分享

2014年再不加入OpenStack你就真OUT了！（下）

上篇：《一场没有硝烟的战争》文中讲到如今各家厂商已是纷争四起，主要是希望换个角度思考一下当前的OpenStack生态环境，文章发布之后未曾料到会得到这么多的关注，特别要感谢一下白小勇等几位好朋友的建议与反馈，谁让大家现在都如此的看好 OpenStack这块香饽饽了呢 :-)

下篇：《开放式创新》一文中将为大家整理一下OpenStack这三年来孕育的创新力量，以及它目前所面临的机遇与挑战。

开放式创新

“开放式创新”这个词最早应该是加州大学伯克利分校的Henry Chesbrough教授的《开放式创新：新的科技创造盈利方向》一书中所提到的，由于开源企业和周围环境之间的界限变得模糊，创新可以在公司以内和公司以外进行。OpenStack通过开放的社区直接把用户引入到这个创新的过程中来，这种以用户为中心的社会化研发方式越来越有优势（如果想了解以用户为中心的民主化的创新如何发挥作用不妨参考一下上篇提到的《民主化创新》一书）。
2013年12月18日，AWS正式宣布进入中国，无疑给云里雾里许久了的中国市场带来许多期望，大家都知道AWS真正的的影响力在于它已经成为美国互联网的创新之源，相比而言OpenStack又带来什么了呢？

首先正如OpenStack名字中所表达的，开放（Open）是这个项目核心的价值。这个成立之初仅有两个基础模块的OpenStack，如今已发展成为拥有9个核心子项目（Havana）一系列孵化项目的庞大开源组织。并且作为开源领域的后起之秀，它博采众长吸收了众多开源组织的优点，比如延用了 Ubuntu社区的发布模式，每六个月发布一个版本（与Ubuntu版本同步发行），借鉴了Apahce基金会和Linux基金会的运作模式，打造一个更加开放的OpenStack生态系统——OpenStack基金会，同时还为开发者提供更成熟和专业的社区管理工具，通过持续集成和基础设施项目为OpenStack开发进度和开发质量提供保障。也吸引到了众多开源领域的专家加入：如Nova项目里的Russell Bryant （Asterisk专家）、Oslo项目里的Mark McLoughlin （KVM、 GNOME、Linux kernel、Java专家）、TripleO & CI system 项目里的Monty Taylor （MySQL专家）等，还有厂商们的大力追捧：Top 3的服务器厂商（HP、DELL、IBM）、Top 3的Liunx发行版厂商（RedHat、Canonical、SUSE）、Top3的交换机厂商（Cisco、Juniper、Alcatel-Lucent）、Top3的存储厂商 （EMC、IBM、NetApp）等等，今年Orcale也刚刚加入这场变革。

社区的蓬勃发展，厂商的不断加入，成熟的社会化研发模式，精英团队的领导（但需不需要有一个灵魂人物也是大家争论的焦点之一），灵活的架构设计都使得OpenStack成为了最有活力的全球开源项目，这种开放也极大的激发了相关技术的创新。所以如果关注OpenStack只是看到大量优秀的代码和框架，不参与到这场令人兴奋的变革中去那你就损失大了，因循守旧就坐等淘汰吧！

OpenStack用户在哪里？

上篇也提到了中国用户对于OpenStack具有较高的认同度，并且已经纷纷开始尝试与实践。这些成功部署了OpenStack平台的企业大致可以分为两类：一类企业属于内部有较强的技术实力，对开源软件有着强烈的好感，他们下 载源码之后几乎可以通过DIY来解决自己问题的（不过这可不是下载几部电影那么简单，你真的要这样做吗？想好怎么升级了吗？谁来为你提供技术服务？）；另一类企业则选择了开源服务供应商，不管是OpenStack发行版还是各种OpenStack解决方案（请结合上篇的各个山头对号入座）。下面我就结合我个人所了解的情况来介绍一下国内OpenStack的用户发展情况，当然肯定会有遗漏或还未公布出来的信息，欢迎大家补充。

