θα έχει πρόσβαση σε αυτήν. Οι κινητές συσκευές μπορούν να εκπέμψουν συγκεκριμένη πληροφορία σχετικά με την κατάσταση της συσκευής και τον χρήστη της. Αυτή η πληροφορία, όταν διασπαστεί σωστά και αναλυθεί λογικά, μπορεί να χρησιμοποιηθεί προς δημιουργία υπηρεσιών επίγνωσης πλαισίου. Οι κατά τόπους υπηρεσίες αποτελούν ένα κύριο παράδειγμα του χαρακτηριστικού αυτού γνωρίσματος.[21] Κατανόηση των τύπων υπηρεσίας Στις υπηρεσίες κινητού Διαδικτύου η πληροφορία μεταφέρεται μεταξύ των εφαρμογών (ειδικότερα στην περίπτωση ενός προγράμματος περιήγησης-browser) και των υπηρεσιών πάνω σε μία σύνδεση Διαδικτύου. Τα πρώτα κινητά τηλέφωνα εξαρτιόνταν από τις μητρικές εφαρμογές για την πλειοψηφία των βελτιώσεών τους. Οι υπηρεσίες Web έχουν ευκολύνει αλλά και δυναμώσει την ανάπτυξη Web εφαρμογών και έτσι αυτού του είδους οι εφαρμογές αντικαθιστούν σταθερά τις μητρικές εφαρμογές οι οποίες συνήθως είναι ιδιόκτητες και συγκεκριμένης πλατφόρμας. Η τάση να συμπεριλαμβάνονται όλων των ειδών αισθητήρες στις κινητές συσκευές, καθιστά το κινητό Διαδίκτυο μία πραγματικά πλούσια υπηρεσία Κινητή διαλειτουργικότητα Στην σημερινή αγορά, το κινητό Διαδίκτυο χωρίζεται σε πολλά διαφορετικά και ανταγωνιστικά λειτουργικά συστήματα αλλά και ιδιόκτητα υλικά (hardware). Αυτό δεν πρόκειται να αλλάξει σύντομα, και η αγορά πιθανώς να υποστηρίζει πλήθος προϊόντων για πολλά χρόνια ακόμα. Είναι γεγονός πως η προσέγγιση της Apple με τα κλειστά προϊόντα ios, όπως το iphone, το itouch και το ipad, τείνει να καθιστά τα προϊόντα αυτά ως πιο αξιόπιστα και επειδή είναι πιο προβλέψιμα, η χρήση τους είναι ευκολότερη. Για τέτοιου είδους οφέλη, ανταλλάσεις κάποιο μέρος από την ευελιξία. Η έλλειψη επεκτάσιμου αποθηκευτικού μέσου στις συσκευές αυτές αποτελεί κλασικό παράδειγμα σχέσης-κλειδώματος με τον προμηθευτή. Υπάρχουν εναλλακτικά ανοικτά συστήματα για συστήματα όπως το ios ή τα windows mobile ή το λειτουργικό BlackBerry. Τα δύο καλύτερα παραδείγματα είναι το Android OS και το Symbian OS. Το λογισμικό αλλά και υλικό των ανοικτών-συστημάτων τείνει να εξελίσσεται γρηγορότερα από τα ιδιόκτητα συστήματα λόγω περισσότερων εμπλεκομένων και μεγαλύτερης ανασκόπησης της συνολικής δουλειάς. Επίσης μεγάλη έμφαση δίνεται στην διαλειτουργικότητα των ανοικτών-συστημάτων. Μία προσπάθεια ώστε οι κινητές συσκευές να γίνουν πιο διαλειτουργικές ανήκει στην πρωτοβουλία W3C Mobile Web (http://www.w3.org/mobile). Η συγκεκριμένη προσπάθεια αναζήτησε τον τρόπο ώστε η περιήγηση στο Διαδίκτυο από κινητές συσκευές να γίνει πιο αξιόπιστη, θέτοντας κάποια πρότυπα τα οποία οι σχεδιαστές ιστοσελίδων θα μπορούσαν να χρησιμοποιήσουν στις σελίδες τους ώστε να γίνουν πιο φιλικές στους χρήστες κινητών συσκευών. Το πρόβλημα με την βελτιστοποίηση μίας σελίδας (που θα διαβαστεί από κινητή συσκευή) είναι ότι υπάρχουν πολλές τέτοιες συσκευές και η υποστήριξη όλων αυτών καθίσταται αδύνατη. Αυτοί οι παράγοντες, ανάμεσα σε άλλους, δίνονται παρακάτω: 85

