万亿级别的全球云产业,却流传四个“传说”,一戳就破?

导语：虚拟与真实之间的云计算。
本文作者为哈佛大学肯尼迪学院贝尔弗中心网络安全项目的博士后研究员Trey Herr，文章内容仅代表作者本人观点。

2022年，中国整体服务器市场规模保持6.9%的正增长，占全球市场比重达25%。从国家算力指数排名看，中国计算力水平位居全球第二，处于领跑者国家行列。算力作为数字经济时代新的生产力，深度融入互联网、通信、制造、科研等行业领域。

“云计算”算力资源的重要分配模式，在云计算模式下，计算资源成为电一样的能源资源，这也标志了该领域超越简单商业范畴，并获得公共“基础设施”的地位。

微软、亚马逊、谷歌、阿里巴巴、IBM等云提供商已经是地缘政治的重要参与者，它们影响着经济增长的速度和方向，左右着国际安全竞争，并为各种技术和应用的获取提供平台——而这些内容可能正是打破全球力量平衡关键。

与此同时，大众传播认知中的“云计算”，往往只关注其“无国界”的虚拟一面，而忽略云基础设施集中化的影响。为此，本文戳穿了4个常见“传说”，指出了云计算背后的安全风险：

1、许多国家的“数据本地化”政策没有明确区分不同数据类型，而一刀切政策将导致成本显著上升；

2、从硬件（计算机设备及驱动）再到管理程序（如何更好地分配计算资源），云计算产业其实有更复杂的“供应链风险”；

3、西方“民主”是干预云计算生态的重要推手，其中欧洲为脱离美国主导的“公共云”标准和控制做出了巨大努力；

4、Facebook和微信等软件影响着我们所看到的内容，而超大规模云提供商则在重塑内容传播的互联网。

根据7月中国信通院发布的2023年《云计算白皮书》，在大模型、算力等需求刺激下，2026年全球云计算产业将突破万亿美元。云计算市场的重要性与日俱增，各国都在纷纷加速推进云计算战略。

然而，无论是推进产业发展，还是加强监管治理，都要求我们更深入理解云计算集中化与去中心化、物理性与虚拟性、有限性与无限性等诸多矛盾复杂特性。

并没有“云”，只有“别人的电脑”

什么是“云”？简单来说，“云服务提供商”（以下简称“云提供商”）将计算机和网络出租给世界各地的用户，其中既有《财富》500强企业，也有你我这样的普通人。基于云提供商的大量计算资源，企业和个人能够构建新的服务，如机器翻译、复杂的数据库和软件开发工具等等。

如今，互联网用户越来越多地使用“云服务”，而不是搭建自己的技术基础设施。云计算服务也已成为每年数十亿美元销售额重大产业，将计算能力、存储和网络带宽转化为商品，并催生了新一代数据密集型初创企业。

与此同时，云提供商的企业决策与国家安全风险紧密结合，因为单个供应商的“内部决策”就可能影响数百万（乃至数十亿）客户。这也让人回想起过去，全球的主要服务器被安装在一些特制的大房子里，并被少数几家实力雄厚的企业控制。

而彼时彼刻，恰如此时此刻。庞大所谓“云”服务器网络也同样被封闭在严格保密的专门房间里，并集中在少数几个巨头企业名下。从设备购买、网络架构再到日常运营，这些企业所做的任何“内部”决定，都具备明显的“外部”政治和安全影响。

全球三大云服务收入类及主要云提供商市场份额

随着个人电脑和云服务的普及，使用终端的所在地区与其接入的“全球云服务”的基础设施所在地之间，监管架构可能大有不同，摩擦和误解也应运而生。其中，以非西方国家对美国主导的云提供商的怀疑尤为突出，也非常真实。

令人遗憾的是，大量有关云计算的讨论过于浮夸，似乎云计算跟“外星生命”或“人工智能”一样神秘。其实，云计算非常真实：它是由数英里长的金属机架组成的，机架上安装着精密的电子设备，这些电子设备通过行星级（长度）的光纤和无线电数据网络连接在一起，并由专业团队和巨大的冷却源提供运维支持。