DIY用户

记得2011年初，我开始参与在国内推广和普及OpenStack时，国内也才刚刚开始了解OpenStack，很多企业都还在观望，包括之前我就职的一家国字头的Linux发行版厂商。既然项目不是咱们伟大的民族发起的，那咱就虚心学习呗~ 所以当时我们联合英特尔、广州电信研究院等几家单位，在上海市科委的支持下，邀请来了该项目的发起者RackSpace和Nebula（前NASA CTO创建的公司），以及Intel和Dell的海外研发团队来国内布道，共同组织了首届OpenStack上海峰会（后来由于和基金会的 OpenStack峰会在名称上容易混淆而改成用户组大会），国内也只有电信广研院和上海交大几个为数不多的机构和部门开始研究OpenStack。电信广研院后来做了一套开放云体系与OpenStack开放测试平台（OSTP：OpenStack Test Platform），上海交大的团队则对内提供了一套OpenStack运营平台，他们对于SDN网络虚拟化这块也有丰富的经验，另外还基于 OpenStack平台做过Syslog 分析方面的工作（大家有兴趣可以上网搜索一下金教授他们的发表的论文)。
可以看出国内已经有人开始在POC或测试环境中部署OpenStack，但生产环境当时还没有看到。这对于推广OpenStack是个非常大的挑战，所以我当时就四处打探国内到底有谁在实际使用OpenStack，也就是在这个时候我认识了新浪SAE团队的负责人丛磊童鞋，在他的引荐和帮助下找到原SAE团队技术经理程辉，并邀请他们到社区分享经验与心得。虽然当时新浪的规模并不大，但他们确实已经在生产环境中用到了OpenStack中的Nova和 Swift两个项目，并用Swift替换了原有的SAE存储，另外就是内部尝试做了计费Dough和监控Kanyun两个开源项目。
接下来国内OpenStack用户群体逐渐发展了起来，先是瞬联软件、趣游、网易等分别开始尝试基于OpenStack开发部署自己的云平台，之后爱奇艺、 用友、京东、百度、360、美团等纷纷选用OpenStack。例如京东基于openstack的数据库服务NEPO ，该部门对数据库服务有迫切的需求，希望减化相关流程，缩短服务时间，将重复性的工作自动化，也就是所谓的自助式平台化管理与资源封装，而 OpenStack又是一个松耦合的模块化系统平台可以灵活设计。去年基金会组织的OpenStack 3周年社区活动上我还有幸邀请到了来自百度和携程的嘉宾来做分享，当时国内也只有宋伟他们团队在部署了上千台物理服务器的OpenStack上做过测试，而携程则是典型的从VMWare往OpenStack迁移的用户代表（不知会不会因此被VMWare公关，哈哈）。对于大多数“领先用户”来说，他们内部有大量现成的服务器，已经开始尝试上虚拟化，因此无需购买新硬件，并且可以暂不考虑高可用，只为控制节点做备份，简化了应用场景。而数据又不想放在公有云里，因此希望能够为自己内部提供IT基础设施，优化业务流程，或者作为开发测试环境加速产品开发速度，当然最后期望能够提供类似公有云的服务。
但总的来说初期大多数用户都将OpenStack作为私有云服务，并且有发展成为OpenStack云服务提供商的趋势。当然也有部分玩家希望先基于OpenStack做公有云，认为如果OpenStack公有云平台能支撑住成千上万的虚拟机，做私有云就不是太大的问题。私有云中大部分也并没有采用直接替换现有系统的方式，例如携程（花旗银行之前的报告也曾提到过提供OpenStack发行版的价值要低于交钥匙的方案，还预测得私有云用户者得天下）。

付费用户

2013 年开始我和我的团队开始为部分国内企业客户服务，所以接触到一些付费或有意向用户。 如IDC客户，因为随着微软Azure与AWS的进入，外资领先的云服务商可能对国内IDC企业造成毁灭的打击，IDC正在转型的关键节点，迫使他们必须从卖资源转型到卖服务。而目前国内公有云现状是：没有成本优势 ，规模无法实现盈利，不计成本很难持久，几乎没有提供相关的API，不能给用户提供按需付费的交付方式。所以说AWS模式很难在国内复制，特别是AWS采用的DevOps模式，要知道有600多人在AWS产品线，并且他们无需客服人员，用户自助、互助服务，国内没有客服你都不敢想象会是什么样子。

还有一些金融客户，他们面临大数据的机遇与挑战，正在努力寻找突破。相对来说，互联网企业投入其实并不大，几个人的团队就已经足够为云平台提供运维支撑，出了问题也是可以自己抗的。金融客户重点在于关注自身的业务，而底层的基础设施服务希望能够通过第三方服务提供商来提供保障，进而可以加快项目实施进度。政府和教育行业也同样， 他们面临定制化开发风险，面对升级维护等问题时也倾向于选择第三方服务提供商来实施自己的云平台项目。
而安全可靠成了企业级用户在迁移到云平台时首先关注的问题，另外如何基于开源的 OpenStack 技术对企业应用进行优化，并为 OpenStack 核心组件设计高可靠和高可用方案，甚至要要为多租户提供分布式虚拟化防火墙，基于 SDN 技术为上层应用提供按需的网络资源及服务，完善监控和管理周期，实现全面自动化等。如何提高消息队列服务的高可靠性，避免因为发送消息到写入消息之间的延迟导致的信息丢失，如何实现 mysql 的高可用集群等都是企业客户比较关心的问题。我们在为客户实施时通过支持OpenStack的防火墙为租户网络隔离提供支持，通过 OpenFlow 交换机与协议对网络进行编程控制，打破了现有网络对业务封闭的问题，利用网络流量的可视化及灵活的编排，将流量导入特定的业务服务器、防火墙或者IDS/IPS 设备，确保应用程序以及流量的正确流向及安全可靠。

我们正在改变世界

在这过去的一年中，国内 VC们也很忙，苦苦支撑的国内云计算相关企业纷纷拿到融资。启明创投对七牛的投资，红杉资本对够快的投资， DCM和贝塔斯曼对UCloud的投资，涌金对华云的投资，光速安振对QingCloud的投资，以及一批项目的天使融资，让我们感受到了云计算市场的活跃。

国内几家专注OpenStack的初创企业也纷纷传来喜讯，先是年初UnitedStack获得红杉资本、ChinaRock、IDG的天使投资，年中中路股份投资了道里团队，11月份易云捷讯获得用友幸福投资和信中利集团的联合投资，年底的时候海运捷迅也斩获了A轮战略投资，还有最近一家新成立的 easystack也刚刚拿到了蓝驰的投资，还有stackinsider（云动科技的一个项目）等初创企业纷纷开始为国内客户提供OpenStack相关产品及服务。

IDG Connect发布的2013年度 OpenStack云发展路径的调研报告结果更是显示，绝大多数接受调研的企业IT决策者表示，OpenStack已纳入其企业云计算基础设施的未来计划当中。调查结果提到，随着企业用户可以越来越重视去解决这些问题，企业用户正在或有计划的向OpenStack私有云迁移。有60%的受访者表示，他们正处在配置OpenStack的初期阶段，有的尚未完成，或者还在实施过程当中。有84%的受访者表示OpenStack的是他们未来云计划的一部分。