86 Διάφορα μεγέθη οθόνης και αναλύσεις Χαμηλή μετάδοση κατά την σύνδεση και περιορισμένη ταχύτητα στη απόδοση γραφικών της συσκευής (κάτι που με τον καιρό βελτιώνεται) Διαφορετικοί μέθοδοι περιήγησης μέσα στην πλατφόρμα Περιορισμένη χρήση παραθύρων και έλλειψη σημείων ελέγχου ενός βασικού περιβάλλοντος γραφικών. Εξαίρεση συγκεκριμένων τύπων αρχείων όπως PDF, μηχανές απόδοσης γραφικών όπως το Adobe Flash, και cookies. Περιορισμοί μεγέθους μηνύματος. Ακαθόριστο και συνήθως βαρύ κόστος μετάδοσης. Οι προμηθευτές προσεγγίζουν το πρόβλημα της διαλειτουργικότητας με διάφορους τρόπους. Ένας κοινός τρόπος είναι η δημιουργία διαφορετικών σελίδων μέσα στην ίδια την ιστοσελίδα για κάθε μία από τις συσκευές. Το περιεχόμενο εμφανίζεται στην συσκευή ανάλογα με την ταυτότητα της συσκευής αλλά και την διαπραγμάτευση του περιεχομένου. Με την αύξηση των εφαρμογών για έξυπνα κινητά τηλέφωνα, πολλοί οργανισμοί δημιουργούν εικονίδια εφαρμογών στις σελίδες τους. Μια προσέγγιση βελτίωσης της διαλειτουργικότητας παρουσιάστηκε από το Mobile Web Initiative's Device Description Working Group (http://www.w3.org/2005/mwi/ddwg/) το οποίο δημιούργησε μια βάση δεδομένων με χαρακτηριστικά συσκευής, ονομαζόμενη Device Description Repository (αποθήκη περιγραφής της συσκευής). Η εν λόγω αποθήκη μπορούσε να χρησιμοποιηθεί σε συνεννόηση μία μνήμη DDR Simple API ώστε να προσαρμόσουν το περιεχόμενο έτσι ώστε το μέγεθος της οθόνης, η γλώσσα και η υποστήριξη του τύπου απεικόνισης να παραδοθούν στην συσκευή με ορθό τρόπο. Μία άλλη προσπάθεια που στοχεύει στην προώθηση προτύπων για κινητά δίκτυα είναι η ανοικτή πλατφόρμα (Open Terminal Platform OMTP; Η ομάδα αυτή ήταν μία βιομηχανική ένωση που σχηματίστηκε το 2004 από διάφορους κατασκευαστές κινητών, συμπεριλαμβανομένων των Huawei, LG Electronics, Motorola, Nokia, Samsung και Sony Ericsson. Τη 1 η Ιουλίου του 2010, η OMTP αποτέλεσε κομμάτι της Wholesale Applications Community (WAC; μία ομάδα που υπάρχει για να προωθεί την αγορά για κινητές εφαρμογές. Η OMTP εργάστηκε σε πολλούς τομείς, όπως η δημιουργία διεθνών προτύπων φόρτισης για συσκευές micro-usb, ασφάλεια κινητών, μετρήσεις θέσεως, διαχείριση συσκευών, και τυποποιημένων διεπαφών προγραμματισμού εφαρμογών (Application Programming Interfaces (APIs)). Κατέχουν μία πρωτοβουλία που ονομάζεται BONDI API (http://bondi.omtp.org/) και βασίζεται σε ένα σύνολο από JavaScript APIs και ένα πλαίσιο ασφαλείς βασισμένο σε XACML για την δημιουργία κινητών διεπαφών και υποσυστημάτων.[21] 86