（一）云计算相关基本概念

云计算的起源或许是“共享服务”，即许多用户使用同一台物理机器。随着被称为“管理程序”（hypervisor）的技术发展，这种“多租户”（Multi-tenancy）的共享模式得以发展。管理程序软件监督着计算机，并为不同用户分配计算资源（处理器时间、内存、存储、网络带宽等）；计算资源就像是电一样的能源资源。用户可以像把灯泡插入插座一样，随时随地使用计算资源，并根据使用量进行付费。

数据中心的组成部分及多租户模式示意图

在云服务中，每台计算机都运行云提供商和用户选择的附加软件，并且每台计算机都与网络相连。通过专门的技术架构，能够有效调动这些联网机器的资源。例如，云提供商可以将法兰克福设施的存储与德克萨斯州的处理器相匹配，并将结果提供给东京的用户。聊天软件、搜索结果、流媒体视频、照片存储和共享、让数字助理计算——所有这些都是层叠在云之上的服务。

一般而言，云服务有三种基本模式：

1. 基础设施即服务（IaaS）：服务商向客户提供独立的计算，存储，网络，服务器等（硬件）资源，用户能在其上部署任何软件和应用程序，能按照自己的意愿调整网络，甚至自行决定资源的操作系统的底层设计。例如，租用虚拟机托管电子邮件服务器。

2. 平台即服务（PaaS）：提供各种开发和分发应用的解决方案，节省了用户直接硬件开发上的费用、时间，也让分散的办公室之间合作更加便捷。例如，波音公司基于云计算服务自主开发了机器学习平台，其他用户可以在此基础上再开发各种具体应用，用以计算和管理飞机引擎相关的各项参数。

3. 软件即服务（SaaS）：用户可以直接访问和使用的在线服务。例如，聊天、网购、在线共享文档等等。

目前全球数百家云计算企业中，大多数只提供一种服务和销售模式。少数企业能够同时在三种模式内展开竞争，其中最大的企业被称为超大规模提供商（hyperscale providers），例如微软、谷歌、亚马逊和阿里巴巴。

云计算是海量新老技术的集合体，其主要创新点在于对庞大机群和网络的搭建和管理，使得用户能访问到整体计算资源，而不是只享受某些单一的时髦在线产品或功能。对于超大规模提供商而言，其基础设施架构都有所不同，但上述三种分类有助于理解其基本业务模式。

（二）云计算的安全问题

显然，云计算也面临海量新老安全问题。旧的挑战在于，必须确保是用户而非恶意行为者能够访问其数据，并保护系统免受从“分布式拒绝服务”（DDoS）攻击到断电等各种威胁。新的需求则是，每天要在数以万计的地址域、数以百万/千万计的用户中完成所有这些工作。

云提供商也是冲突发生的新领域。在某些情况下，攻击的起点和终点都在同一个云提供商拥有的基础设施中。随着的主要云提供商越来越少，在“同一网络内”开始和结束交战的可能性也越来越大。对此，云提供商需要在全球客户群的责任与本国政府的要求之间取得平衡；在各应用的服务条款、对客户的安全承诺，以及国家发起的情报和军事活动之间，最终可能需要由云提供商来进行仲裁。至此，商业和国家安全织成了一张纠缠不清的网。

在云计算领域，另一个更为重要的安全问题来自于认知层面。随着“大数据”等概念的滥觞，云计算也在大众传播中被广泛传播，但相关的描述往往都来自企业的营销手册，最终形成了一系列关于云计算的“传说”甚至是“谣传”。其中，最大的认知误区在于：只有技术因素，才能决定云计算服务的交付方式和基础设施的建设方式。

事实上，政治现实对企业的影响力越来越大，而基础设施所有权的集中化也对其问责机制带来重大挑战。忽视真实情况来分析安全问题，其结果只能是刻舟求剑。接下来，本文将讨论关于云计算最顽固、最有说服力、最不准确的四大“传说”。