说到这里忍不住想提一下TryStack.cn，早期为了推广OpenStack，解决大部分用户没有安装部署环境，另外各种组件及插件也不知该如何选择，还有版本升级更新维护等问题，所以在英特尔、山石、盛科等相关企业的支持下，提供了一个OpenStack测试体验环境，并公开了它的参考架构，从F版开始每个版本都及时更新，如今已经部署到最新的Havana版本，并在去年香港峰会上发布了面向企业的Trusted Enterprise Cloud 参考架构。

OpenStack生态系统将会重新洗牌

开放并不等于免费，所以如果把自由（free)当作免费 (free)那就图样图森破了。正如Mirantis有篇博客里写到的那样“Some companies will get acquired, while some others will get acqui-hired.”，OpenStack确实给一些初创公司带来了很高的知名度以及投资机会，但基础软件开发周期长，投入大、见效慢，技术创新转化成产品需要更多时间，而现在还搞不清楚用户在哪里的初创公司已经逐渐失去往日的光辉。

开放最大的价值在于创新，并且是超越了公司界限的创新。 开放协作才会有利和促进产业繁荣发展，这也是我发起TryStack社区联盟的主要用意。虽然越来越多的朋友开始拥抱OpenStack，并开始把 OpenStack作为创业途径或新的发展方向，但教育客户和培养市场的工作任重而道远。希望国内的OpenStack生态圈也能更加开放，充满活力，才能吸引更多人才加入到这个大家庭中来，一己之力毕竟是有限的，吸引更多人参与类似的事情当中才是有意义的，也希望看到越来越多的在OpenStack线体验或测试平台上线（或许大家可以反馈给我来做个统计？）。

去年我在给北航云计算硕士班的学生们讲OpenStack这门课时，曾说过好好花半年时间学习一下年薪30W不是没有可能（也不是说一定能拿到 :-)），今年看来门槛仍在不断提高，有朋友曾回复我说没有看懂上篇里的人才之争一部分的内容，其实我想告诉他的是创业团队和巨头们之间的人才之争已经愈演愈烈，丰厚的薪水还是美好的未来，你想好了吗？

分享

分享

［原文可参阅： http://duyujie.org/post/72355803255/2014-openstack-out］

2013年底最后一周突然收到两封邀请函，一封是来自微软，邀请我参加2014年1月微软开放技术有限公司中国运营启动仪式，这是微软新成立的一家专注于开源技术的全资子公司；还有一封是来自华为，邀请我前去为其某产品线做一个关于社区与运营的报告（上一次去华为还是2013年6月份，在他们加入OpenStack基金会之前，受邀前去深圳总部为云计算产品线做的关于OpenStack社区的报告），看到国内外的企业都越来越关注和重视开源社区，真是2014年的头等喜事。欣喜之余我整理了一下几年来对OpenStack社区的所见所感，希望对于想要了解OpenStack的朋友能够有所帮助，关于社区运营的的话题稍后我会另外再写一篇。纯属个人观点，仅供参考，拿砖头的、丢臭鸡蛋的看准了再扔:-)。

一场没有硝烟的战争

去年11月份，在香港举行的OpenStack峰会是OpenStack基金会首次在美国本土之外举行的大型社区活动。在这次峰会上，作为众多开源云架构中最受宠的OpenStack享受到的不仅仅是来自全球企业和开发者的高度热捧，主办方也是想尽一起办法彰显中国元素。

图1 -OpenStack香港峰会

无论是现场观众得知目前全球范围内拥有最多的OpenStack开发人员的城市是北京时的惊呼，还是在峰会期间，特意邀请来爱奇艺、奇虎360、携程等来自中国OpenStack用户所做的经验分享，无不显示出OpenStack基金会对中国市场的重视。

而每一场开源运动中，技术人才的争夺都是白热化的。OpenStack在开源云平台的人才大战中取得了不可思议的成绩，从2010年到香港峰会结束，三年的时间里，OpenStack社区已经遍及全球132个国家，13504人参与，其中个人开发者人数达到了近6000人，而支持厂商/组织共有298家，按级别来分共有8个白金会员、19个黄金会员、54个赞助公司、217个支持机构(截止至2013年12月31日)，这样的规模对于一个开源组织来说，可谓声势浩大。

图2-开源云计算社区对比参与度对比[1]

但看似一团和气的大家庭其实私下也是暗潮涌动，感受最为深刻的就是香港峰会展区里到处摆放着的RedHat Partner的牌子，可以说大家为了抢占至高点，用尽了各种手段招数。

图3 -香港峰会展厅

如果配上旁白的话大致如下：

• Redhat：我们拥有OpenStack社区主流影响力，我们会像征服Linux一样征服OpenStack世界。
• Canonical：我们是OpenStack部署第一的操作系统厂商，与OpenStack发布周期同步。
• RackSpace：我们创造了OpenStack神话。
• Mirantis：我们服务的OpenStack客户最多。
• CloudScaling：我们为OpenStack客户提供更多选择（AWS）。
• IBM/HP：我们是IBM/HP，我们为OpenStack做了不少贡献（不过我也知道你提供OpenStack是为了卖更多的XXX，Unix时代你不就是这么干的吗）。
• 现在连Orcale也想挤进来，可惜暂时还没想好他们的潜台词，如果您有更好的想法欢迎反馈给我:-)。

这不禁让我想起前段时间网上吐槽一则“雾霾对武器影响多大：侦察看不清导弹打不准”新闻时的一个段子：

美：我们有B52轰炸机。中：我们有雾霾；美：我们有精密雷达。中：我们有雾霾；美：我们有精确制导炸弹。中：我们有雾霾；美：我们能把你们的城市从地图上抹去。中：你们不能，我们能。美：你们有什么武器做到？中：我们有雾霾。