87 4.3.3 Ανακάλυψη Υπηρεσιών Οι υπηρεσίες Web είναι χρήσιμες μόνο εάν μπορούν να ανακαλυφθούν από κινητές συσκευές και να γίνουν προσβάσιμες από τις συσκευές αυτές μέσω αμοιβαία υποστηριζόμενων πρωτοκόλλων. Εάν τα πρωτόκολλα είναι πρότυπα και ανοικτά, οι πιθανότητες για ανταλλαγή πληροφορίας, αυξάνονται. Οι υπηρεσίες Web αποτελούν μία μορφή δημοσίευσης: σε μερικές περιπτώσεις περιλαμβάνουν ανταλλαγή μηνυμάτων ενώ σε άλλες χρησιμοποιούν ένα μεταφορέα τύπου δημοσίευσης/εγγραφής και σε άλλες περιπτώσεις αναμεταδίδονται. Η φύση του πρωτοκόλλου υποστηρίζει τον απαιτούμενο μηχανισμό για μεταφορά δεδομένων. Ένα πρότυπο που χρησιμοποιείται για δημοσίευση μια υπηρεσίας Web η οποία χρησιμοποιείται στο υπολογιστικό νέφος και συμβάλει στην προσανατολισμένη προς τις υπηρεσίες αρχιτεκτονική (Service Oriented Architecture SOA) είναι η περιγραφική γλώσσα υπηρεσιών Web (Web Service Description Language -WSDL). Στην WSDL, η υπηρεσία περιγράφεται (σε όρους) από μία διεπαφή ή καταληκτικό σημείο (endpoint) το οποίο και είναι προσβάσιμο έτσι ώστε να αποσταλεί αλλά και να παραληφθεί πληροφορία από και προς την υπηρεσία. Υπάρχουν διάφοροι μηχανισμοί για συνάθροιση των εγγράφων WSDL σε μια μορφή με δυνατότητα αναζήτησης. Η υπηρεσία UDDI (Universal Description, Discovery, and Integration - είναι μια ανοικτή εγγραφή εφαρμογών για επιχειρήσεις. Η UDDI είναι ένα πρότυπο OASIS (Organization for the Advancement of Structured Information Standards) που μπορεί να αναζητηθεί και είναι σε μορφή XML. Τα έγγραφα που αποθηκεύονται στην UDDI είναι σύμφωνα με τη μορφή WSIL (Web Service Inspection Language), η οποία καθιστά την πληροφορία κατάλληλη προς αναζήτηση. Η UDDI δημοσιεύει πληροφορίες στις ακόλουθες μορφές: Λευκές σελίδες με πληροφορία ταυτοποίησης Κίτρινες σελίδες με βιομηχανική κατηγοριοποίηση βασιζόμενη στα πρότυπα ή τις ταξινομήσεις Πράσινες σελίδες που επισημαίνουν τα σημεία-σήμανσης-τέλους μιας υπηρεσίας Η υπηρεσία WS-Discovery προσφέρει τα μέσα για υπηρεσίες διαφήμισης σε μικρά δίκτυα χρησιμοποιώντας ένα πολλαπλής-διανομής πρωτόκολλο. Συνήθως η υπηρεσία αυτή παραδίδεται χρησιμοποιώντας SOAP πάνω σε UDP (User Datagram Protocol). Η WS-Discovery είναι ένα OASIS πρότυπο, και χρησιμοποιείται ως μέρος της ανακάλυψης του δικτύου στα Windows (WSDAPI), στο προφίλ της συσκευής για υπηρεσίες Web (DPWS) και στις τεχνολογίες Windows Rally. Η Microsoft κάνει χρήση του Windows Rally ώστε να εφοδιάσει δικτυακούς κόμβους όπως υπολογιστές, σημεία πρόσβασης, εκτυπωτές, άλλες συσκευές που είναι συνδεδεμένες σε δίκτυο. Η ebxml,(electronic Business using extensible Markup Language) είναι ένα από κοινού πρότυπο OASIS και UN/CEFACT και στόχος του είναι η δημιουργία μίας παγκόσμιας εγγραφής 87

88 υπηρεσιών για επιχειρήσεις, με δυνατότητα αναζήτησης. Το συγκεκριμένο πρότυπο διατηρείται από την πρωτοβουλία freebxm (http://www.freebxml.org/).[21] Υπηρεσίες επίγνωσης πλαισίου Καθώς ο κινητός υπολογισμός αναπτύσσεται, κάθε κινητή συσκευή περιέχει και επιπλέον είναι σε θέση να μεταδίδει ένα μεγάλο όγκο πληροφοριών σχετικά με την κατάσταση της συσκευής αλλά και του φέροντος χρήστη. Όταν η πληροφορία αυτή αναλυθεί κατάλληλα, μπορεί να παρέχει προς τα ευφυή συστήματα στοιχεία όχι μόνο για την ταυτοποίηση του χρήστη, αλλά και το πλαίσιο στο οποίο βρίσκεται ο χρήστης. Η τοποθεσία είναι το κύριο παράδειγμα του πλαισίου. Όταν π.