传说1：所有数据都是一样的

（一）数据不一样：常见的三类数据

无论是金属和混凝土基础设施、时髦的代码还是营销材料，云计算的核心还是“对海量数据进行管理”。其中，三类数据尤其重要：

（1）用户数据：即服务客户存储在云中的数据，如电子邮件、税务文件、设计文档等；

（2）衍生数据：可让云提供商了解用户如何访问这些文件并与之互动，如柏林某办公室的用户倾向于首先访问哪些文件，是否应将这些文件存储在其附近以减少延迟？

（3）系统数据：记录用户访问云服务的方式，进而了解云服务有关系统的信息。

用户数据是欧盟《通用数据保护条例》（GDPR）的重点关注对象，而各类法规的出台也推动云提供商做出了实质性改变。如今，用户的账户信息，如姓名、地址、支付方式和用户使用的服务等，通常与用户的行为数据分开处理。账户信息有望得到更严格的保护。

衍生数据丰富多样。例如，Facebook会记录用户一天中的时间点击了哪些内容、最常点赞的帖子、删除评论的次数等。这些行为数据都在讲述一个关于用户及其习惯、信仰、梦想和欲望的故事，也驱动了互联网企业商业引擎的核心——广告。此外，对比用户正常的行为数据和其他网络活动，也有助于追踪网络攻击者的行为。

美国最大的三家云提供商（亚马逊、谷歌和微软）内部都有广泛的隐私培训和数据安全措施，并且对数据的保留时间进行了严格规定。然而，如果一些网络供给是数月精心侦察和渗透的产物，那么缺乏早期数据的会让调查工作变得非常困难。

基于系统数据，云提供商能够了解自身系统的一切信息。例如，服务器在响应新视频链接的持续请求或与特别大的共享电子表格相关的网络流量时是如何升温的。此外，系统数据还包括技术信息，如特定服务器在设施间移动数据时使用的网络路径、单台机器尝试访问的所有网络地址的日志、对是否存在未经验证或不允许的代码的测试结果，或数据中心机架前的温度。

这类数据很少与特定用户挂钩，往往是由微软威胁情报中心或谷歌威胁分析小组等更专业的团队进行访问和分析。一般而言，云计算所创建的大部分衍生数据和系统数据都会被迅速销毁，有时只保留几天或几周。全球云提供商的规模之大令人咋舌，因此其存储成本也是影响数据寿命的重要限制因素。

（二）为什么要区分不同数据类型？

区分各类数据及其常见用途，对于讨论数据存具有重要意义。关于云计算最常见的争论之一（尤其是当提供商首次进入某个市场时），就是应该在何处存储和处理数据。

强制数据托管在单一管辖区的努力统称为数据“本地化”（localization）。每种数据类型在云提供商内部都有其独特的业务目的，而本地化要求却很少能细致入微地捕捉到这些需求。许多本地化要求关注的是用户数据，尤其是限制在线广告中普遍存在的数据滥用现象；然而，在线广告最常利用的是衍生数据。对云提供商而言，系统数据最难被定位，但各国的本地化要求中反而很少涉及这一点。

通过对比两个国家的相关立法过程，可以发现忽视数据分类对云服务运营能造成何种巨大挑战。2018年，在越南通过了一项新数据本地化规定，要求在规定期限内，包括云提供商在内的各种互联网服务企业必须将越南用户的数据存储在越南；法律还要求对这些数据的任何处理、分析或组合都必须在越南本土进行。这引起了云提供商的强烈抗议，但却并没有解决越南人对于自身用户数据安全的担忧。

与此相反，2019年10月，印度尼西亚修改了一项由来已久的规定，要求互联网服务企业将数据中心设在该国境内。该规定仅限于提供公共服务的实体，并豁免了那些使用印尼无法提供的存储技术的实体。这种模式允许了数据的处理和储存分散在不同地点，并且在实质上加强对基础设施的管理。

虽然数据中心和相关的电力/冷却基础设施必须位于特定的物理位置，但云技术在理论上就是调度全球计算资源。如果处在同一架构下，监管部门和云提供商有能力更快追踪有关恶意活动的衍生数据及异常事件，从而提高用户的安全性。此外，通过连接各数字中心，云提供商能够保存多个备份，并且在不同地区的设施都保持一致的安全和运营实践。