再看看这帮军阀们手中的武器都有哪些：

RedHat 作为老牌Linux厂商，手握Libvirt（别告诉我你不知道这个项目意味着什么）、KVM还有Gluster，最近CloudForm也是耍的有模有样，更别说OpenShift，oVirt等宝贝了。Libvirt和KVM反正是绕不过去了，所以Canonical很早就和 Inktank抱在一起，当然是试图希望通过Ubuntu和Ceph的整合来对抗RehHat的Glusterfs。而SUSE仍是紧抱微软的大腿（其中缘由请自行谷歌），不知是不是希望通过Hyper-V绕开RedHat 的KVM。其实RedHat 也没闲着，PLUMgrid的加入让人不禁猜想是否想对VMWare NSX + vCenter构成威胁？

武器在手免不了占山为王，所以除了各自产品的较量，更重要的还有山头之争，目前都有哪些山头呢？

第一个山头自然是对上游的影响力

图4-OpenStack基金会

在OpenStack社区里真正有影响力的当然是技术委员会的PTL和Core开发者，主要由他们决定OpenStack的开发方向，不过来自企业的代码贡献量也能说明不少问题：

图5 -企业贡献排名

从最新统计中可以看出Rackspace已从D版和E版的第一名贡献者已经下滑到H版的第三名，并且还有下滑的趋势；Mirantis从上一版的16位飞速上升到第五；HP和IBM最近几个版本倒是一直都在前五；RedHat从F版开始就一直领跑（Canonical的老大不知咋想的？），RedHat早已牢牢地控制住了Linux主要市场，如今看来他们对OpenStack也是势在必得，想想Cloudera和Hortonworks怎么争夺Hadoop的（这两兄弟也不知有没有分出高下？）。

进化论告诉我们物竞天择，竞争的结果就是用户直接受益。目前看到无论是你想要的度量和计费(Ceilometer)，或者是配置管理和编排服务（Heat）、甚至是部署服务(TripleO/Tuskar)和PaaS(Solum)服务在OpenStack中都有了各自的模块，所有你想要的一切，社区都会逐步的整合进来，所以不要再试图维护自己的专有分支或模块了，拥抱社区并参与贡献上游吧~

第二个山头应该算是服务提供商了

由于这块目前入门门槛比较低，但早期市场主要在这里，更接近早期的“领先用户”，并且提供服务的公司可以在这些客户的付费中成长，对于处于市场培养阶段的的OpenStack厂商来说自然也是必争之地。

实践证明参与产品开发与改良的用户很多，创新用户的研究表明，这些用户具有“领先用户”的特征，也就是说他们在一个重要的市场趋势中领先于用户总体的主流，而且他们为了自己所遇到的需求期望从一个解决方案中获取相对较高的收益。由于领先用户在重要的市场趋势中处于市场的前端，所以我们可以相信，许多他们自己开发使用的新产品也会吸引其他用户，即他们可以为愿意将创新产品商业化的制造商提供产品基础。

                                                                         ——节选自《民主化创新》

图6 -商业模式和生态系统

这个山头占据了几乎主要的OpenStack市场份额，引得大多数OpenStack厂商都杀向了这个山头。在这个山头上在新秩序还没建立起来之前，大家都被Linux世界的大佬们划分成鲜明的两大阵营：RedHat和Ubuntu。

第三个山头就是各自的相关产品

前面提到RedHat和Ubuntu作为上个时代的开源领袖，目前都开始角逐OpenStack时代的最强者。而Mirantis绝对是匹黑马，过去的一年当中连续推出了 Fuel for OpenStack deployment、Murano for Windows and Linux、  Savanna for Hadoop，Rally for testing and benchmarking等开源项目，还放出了Stackalytics统计社区的代码贡献量，硬件在线评估系统，几乎把能赚钱的工具都统统开放了出来，如今更是把它们整合成了Mirantis OpenStack 4.0，绝对值得期待！另外OpenStack的发起者RackSpace虽然放权给基金会，但并不意味着放弃整个市场，12年下半年就曾推出其私有云产品Alamo现在已经更新到最新的Havana版本的了。当时思科紧随其后也曾推出过一个OpenStack发行版本，不过随后就没什么音信了，倒是其公开的文档吸引了不少用户的关注[2]。

而CloudScaling 似乎和AWS走的很近(参见[3]： 一封致OpenStack社区的公开信)，并且由于瞻博和希捷参加了Cloudscaling 2013年B轮1000万美元的融资，所以他们的OCS似乎也很值得尝试。另外Piston 和国内程辉团队的UOS比较像，可最近声音都不多，不知出了什么状况？（Piston 2013年也拿到了B轮，目前融资总额1250万美金）。

另外两匹黑马Metacloud和Morphlabs，一个是做Managed service，另一个做OpenStack Applicance，倒也是风声水起，其中Metacloud在2013年6月刚获得1000万美元的A轮融资,投资者包括canaan Ventures、Storm Ventures和Jerry Yang(former Yahoo co-founder)的AME Cloud Ventures。MorphLabs 2013年D轮之后总共融了2250万美金，我在去年的CloudConnect China大会上曾邀请他们来上海分别做过交流。

最后还有培训这块山头

别小看了培训这不起眼的生意，大家都是醉翁之意不在酒，主要都是看重生态系统的建设。RedHat的Linux培训体系就是一个很好的证明，Cloudera的Hadoop培训也类似。他们一方面通过继续贡献社区提升对上游的影响力，加快代码修复速度，另一方面通过培训体系打造自己的生态系统。除了上述提到的几家厂商之外，还有swiftstack专门提供针对存储模块Swift的培训。目前国内唯一能看到的应该就是TryStack联盟成员Mirantis授权的培训课程（详细内容参见[4]）。