χ. ψάχνουμε για κάτι σε κοντινή απόσταση από εμάς, η μηχανή αναζήτησης επιστρέφει αποτελέσματα τα οποία βασίζονται στην καθαυτό τοποθεσία και επομένως έχουν ένα πλαίσιο. Κατά την εκπομπή ενός τηλεφώνου το GPS του, έχει συντεταγμένες προς μία υπηρεσία, η οποία και είναι ικανή να συγκρίνει την τοποθεσία του πελάτη προς την καταχωρημένη διεύθυνση οικίας του ή εργασίας του και στη συνέχεια να αποστείλει πληροφορία κατάλληλη για κάθε περιβάλλον πίσω στον χρήστη. Ή πιο συγκεκριμένα, εάν ένα τηλέφωνο μεταδίδει τη θέση του σε μια υπηρεσία (όπως για παράδειγμα ένα κτίριο ή ένα δωμάτιο), η υπηρεσία μπορεί με την σειρά της να εμφανίσει ένα χάρτη απεικονίζοντας τις πλησιέστερες τουαλέτες ή που βρίσκονται οι διακόπτες για τα φώτα, ή μπορεί να δώσει οδηγίες για το πως χρησιμοποιείται ο πίνακας ελέγχου του δωματίου (overhead display). Φαίνεται λοιπόν πόσο πολύτιμη και χρήσιμη είναι η συγκεκριμένη και προσαρμοσμένη αυτή πληροφορία. Όταν μία χρήστης κινητού συνδέεται στην υπηρεσία κινητής, ανταλλάσει δύο διαφορετικά σύνολα (πλαίσια) πληροφοριών: Φυσικό πλαίσιο: Η πληροφορία απορρέει από μετρήσεις που έγιναν από την κινητή συσκευή ή τους αισθητήρες αυτής Λογικό πλαίσιο: Η πληροφορία απορρέει από τον χρήστη ή από τον τρόπο με τον οποίο ο χρήστης έχει διαδράσει με τις υπηρεσίες κατά καιρούς Για παράδειγμα, για να δείξουμε την διαφορά μεταξύ των δύο, η συμβολοσειρά ταυτοποίησης (barcode) που σχετίζεται με την κάρτα SIM του κινητού σας τηλεφώνου αποτελεί φυσικό χαρακτηριστικό, και οι κωδικοί πρόσβασης στην υπηρεσία αλλά και στο ίδιο το κινητό τηλέφωνο είναι λογικά χαρακτηριστικά. Το φυσικό πλαίσιο δίνει την θέση, τις περιβάλλουσες της συσκευής συνθήκες, την κατάσταση της συσκευής και άλλα. Το λογικό πλαίσιο είναι πληροφορίες σχετικά με τον σκοπό που υπηρετεί μία θέση, μία ψηφιακή ταυτότητα και τα συναφή χαρακτηριστικά της, σχέσεις, ενδιαφέροντα, προηγούμενες αναζητήσεις, επισκεπτόμενες κατά το παρελθόν ιστοσελίδες, προνόμια και προτιμήσεις. Μία SOA (αρχιτεκτονική προσανατολισμένη προς τις υπηρεσίες) παρέχει ένα σύνολο μεθόδων προς σύνθεση ενοτήτων ώστε από απλά μέρη να φτιαχτούν ελαφρώς-συνδεδεμένα σύνθετα 88

89 συστήματα. Από την όλη τοποθέτηση, μπορείτε να ανακαλέσετε ότι η ουσία μίας αρχιτεκτονικής SOA είναι πως η μέθοδος κατασκευής των ενοτήτων αφαιρείτε από το σύστημα και ενθυλακώνεται, και αυτό που η SOA απαιτεί είναι μια καθορισμένη μέθοδος που θα εκθέτει τις υπηρεσίες που παρέχει μία ενότητα ως μία κανονική διεπαφή που εκθέτει ένα API. Οι μέθοδοι του API παραμένουν αμετάβλητες, ακόμα και όταν η ενότητα μετακινείται, επανασχεδιάζεται, ή εντάσσεται σε μία άλλη ενότητα. Η SOA απαιτεί ένα πρότυπο πρωτόκολλο ανταλλαγής μηνυμάτων και μια μορφή συστήματος ομόσπονδης