Вестник цифровой трансформации CIO.RU

Притяжение данных: облако или граничные вычисления?
Притяжение данных: облако или граничные вычисления?

В идеальной среде элементы обеспечения безопасности данных и управления будут последовательно применяться везде, где находятся данные, от ядра облака до множества периферийных устройств.


13:08 09.01.2020  |  Джеймс Кобьелус | 1802 просмотров



Платформа конфиденциальных вычислений, развиваемая в рамках Confidential Computing Consortium и претендующая на роль отраслевого стандарта, должна способствовать безопасной обработке данных как в центре, так и на периферии.

Современные приложения все активнее проникают в онлайн-экономику. Однако не совсем ясно, носит ли их движение центростремительный или центробежный характер – другими словами, тяготеют ли они к центру облака или к границам сети.

Приложения – в форме программного обеспечения, сервисов, рабочей нагрузки и бизнес-логики – движутся в целом в том же направлении, что и данные, которые они генерируют и используют. Кто-то считает, что в массе своей они перемещаются в центр облака, привлекаемые растущим объемом озер данных, а кто-то видит их рассеивание в виде мельчайших микросервисов по границам вслед за мобильными и встроенными устройствами, а также устройствами Интернета вещей.

Реально ли притяжение данных?

Мы живем в мире, где облако все сильнее смещается на периферию, но стрелка весов в любой момент может качнуться и в другом направлении. Для объяснения тех или иных тенденций развертывания приложений обозреватели любят обращаться к новому понятию «притяжения данных».

Предполагаемое гравитационное притяжение данных, по их мнению, основано на следующих принципах.

Производительность. По мере приближения приложений к данным задержки снижаются, а пропускная способность при выполнении функций, связанных с обработкой данных, увеличивается.

Контроль. Приближение приложений к данным помогает обеспечить безопасность и добиться более полного и детального контроля над использованием и обработкой данных.

Стоимость. В случае приближения приложений к данным дополнительная выгода извлекается за счет повышения эффективности хостинга и управления связанной с данными рабочей нагрузкой приложений.

Масштабируемость. При приближении приложений к данным их ценность возрастает вследствие упрощения доступа к большему объему и разнообразию данных в непосредственной близости от их местонахождения.

Функционал. Приближение приложений к данным дает возможность воспользоваться преимуществами специального анализа данных, их интеграции, манипуляций с ними и другого функционала, поддерживаемого базовым источником или репозитарием.

Притяжение данных и гиперконвергентная инфраструктура

Если притяжение данных реально, оно несомненно должно оказывать влияние на архитектуру облака и сред граничных вычислений (edge computing). Но не вполне ясно, можно ли здесь говорить о чистом влиянии притяжения данных.

Некоторые считают, что аппаратным катализатором притяжения данных является гиперконвергентная инфраструктура. Согласно этому аргументу, гравитационное притяжение данных приводит к усилению связей между хранилищем данных и ресурсами обработки приложений – вычислительными, памяти, сетевыми и виртуализации – в новом поколении популярных аппаратных решений в облачных ЦОДах.

Но, называя гиперконвергентную инфраструктуру фактором притяжения данных к облаку, они игнорируют то, что соответствующие аппаратные средства зачастую развертываются как раз в периферийных средах, а не в стойках облачных ЦОДов. Ослабление притяжения у границ объясняется скорее потребностью в непрерывном улучшении восприятия пользователей – улучшении мобильных средств, интерактивного взаимодействия и взаимодействия в реальном времени, а также потоковых технологий – а не каким-то магическим притяжением данных, хранящихся в этих узлах.

Применительно к гиперконвергентной инфраструктуре аргумент притяжения данных легко может быть использован и в обратном направлении. Вычислительные мощности, являющиеся обязательным условием для выполнения любых приложений, имеют свойство притягивать к себе и другие ресурсы, включая данные. А поскольку эти ресурсы находятся в гиперконвергентном шасси вместе с центральными и прочими процессорами, улучшения в части производительности приложений, управления, стоимости, масштабируемости и функционала так же легко могут притягивать данные к границам сети, как и к облаку.

Притяжение данных и конфиденциальные вычисления

Не имея возможности изолировать и защитить конфиденциальные данные, многие организации предпочитают просто не выпускать их за пределы своих сетей. Притяжение данных легко можно сместить к краям сети, если защитить их с помощью стандартизированного в рамках всех платформ, приложений и инструментов подхода.

Ключевым условием реализации такой инициативы является обеспечение безопасности за периметром. Процедуры аутентификации, выдачи разрешений, обеспечения конфиденциальности и выполнения других функций управления должны следовать за данными, где бы те ни находились. Узлам обработки нужен постоянный доступ к средствам безопасности, позволяющим организовать управление ресурсами данных в моменты их использования, хранения и перемещения.

Другим важным элементом является оборудование, обеспечивающее конфиденциальность и безопасность данных за периметром с помощью доверенных сред исполнения, интегрированных во все узлы как в облаке, так и на границах сети. Преимущества стандартизированных аппаратных ускорителей при решении конфиденциальных задач очевидны. Они хорошо подходят для управления паролями и ключами на уровне устройств, реализации блокчейна и электронных кошельков, приложений искусственного интеллекта и машинного обучения, обмена сообщениями и построения других программ, имеющих дело с конфиденциальными данными. Но для того чтобы воспользоваться преимуществами таких средств защиты, необходимо внести существенные изменения в инструменты разработки приложений.

Эта новая парадигма отражает фундаментальный сдвиг в выполнении вычислений на аппаратном уровне. Она позволяет обрабатывать зашифрованные данные в памяти на заданном узле, не открывая их неавторизованным программам и другим локальным ресурсам. Опыт использования сред AMD Secure Encrypted Virtualization, Intel Software Guard Extensions, Red Hat Enarx и Google Asylo Project показывает, что конфиденциальные вычислительные технологии должны изолировать важные данные приложений при их размещении в памяти.

Если отраслевой стандарт – вычислительный фреймворк, обеспечивающий конфиденциальность на аппаратном уровне, будет поддержан рынком, причины, заставляющие предприятия держать конфиденциальные данные на своей территории, в значительной мере исчезнут. Созданный недавно организацией Linux Foundation консорциум Confidential Computing Consortium я считаю шагом в правильном направлении. Группа, в состав которой в качестве спонсоров и участников входят Alibaba, Arm, Baidu, Google, IBM, Intel, Microsoft и целый ряд других компаний, разрабатывает общую межотраслевую платформу с открытым кодом, позволяющую любому приложению обращаться к загружаемым в оперативную память и используемым на постоянной основе функциям безопасности, четкое выполнение которых обеспечивается на любом узле.

Данные в невесомости

Для реализации конфиденциальных вычислений в полном объеме стандартная отраслевая платформа должна быть интегрирована в более широкую инфраструктуру за пределами периметра. В идеальной среде элементы обеспечения безопасности данных и управления будут последовательно применяться везде, где находятся данные, от ядра облака до множества периферийных устройств. Эти элементы управления обеспечат эффективность и масштабируемость при любом сценарии, включая использование, хранение и перемещение данных.

Сместит ли идеальная конфиденциальная вычислительная инфраструктура «притяжение» данных от ядра к краям? Не обязательно. Универсальная, стандартная и неизменно высокопроизводительная инфраструктура, поддерживающая все узлы в распределенной структуре, не должна оказывать чистого эффекта на распространение данных и на приложения, подпитываемые этими данными.


Теги: Стандарты Облачные сервисы Конфиденциальность Управление данными Linux Foundation Гиперконвергентные системы Граничные вычисления