[1]CY13-Q4 Community Analysis — OpenStack vs OpenNebula vs Eucalyptus vs CloudStack

[2]思科wiki

[3]一封致OpenStack社区的公开信

[4]OpenStack培训

分享

分享

VisualThreat初创公司2014年初访谈

1.公司创办的初旨，为什么会想到创办这个公司？

创办VisualThreat公司的初衷很简单，就是焦虑，还是焦虑：为安全厂商在手机上依然沿用PC时代反病毒技术感到焦虑。2012年10月时手机病毒只有20多万，我们指出当时手机病毒泛滥程度类似PC病毒在2004-2005年的情景，即病毒大规模出现的前期，2013年一定会突破百万级，而且病毒加壳技术会很快出现，而后者会更加助长变异病毒数量地增加。更为严重的是，PC病毒从2005年到2010年演变的过程将在手机上加速完成。果然，2013年上半年安卓手机病毒轻松突破100万，2014年会预计直达千万大关。

手机病毒的指数级增长无疑是移动安全的爆发点，也带来移动安全市场，甚至物联网的机遇。虽然PC和手机病毒演变的路径很相似，但是手机电池寿命短和CPU性能低的两大短板注定手机上很难使用传统的病毒检测方法。遗憾的是大的安全公司仍然沿用传统技术方式开发手机安全产品。既然预见了手机病毒发展趋势和传统安全检测方法将要遇到技术难题，我们决定创建一家安全公司自己动手来解决这个问题。VisualThreat采用智能安全数据分析技术来开发满足百万，千万量级手机病毒的检测需求，是当前唯一提供跨病毒家族关联的企业级移动威胁智能防护方案。

这种技术让用户以可视化形式来发现手机应用程序和家族恶意软件之间的深度联系。我们 提供跨病毒家族的4层深度关联, 让用户把任意移动应用和当前出现的所有病毒和所有病毒家族进行关联比对，以可视化的形式发现任何和恶意攻击相关的蛛丝马迹。这种比对是在大数据平台上完成的，实时完成病毒威胁扫描，深度关联和发现潜在的风险。我们为手机应用程序提供业界最全面的病毒威胁分析报告，并为每个移动应用生成1-100量化的威胁评分,MobileThreatCert。所以我们不仅能检测病毒，而且还能发现非病毒应用里的潜在威胁。

2.美国移动互联网安全界的情况和国内有什么区别？

我先谈一下美国移动互联网安全的情况。以企业用户为例，经历了两个阶段。去年到今年伊始，移动安全产品主要是BYOD（Bring Your Own Device）系列,有时也叫做MDM(Mobile Device Management) 或者MAM（Mobile Application Management）。这些产品帮助企业管理其配发给员工的手机，提供诸如手机丢失寻找，远程删除数据，数据加密，手机注册管理等功能。然而，现在的BYOD的解决方案的侧重点有了变化，强调整个企业的移动威胁的整体可视化分析；只有病毒检测结果是不够的，还要进行详细的威胁级别分类和表述，和企业安全策略挂钩，制定应用程序恶意行为阻断策略。同时也注重了企业和个人的数据分离，包括手机应用，流量，数据，甚至账单计费的分离。

美国和国内移动互联网安全界的差别主要体现在企业级市场：企业对公司数据保护的重视程度和是否愿意付费来保护这些数据。美国企业的重视程度造就了美国市场是全球最大的企业级安全市场，众多国际安全公司都全力开拓美国市场，比如去年至少两家著名的安全公司把总部或者研发中心搬到硅谷。我们也欣喜地看到，国内的银行等金融机构也开始重视企业内部移动安全，以及外部客户使用的手机设备上的安全问题。同时一些BYOD产品也出现了，技术上主要还是上述第一阶段的解决方案。

3.目前移动安全威胁主要包括哪些方面？从手机系统的角度来说，用户使用开源的Android手机是否会比使用iOS手机面临的威胁更多？

从个人用户而言，隐私和个人信息泄露是用户最关心的。国内移动威胁还有特有的收费短信和流量扣费的问题。从企业客户来说，企业数据泄露，企业IT架构从集中式到分布式转变过程带来的移动安全挑战是他们最头痛的。目前安卓病毒占了手机病毒的97-99%，主要原因是安卓代码开源和安卓版本碎片化。相比而言，iOS手机面临的威胁小很多，归功于苹果公司成功的闭环的应用管理和监控流程。

4. 你们和其他移动安全公司技术有何不同？ 

有几点不同。有几点不同。

第一点，大数据和安全结合方面，我们的区别是把移动安全和智能安全数据结合在一起。大数据是在云计算的基础上提出的；大数据和安全的整合是应对安全产品从桌面转移到云端的过程带来的大量的非固定数据结构的多元化数据。大数据和安全结合的产品切入点是把这些多样的数据去除噪音，提取有意义的数据，然后在大数据的平台上进行智能关联，从而检测到最新零日攻击。然而，目前很多产品仅仅是把现存的系统搬到大数据平台进行并行运算，没有充分利用大数据平台跟踪移动恶意软件、以及样本相互之间的关系；或者仅仅通过孤立的样本分析，不对它们的关联性、家族性进行 分析。VisualThreat利用大数据技术构建手机病毒智能分析，对其中有用的数据进行智能筛选，对多样的移动数据进行威胁关联分析，并尽早发现有目的性的zero-day攻击。

其次，我们的病毒检测技术的不同。我们正在研发的通用性病毒关联库比传统厂商缩小几十倍；容易移植到不同的检测平台，而且可以定制给其他安全厂商。关联库基于病毒家族检测，能够在最短时间检测最新的病毒变种；产品对变异病毒检测率很高，抗病毒变异能力强。