全球主要云提供商拥有的数据中心地图（2019）

根据用户对加强控制的要求和政府新的监管框架，云提供商已经对其政策和工具进行了改进，并且体现在企业（尤其是超大规模供应商）的投资金额上。这背后反映了一个重要趋势：用户希望拥有自己的数据，因为控制权就会随之而来。为此，在全球分布的云计算基础设施中，一个国家希望同时保持数据的所有权和控制权将会是一项巨大挑战。

为此，“本地化”只是数据管理（包括数据的使用、存储、保留、组合和政府的合法访问）背后真正辩论的“冰山一角”。最终的关键问题在于：究竟应该采取谁的价值观？应该如何在国际上推行这个价值观？

虽然答案尚未明了，但各国都在迅速制定政策，以避免企业的技术和商业实践与与国家安全及社会规范之间出现裂痕。起初，这种裂痕只会造成云提供商的商业成本，相比数据隐私或国家安全等问题可能是微不足道。从长远来看，这种裂痕将动摇大国公共云的经济和技术基础。毕竟， “一刀切”的本地化带来的巨大直接或间接成本，不如可以投给更多的研发创新。

传说2：云计算产业没有“供应链风险”

（一）更加庞大和繁杂硬软件的供应链

在信息和通信技术领域，以美国为首的西方国家更关注传统电信产业的“供应链风险”，尤其针对5G展开了多项行动。然而，云计算也是广泛的风险来源，并且影响更为直接。

一许多云提供商正在进军 5G市场，与传统电信企业合作，充分利用了传统电话服务“软件化”的趋势。例如，亚马逊正在与Verizon 合作提供5G服务，微软也在 2020 年早些时候收购了虚拟化电信提供商Affirmed Networks。此外，一些云提供商本身实际上就是电信企业，在全球范围内拥有庞大的海底和陆上光缆网络。

全球数据中心数量

云提供商购买并维护庞大的计算基础设施，并为世界各地的客户提供主机服务。与电信企业一样，它们也是各种复杂威胁的攻击目标。如今，世界各地的情报和国防机构、金融部门以及几乎所有财富500强企业都在使用云计算。

数据中心服务器的供应链

云提供商会大量采购处理器、服务器板卡、网络交换机、路由器等，让计算产业和网络领域的风险都聚集在一起。此外，云服务依赖于大量软件，包括第三方和开源项目开发的代码。

云提供商必须管理许多不同类型的风险：他们运营大型（有时是全球性）电信网络；管理庞大的企业IT网络；每年开发和维护大量软件；建设大型数据中心，其中充斥着计算、网络和存储设备，以及保持这些数据中心供电和冷却的物理设备。西方最大的超大规模供应商试图通过对所采购的产品进行广泛的安全审计，制定和评估供应商的安全标准，并且通过详细的威胁情报收集和报告来管理风险。

搭建出一套“可信供应商”的体系对云提供商来说至关重要。在某些情况下，建立这种信任的成本或复杂性过高，云提供商就会引入一家企业，甚至通过构建自己的组件设备来取代关键供应商。尽管如此，风险只能被管理，而不能被消除。

云供应链风险与其他领域有一些重要的相似之处。无论是管理谷歌或IBM等大型企业网络的安全，还是分配高盛或沃尔玛的有限资源，企业负责人都需要做出许多相同的决策。

云供应链的不同之处在于其规模。如果企业运行自己的数据中心，每年可能会购买数百或数千台服务器，而云提供商则要购买数十万台服务器，并自行组装甚至设计。如上图和下图所示，这些设备被运往世界各地，运往每个提供商拥有或租赁的数据中心。根据服务模式（IaaS、PaaS 或 SaaS）的不同，云提供商可能会对每一个技术环节做出重要的设计和采购决策，或者与客户分担更多责任。

面对如此大的规模，公众同样也会关心云提供商本身所带来的风险。而随着越来越多的安全敏感型客户，例如美国和英国的作战防御信息和情报信息系统及其供应商，将其工作负载迁移到云中，云安全事件所造成的后果也爆炸性增长。