βάσης δεδομένων. Σε μία υπηρεσία Web, ο κινητός πελάτης παίζει τον ρόλο του καταναλωτή μίας υπηρεσίας και η υπηρεσία Web αποτελεί τον πάροχο υπηρεσιών. Ένα τέτοιου είδους σύστημα μπορεί να παρέχει ένα κατά πολύ πλουσιότερο περιβάλλον το οποίο θα ανταποκρίνεται στις αιτήσεις και θα επιτρέπει και στους πάροχους υπηρεσίας αλλά και στους πάροχους περιεχομένου είτε να εκπέμπουν σε συγκεκριμένο εύρος ή να ράβουν την πληροφορία για έναν συγκεκριμένο χρήστη βασιζόμενο στο τρέχον περιεχόμενό του. Ο επεξεργαστής λογικού πλαισίου παίζει τον ρόλο του ενορχηστρωτή παρέχοντας προγραμματισμένη λογική η οποία λειτουργεί με αναλυμένα από τον Αναλυτή Πλαισίου δεδομένα. Ο Αναλυτής Πλαισίου παίρνει όλα τα δεδομένα εισόδου (σε πολλές περιπτώσεις ψηφιακά σήματα) και εφαρμόζει ένα λογικό χρονοδιάγραμμα ώστε να δημιουργηθούν τα απαιτούμενα δομημένα αντικείμενα προς χρήση του Λογικού Επεξεργαστή. Η υποδομή αυτή μπορεί να τοποθετηθεί μέσα σε ένα νέφος. Ο λόγος για την δημιουργία μια δομημένης απεικόνισης των εννοιών και της σχέσεως αυτών σε πεδίο, συχνά ονομάζεται οντολογία. Η οντολογία είναι ένας επίσημος τρόπος καθορισμού ενός πακέτου που αντλείται από κοινού. Οι οντολογίες χρησιμοποιούνται σε όλα τα πεδία της επιστήμης των υπολογιστών και αποτελούν την καρδιά των προσπαθειών στη δημιουργία σημασιολογικού ιστού, στην τεχνητή νοημοσύνη, στο σχήμα κατηγοριοποίησης μιας βιβλιοθήκης, κοκ. Η συγκεκριμένη οντολογία που εφαρμόζεται σε μία SOA κινητού υπολογισμού είναι η OWL (Web Ontology Language η επίσημη σημασιολογία καθώς και η σειριοποίηση Resource Data Framework (RDF/XML; βρίσκονται υπό τρέχουσα κατασκευή.[21] Μίκρο Ηλεκτρομηχανικά συστήματα Με τον όρο MEMS (Microelectromechanical systems) εννοούμε τα μικρο-ηλεκτρομηχανικά συστήματα και αποτελούν μία τάξη πολύ μικρών αισθητήρων ή συσκευών ενεργοποίησης όπου μικρά μηχανικά συστήματα οδηγούνται μέσω ηλεκτρισμού - στην υποδήλωση μίας θέσεως. Τα MEMS, αναφορικά με το μέγεθος, μπορούν να είναι από 1 έως 1000 μm και συσκευάζονται σε εξαρτήματα που συνήθως περιλαμβάνουν έναν μικροεπεξεργαστή, μία μνήμη καθώς και άλλα εξαρτήματα. Αρκετά MEMS βρίσκονται στα έξυπνα κινητά τηλέφωνα και το πλήθος αλλά και η πολυπλοκότητα αυτών ολοένα και μεγαλώνει. Η ενσωμάτωση γεω-αισθητήρων χαμηλού κόστους υπό μορφή GPS τσιπ μέσα σε κινητές συσκευές, ανοίγουν στον χρήστη κινητών συσκευών ένα ολόκληρο φάσμα από υπηρεσίες, 89

90 βασισμένες στην τοποθεσία του πελάτη. Αυτού του τύπου η υπηρεσία, πολλές φορές αναφέρεται ως Υπηρεσία Επίγνωσης Πλαισίου, αλλά η τοποθεσία είναι απλώς ένα πλαίσιο που μπορεί να χρησιμοποιηθεί για την επεξεργασία των αιτημάτων του πελάτη και την επιστροφής σχετικής πληροφορίας σε αυτόν. Υπάρχουν πολλά ακόμα. Τα παρακάτω βρίσκονται στα κινητά τηλέφωνα τελευταίας τεχνολογίας: Επιταχυνσιόμετρο για μέτρηση αλλαγών της σχετικής κίνησης Γυροσκόπια Αισθητήρες απεικόνισης (σε μ&omicro