再次，我们对安卓应用生成详尽的风险分析报告，包括静态，动态，同种病毒家族内部，跨病毒家族；清晰的安全管理界面, 公司安全策略灵活配置, 恶意移动病毒黑名单；

最后一点，安全技术的演变是不可割离的，没有一种新技术能独立于现有的技术之外。所以，我们的技术充分考虑了对其他安全厂商他们现有产品平台的支持，定制后可以集成到他们的产品中去，为我们的产品推广提供了基础。

5.你们的目标客户都有哪些？如何使用你们的产品和服务？

首当其冲的是企业客户，尤其是美国企业市场。对企业多样的移动数据进行威胁关联分析，通过我们独有的4层入侵关联尽早发现新的攻击，并进行详细的安全级别分类和表述，帮助制定应用程序恶意行为阻断策略。另外， 我们还会和BYOD厂商，手机应用平台，和传统安全厂商进行合作。比如我们已经为美国的BYOD厂商提供定制移动安全解决方案。

产品部署方案有四种：云安全服务, 内部部署，手机应用，和API调用。其中API 可以平滑部署到企业，应用商店，服务商，开发者和个人用户。他们可以通过API接口方便地查询移动应用是否有威胁，以及对应的详细报告。

6. 您如果对你们的产品有兴趣，如何试用和联系你们？

VisualThreat已经免费开放了在线安卓应用威胁分析云安全服务。网站是 www.visualthreat.com 提供中英文两个版本。用户可以上载他们的应用程序得到实时的免费的威胁分析报告。通过注册用户，他们还可以使用免费的报告管理界面。具体信息在http://www.visualthreat.com/our_service.action

另外，API调用对个人用户和移动开发者是公开和免费的。使用文档也在我们的网站上。我们开发的手机应用也会很快和大家见面。

我们的联系方式在http://www.visualthreat.com/contact_us.action

7. 您还有其它想要分享给读者的吗？

移动时代，应用为王！平台从浏览器转变到独立运行的移动应用; 应用将代替网站成为移动互联网的入口。手机病毒的爆发才是刚刚开始，今后几年我们将会看到大量的手机病毒自动制造工具，高级变异病毒的出现。同时大量企业由于IT架构的改变而将服务部署到手机上，加上企业数据和用户私人数据的混杂和手机的随身携带性，使得手机安全战场更加硝烟弥漫。我希望读者除了借助外部安全厂商的工具进行保护之外，自身还要养成对个人数据保护的敏感性，内外兼修，才能达到良好的保护效果。谢谢大家！

分享

分享

硅谷（Silicon Valley）位于美国加利福尼亚州，是全球高科技企业的集中地，无论是传统的IT企业甲骨文，惠普，思科还是互联网巨头Google，Facebook，均诞生于此。

不过需要注意的是在加州的地图上，其实找不到一个叫做硅谷的地方，传统上硅谷指的是从斯坦福大学(Stanford University)向南，经圣何塞(San Jose)到圣塔克拉拉(Santa Clara)的这一块狭长区域。

今天广义上的硅谷，实际上包括湾区一带从旧金山(San Francisco)，奥克兰在内的北加州以101公路贯穿南北的广大地区，可以说，加州的高科技公司都在硅谷，而我们今天的主角Palo Alto Networks也不例外。

在网络安全行业，2004年硅谷的传奇防火墙安全公司NetScreen被Juniper40亿美金收购，是当时网络安全行业最大规模的并购，这一记录直到Intel用76亿美金收购McAfee才被打破。 

而Palo Alto Networks（以下简称PAN）是由前NetScreen员工Nir Zuk等被Juniper收购后不久辞职创办，并于2012年在纽约股票交易所成功上市，现市值高达30亿美金。PAN的工程师团队实力强大，拥有多项跨时代技术专利：状态检测（stateful inspection），入侵检测（intrusion prevention）等，有丰富的网络安全行业经验。

PAN是下一代防火墙（Next Generation Firewall / NGFW）概念的缔造者, 目前产品的主要客户为IDC和大中型企业，最高性能可处理20G的流量。在其提出这个概念的初期，并不为业内所看好，当时行业主推在统一威胁管理（UTM）概念，对于势单力孤的PAN所提出的NGFW，友商们更多的是不屑一顾，并没有特别的重视，但是今天，NGFW已经成为业内的一个新产品方向，也迫使各家安全厂商纷纷推出了自己的NGFW产品。

PAN的产品的核心技术有三块：
1. App ID

通过专利的应用识别技术，可以分析各种标准和非标准的协议，从而准确识别网络流量中的应用，这一点类似网络入侵防护系统（NIPS）的协议识别。
2. User ID

整合了微软Exchange服务器，AD服务器和Novell eDirectory服务，在企业内部可以非常方便的将网络事件定位到用户。
3. Content ID

可提供网络钓鱼保护，防护漏洞攻击，恶意软件和恶意C&C流量。

4.WildFire

近年来网络安全中最热门的两个概念Cloud和APT的集合，在PAN叫做Wildfire：在遇到可疑复杂的文件样本时，将该文件在云环境的沙盒（Sandbox）中执行，在确保无安全隐患的同时精确分析文件行为。
这些技术本身都不是新技术，其中的重大创新是数据可视化和高性能。 

数据可视化

传统的安全设备思路主要是对于攻击事件进行响应，比如是否有恶意的扫描行为，是否有病毒传播，但这都属于事后控制，发现时往往攻击已经发生，而且在一切基于Web的今天，无法做到准确应用控制。