（二）虚拟机管理程序（Hypervisor）带来新风险

云计算的供应链风险不仅限于硬件及其密切相关的软件（如硬件驱动等）。虚拟机管理程序（Hypervisor）是一种软件，它允许多台实体同时使用一台计算机，并将它们分开，这对云计算服务的运行和安全至关重要。管理程序中的漏洞可让攻击者超越虚拟机，进而访问其他用户甚至主机，就像 2015 年在KVM、Xen和管理程序 QEMU中发现的Vemon漏洞一样。

如今，谷歌开发除了开源软件KVM的变种，亚马逊也越来越多地使用KVM，而不再使用同样开源的Xen。作为转向 KVM 的一部分，亚马逊部署了其所谓的Nitro系统，一套基于硬件的管理程序和安全功能。每项功能都设计在一个芯片中，从而实现了最高的效率和性能。此外，微软内部开发了一种名为Hyper-V 的产品，内置于Windows服务器中。

虚拟机管理程序软件为用户与提供商之间的隔离提供了基础。因此，管理程序的漏洞会对云服务构成了巨大挑战。一家漏洞代理公司根据客户的需求，为导致漏洞逃逸的问题代码提供高达50万美元的赔偿。在公开研究和竞赛中披露漏洞的例子不胜枚举，这表明还有更多漏洞在未披露的情况下被使用或出售。

当前，欧美云计算行业的“了解你的供应商”（Know Your Suppliers）规则通常仍植根于2001年的一项公私合作计划——海关贸易伙伴反恐计划（CTPAT），该计划侧重于实体安全，最近才增加了一套有限的信息保证标准。相比集装箱可以应用的统一的安全审计标准，软件（尤其是用于控制硬件的专有应用）的相关要求并不一致，并且都由企业的内部安全团队制定的。

在美国、英国和德国在内的全球云服务认证和监管体系中，往往过于注重各家执行软件的控制集，而很少关注供应商之间安全管理标准是否兼容，以及英特尔和思科等主要供应商不断调整的内控体系。企业提交的安全计划往往看上去都很大而全，要么只是局限在企业经营风险，要么只是一种计算机系统安全计划。

整个云计算行业已经积累了50年的供应链风险管理经验，如今已经具备建立统一体系的基础。例如，头部云提供商可以通过具体的合同要求，包括定期事件报告摘要、披露所使用的供应商以及对特定产品和服务链的总体风险评估，来追究供应商的责任。

充分明确这些责任和透明度标准将为现有的美国国家标准与技术研究院（NIST）和国际标准化组织（ISO）的供应链风险管理标准的补充提供坚实的基础。云提供商本身也可以采取更多措施来应对这些风险，并通过对云供应链风险管理计划的额外投资（包括新员工和对跨行业标准的承诺）来公开表明其意图。

传说3：“民主国家”不会干预云计算生态

（一）“民主国家”才是“数据本地化”的推动主力

很多欧洲“民主国家”在大力推动数据本地化并孤立政府云，严重阻碍了美国主导的“公共云”（public cloud）的发展。“公共云”指一个全球可访问的服务网络，其各种形式的数据和设备根据技术和财务效率的要求分布在世界各地。公有云并不意味着所有的云都是一样的——每个提供商都拥有并运营自己的基础设施——而是意味着不同的用户可以访问相同的基础设施。

“公共云”架构是云计算的核心前提：通过集中资源提高效率；同一台服务器或高性能计算集群几乎可以一直使用，由许多人共享。

然而，越来越多的国家和一些企业正在反对这种全球可访问性，认为本国政府和敏感行业使用的基础设施应与公共云隔离，并位于特定区域或司法管辖区。这种担忧源于一种反复出现的观点，即公共云比为单个组织或一组用户保留的基础设施更危险。

欧洲数据中心地图

这种观点也在快速蔓延，在所谓“民主国家”反倒可能获得更多支持。德国和法国都以行政和立法形式制定了数据本地化规则，限制在境外存储或传输某些数据。

例如，法国的规则包含在2017年发布的一份部级通告中，要求任何涉及电子通信监控的系统都必须以法国为基地，并阻止任何受法院诉讼管辖的数据离开法国。2000年，法国是首批对互联网巨头（雅虎）提起诉讼的国家之一——雅虎禁止法国用户访问其出售纳粹纪念品的拍卖网站，以此作为更广泛地阻止互联网上仇恨言论的一部分。2022年，法国又通过了允许国家机构过滤不良或盗版内容的法律，包括2011年提出的在全国互联网服务提供商使用的路由器上安装监控设备的技术建议。