PAN的思路是分析企业流量的常见应用，包括流量中的企业级别应用CRM如Salesforce，企业协作应用Yammer; 社交应用Facebook， Twitter；即时通讯应用Skype，Gtalk；文件分享应用Dropbox等等。这是因为攻击路径随着互联网的发展已经发生了巨大的变化，适应这些变化才能更好地为用户的服务，进而防护复杂的可能来自上述各个渠道的威胁。

高性能架构

PAN能成功从UTM产品中突围，创造独立的下一代防火墙产品，高性能处理功不可没，而其中的Single-Pass Parallel Processing体系架构就是其中的核心。(下图)

传统的IPS和UTM等安全设备大量功能基于DPI（深度包检测）技术，在工作时会大量使用特征匹配，随着网络应用，攻击类型和网络带宽的飞速增加，在开启多项或者全部检测、防护功能时，即使采用多核处理器并行处理技术，在复杂的攻击和高流量环境下也力不从心，全功能启用会对性能造成较大影响，延时会几何数增加甚至导致设备Crash，这也是很多安全设备默认都会不会开启全部功能的直接原因。

类似Juniper的操作系统JunOS，PAN的操作系统称为PANOS。而Single-Pass Parallel Processing在PAN硬件架构中的亮点是三个独立的专用处理器。

一个硬件网络处理器，主要负责硬件加速服务质量（QoS），路由寻址和NAT等消耗性能较大的操作；一个多核安全处理器处理复杂的SSL，IPSec和解压缩(Decompressoion)流量；一个Flash-matching引擎，PAN独特的插件处理引擎，支持多内存通道极大的提升了处理速度。

简单来说，PAN产品的硬件架构允许在可预期的时间内一次性并行处理多种检测，比如病毒，钓鱼网站，漏洞攻击等，正是这种架构上的突破性创新和可视化的优秀设计，让PAN从传统的UTM时代杀出重围。

除了互联网化的数据处理识别之外，PAN也持续在安全研究方向进行投入，安全研究团队独立报告了包括Adobe等厂商的安全漏洞，进一步提升了其在安全行业的声誉。

在2013年，为了应对越来越对的移动设备安全问题，PAN和CITRIX针对移动设备管理（Mobile Device Management）方面达成了合作，同时使用以上两家公司产品的客户，可以在在享受移动生活的同时，解决BYOD（Bring Your Own Device）现象所带来的威胁。 

从市场布局上来看，PAN已经在硬件安全，云安全和移动安全上进行了积极的尝试并收到了很好的效果，期待在未来特别是APT方向继续给业界带来创新的惊喜。

分享

分享

话说Akamai对Prolexic提出3.7亿美元的收购邀约，预计整个收购在2014年上半年完成。然后铺天盖地的新闻都是Akamai收购了一家云安全服务商，各种利好等等，那么这个收购究竟如何呢?

分享

分享

本文是对《CY13-Q3 OpenStack, OpenNebula，Eucalyptus，CloudStack社区活跃度比较》一文的补充和更新。对本文内容感兴趣的读者，可以通过电子邮件或者新浪微博（@qyjohn_）与我联系。

本文同时发布了一个英文版本，可以参见CY13-Q4 Community Analysis — OpenStack vs OpenNebula vs Eucalyptus vs CloudStack这个帖子。

这个社区活跃度比较项目起源于CY11-Q4，此篇报告是到目前为止已经发布的第九个季度性的报告。尽管作者于2012年10月至2013年7 月间曾短暂地就职于Eucalyptus公司，但是本文中所表达之观点完全是作者本人的观点，而非作者目前或以前所在公司的观点。

本文的目的是通过论坛和邮件列表的原始数据对OpenStack、OpenNebula、Eucalyptus和CloudStack项目的社区活跃度进 行分析和比较。主要的原始数据是自2009年来这四个项目的官方论坛和邮件列表每个月所产生的讨论主题数、帖子数、以及参与讨论的总人数（邮件地址或者用 户账号）。为了获取这些数据，我写了一个Java程 序自动地从这四个项目的网站下载了所有的论坛和邮件列表信息，并且从这些信息中分析提取出我所需要的数据。程序提取的数据被导入MySQL数据库中以便进 行统计分析，统计分析的结果通过LibreOffice生成分析图表。

在过去几年种，有一些早期的论坛和邮件列表已经被停用，这些数据我们再也不能够访问到了。幸好我们有这个项目刚刚启动时所创建的MySQL数据库，还有过去每个季度所发布的季度性报告，使得我们可以对每个项目进行完整的分析。

对于具有多个会员系统的项目（例如一个论坛和一个邮件列表），我们采取了大量的措施来消除会员重复计数（同一个人被当成不同的会员计算了两次或者两次以上）的情况。

图1 和图2分别是如上所述四个项目每个月所产生的讨论主题数和帖子数。可以看出：

(1) 在过去12个月中，与OpenStack和CloudStack相关的讨论数量在同一水平上，与Eucalyptus和OpenNebula相关的讨论数量在同一水平上；

(2) 在过去12个月中，与OpenStack和CloudStack相关的讨论数量远大于与Eucalyptus和OpenNebula相关的讨论数量。

通常来讲，一个讨论主题得到的回复数越多，表明该主题的讨论越深入。一个论坛或者邮件列表如果只有主帖而没有回复，说明这个社区的参与程度很低。因此，平 均意义上的“讨论帖子数/讨论主题数”则反映了一个社区的参与程度，这里我们暂且称之为参与度（Participation Ratio）。

由图3 可以看出，在过去12个月中CloudStack和Eucalyptus项目的参与度相对较高高，接近于4；OpenStack与OpenNebula项目的参与度相对较低，接近于2。