欧盟的GAIA-X计划建议创建“欧洲云”，认为美国供应商提供的公共云或按照美国标准构建的公共云安全性较低、可信度较低，或反映的价值观与欧洲的价值观不一致。目前还不清楚欧盟是否有足够的国内云提供商市场来与欧洲企业一起构建“欧洲云”，因此最终结果可能只是一个美国企业构建的云，但拥有不同的设计，但并且与世界其他地区的公共云隔离开来。

在隔离政府数据方面，云提供商面临着巨大压力。美国、英国、德国、法国和澳大利亚当局要求云提供商建立本地数据中心，为公共组织提供服务和托管数据。关于物理隔离政府数据是否有必要作为核心安全实践，或者（以高昂的成本）仅仅是为了让其他政策（如要求特定的加密标准）更容易执行的争论仍在继续。与本地化一样，几乎没有迹象表明物理隔离具有内在的安全优势。

（二）若干预是必然，应该如何施策？

各国政府尤其是安全部门的实践，正在以标准的形态影响到私营领域，或许动摇云计算模式的组织效率和长期技术潜力的基础——公共云需要更大规模，而本地化和孤立的政府云却在限制规模。重复建设或成为头部企业较大的成本部门，进而压缩了其服务改进和创新研发的空间。

中小国家决策者特别关注欧美政府和云计算企业的动向。他们已经认识到，与较大的邻国相比，他们对云提供商的影响力相对较小。例如，阿根廷、荷兰和南非可能不具备单独推动重大政策变革的经济影响力。但是，通过地区或超国家集团的集体行动，可以推动与云提供商之间进行更细致、平等及和谐的政策对话。三大洋地区可以成为一个典范，并有可能建立一个联合监管的云计算市场，与云提供商共同制定标准，而不是让每个国家自己与亚马逊或微软竞争。

云提供商也应注意到这一趋势。政治因素正在左右技术要求和工程决策，有时是因为对底层基础架构的安全性和控制权存在真正的担忧，但这种担忧并未得到满足；有时则是因为缺乏知情的监管机构。云提供商应优先提供有关其基础设施和服务运营的信息，包括对系统设计和内部安全实践的适度技术解释。如今，太多的参与都陷入了游说和营销的迷雾之中。

传说4：云提供商不会影响互联网生态

（一）从“南北”到“东西”，互联网结构的重塑

互联网为全球共享计算、存储和网络资源提供了途径。互联网的带宽和可访问性使云计算为软件行业开辟一个重大市场，也扩大了互联网的实用性和灵活性。例如，IaaS的可访问性和成本效益帮助 Netflix等企业迅速成长为互联网总流量的重要组成部分；PaaS产品中嵌入的功能将大量复杂的编程任务从开发人员手中转移到了云提供商手中，从而将机器翻译和数据存储等任务的依赖性集中到了越来越少的企业及其网络路径上。

随着最大云提供商基础设施的发展，越来越多的流量在数据中心和由单个企业控制的全球网络之间运行，允许对核心互联网传输协议进行专有更改。云计算的广泛应用影响了互联网的形态。

这并非新现象。云服务起源于早期的大型计算机的“分时”阶段，即多个用户访问同一台计算机。1959 年，斯坦福大学计算机科学家、图灵奖得主约翰·麦卡锡（John McCarthy）首次实现了这种分时系统。直到1967年在伦敦的一个试点项目和1969年在美国的ARPANET才开启了通往互联网的第一批网络节点。

随着云计算的兴起，互联网不得不改变其形态并不断发展。在20世纪90年代流行的互联网模式下，数据在用户和雅虎等企业运营的服务器之间来回流动。这种用户-服务器-用户的路径在网络图上被抽象为进出企业基础设施的垂直流量，被称为“南北流量”，而在由单一服务运营的机器之间移动的数据则用水平线表示，被称为“东西流量”。