我们也注意到参与度这个概念引起了一些争议。有些人认为“讨论帖子数/讨论主题数”较低象征着某个社区具有快速解决问题的能力，社区成员所提出的问题能够在很短时间内得到解答，因此不需要多个帖子来解决一个问题。有些人认为“讨论帖子数/讨论主题数”较高可能意味着某个社区可能出现了争论，而这种争论可能已经偏离了某个社区的讨论方向和范围。无论如何，参与度这个名称的确反映了我们的某些主观看法，在一定程度上削弱了本报告的客观性。由于我们暂时没有找到一个更加合适的替代名称，在这个报告里面还是延用原来的名称（欢迎各位读者贡献更好的参数名称）。

图4 所示为这四个项目每个月参与论坛或者邮件列表讨论的总人数。可以看出，OpenStack项目的活跃用户数量要远大于其他三个项目。CloudStack项目的活跃用户数量也明显大于OpenNebula和Eucalyptus。在过去12个月中，CloudStack和OpenStack项目的活跃用户数量都在稳步攀升（OpenStack项目有100%的增长，CloudStack项目有50%的增长），而Eucalyptus和OpenNebula项目的活跃用户数量基本上没有增长。

值得一提的是，虽然CloudStack的活跃用户数量稍微小于OpenStack，这两个项目的主题和帖子数量是基本相当的（参见图1和图2）。

累计社区人口（简称社区人口）指的是曾经通过论坛或者邮件列表参与过讨论的用户和开发者总数。（不包括在论坛或者邮件列表中注册但是从未公开参与讨论的社 区成员。）这些人或多或少地使用过相关产品，但是并不代表他们目前还是活跃用户。图5 所示为这四个项目的社区人口增长趋势。可以看出，OpenStack与Eucalyptus项目的社区人口遥遥领先，CloudStack与OpenNebula项目的社区人口相对较低。

问题在于，开源IaaS软件经过这么多年的发展，长期累计社区人口的意义已经越来越弱。一方面，某些早期用户可能已经多次改变了阵营；另一方面，某些早期论坛和邮件列表已经结束了历史使命。从社区活跃度的角度来看，我们认为最近6 个月或者最近12个月的累计社区人口可能是有意义的，但是将累计社区人口无限制地延伸到侏罗纪时代，可能会使这个参数失去实用价值。

图6 所示为这四个项目每个月新增加的社区人口数量。在过去六个月中，CloudStack与OpenStack的社区人口增长速度基本相当。

与CloudStack和OpenStack向比较，Eucalyptus和OpenNebula的社区人口增长较为缓慢。

图7 是图4 与图6的重新组合。其中，实线部分表示的是每个月参与论坛或者邮件列表讨论的人数，虚线部分表示的是每个月新加入论坛或者邮件列表的人数。

阅读全文»

分享

分享

Cloudflare是一家旧金山创业公司，新型CDN行业的开创者，主要业务是为客户提供免费的基础CDN加速和一系列(安全)增值服务，在2012年初融资时的估值约10亿美元，目前已获得超过2000万美元的投资。

互联网行业新生代和传统巨头的之间的竞争已经屡见不鲜，但是与Facebook挑战Google不同，CDN行业的创新者Cloudflare选择在正面战场上，挑战Akamai等传统CDN巨头。其切入点是：以免费聚集用户，以安全吸引用户，以CDN留住用户，（CDN+Anti-DDoS+WAF）把复杂的CDN功能做到极致化的简单，这就是工程师文化的startup对巨型公司的颠覆开始。

自2009年创立以来，Cloudflare迅速获取了大量用户，CEO Matthew Prince表示每天的新客户（New Customer）超过3500个，大多数通过口碑推荐而来，更有消息称其23个数据中心组成的全球加速网络月均流量已经超过了Yahoo!。互联网口碑营销大大降低了CDN行业的营销成本，以产品质量本身与对手竞争。

在这个流量为王，入口为王的互联网时代，VC们明显嗅到了机会的味道：新型CDN以Freemium模式，解决了网站的加速和安全问题，迅速获取了大量中小网站用户，同时向有需求的用户提供更高质量的收费服务，如行业定制方案，广告分成（monetization）等货币化方案以更好的培养客户忠诚度，同时由于市场和带宽获取成本低廉，试错机会大大提高。

对传统CDN行业来说，这样的变革也许是致命的。

以Akamai为例，近年来利润率持续下降，表面上看的原因在于：带宽成本的下降和客户议价能力的提升。但根本原因是无法提升流量的使用效率，本质上是承载流量传输的苦力活，无法挖掘流量的高附加值进行变现。而互联网变现的常见手段是广告和游戏，从CDN的所处的位置来看，有非常大的机会涉足这两个行业：比如HTTP重定向页面，定制化错误页面，安全防护的Challenge页面，都非常适合作为广告载体，更大的难点是商业模式的创新，创造出客户乐意付费的商业计划。而对于巨型公司来说，冗长的决策流程和左右互搏的悖论，也给了新型公司弯道超车的机会。

1. 硬件防护的网络位置决定了对大流量攻击无能为力，不解决客户问题

其他做类似业务的公司有美国的Incapsula，中国的安全宝，360网站卫士和百度加速乐。其中Incapsula是Imperva的子公司，安全宝由创新工厂投资独立运营，后两家则成了互联网公司的免费业务。目前正在或准备尝试的盈利模式包括：高级安全增值业务，行业解决方案分成，IDC合作分成，站长联盟广告等等。

预计在不远的未来，新型CDN厂商会快速分化：具有互联网基因的公司会迅速脱颖而出，传统IT思维的公司会像“云端的盒子”一样而捉襟见肘。系统工程的基础实力与互联网的产品和营销能力，决定了一个公司能走多远。用一个朋友的话作为结束吧，这玩意和打星际没什么两样，懂战略(Strategy)还得会微操（Micro control）。

分享