在亚马逊于2006年推出了首个大型云计算服务“亚马逊网络服务”（AWS）之前，大部分网络流量都是在用户和服务之间的“南北”向移动。随着 AWS 和云计算在未来十年的发展，越来越多的流量开始在服务器之间移动，以处理更复杂的请求，然后再返回用户。

现在，用户访问多媒体文件、协同编辑文档、与成百上千的不同用户访问数据库，而不是加载网页。越来越多的流量开始在服务器之间移动，从东到西，由机器负责不同方面的操作。这些服务器不再位于“不同的”机构，而是通过主要云提供商租赁或完全拥有的基础设施进行全球移动。在云提供商之间传输的数据甚至可以直接从其中一家拥有的基础设施传输到另一家，而无需接触公共互联网。

与卫星或微波无线电传输相比，光纤电缆承载着大部分互联网流量，并提供巨大的带宽。即使是每秒数十到数百TB的高带宽也是不够的。自2006年以来，云数据中心之间的流量增长速度几乎每年都超过互联网流量的增长速度。为了满足这一巨大的流量需求，微软和谷歌建设或租用了大量带宽，包括铺设新的跨大西洋光缆。亚马逊在很大程度上依赖于现有的线路和互联网基础设施，而微软和谷歌已经成为全球最大的光缆网络运营商之一。

谷歌甚至提出了自己的新互联网协议，用于其云计算网络，其首个路由协议取名为Firepath，用于管理谷歌互联网规模的数据中心内的数据流。此后第二个协议是2011 年开发的QUIC，它是通用的传输协议 TCP 的替代品，用于谷歌的网络，并通过Chrome浏览器等核心产品进行互联网通信。尽管互联网的核心技术标准机构——互联网工程任务组（IETF）——仍未全面正式采用QUIC道路上，但QUIC已是超过10%的互联网流量的标准协议。

（二）任应用软件随意改变，“云”自岿然不动

物理基础设施的所有权和运营只是云提供商对互联网影响的一部分；他们还为组织和开发者提供了部署其技术的市场。Signal是一种广泛使用的加密通信应用程序，深受持各国反对派、记者等群体的欢迎。由于Signal可以保护通信秘密，因此在埃及、伊朗、卡塔尔和阿联酋等保守国家很受欢迎。当这些国家当局封锁用户使用Signal等应用软件的互联网流量时，Signal就会显示其流量是通向谷歌或亚马逊等大型云提供商的。

这种被称为“域名前置”（domain fronting）的技术有效地让 Signal隐藏了自己的流量。这迫使国家监管陷入困境——封堵来自 Signal 这样一个流行但规模相对较小的应用程序的流量，与封堵互联网巨头所面临的问题截然不同。

然而，Signal在2018年5月还是遇到了麻烦，因为谷歌修改了服务条款并调整了网络技术，禁止和阻止了“域名前置”这种做法。据传，谷歌的改变有一定的政治因素，其在向伊朗用户提供一些互联网基础服务时，与当局对美国相关互联网应用企业的监管需求进行了沟通。此后，Signal试图将业务转移到亚马逊，继续“域名前置”的做法，但很快就放弃了——因为亚马逊也修改了政策。当前，如果不遵守云提供商的政策，应用程序可能被完全踢出互联网生态。

亚马逊当时面临着来自俄罗斯政府的巨大压力，要求其阻止向加密通信服务Telegram提供服务。俄罗斯当局封锁了亚马逊在该国的许多服务和互联网地址，试图迫使亚马逊合作，而亚马逊也在寻求某种方式来缓解其在不小的俄罗斯市场上的压力。

亚马逊、谷歌和微软对互联网的架构，甚至是某些业务的影响范围和最终结果都是惊人的。关于内容节制和监管是互联网的表层，而在这个层面上，竞争和替代要容易得多。谁还记得Yammer、Yabbly 或雅虎？如今，Facebook和YouTube已经成长为霸主，但它们的统治也无法一劳永逸。相反，如果能够控制这些服务赖以运行的基础设施，才能持续有效地对其部署和运行施加影响。在这个层面上，变化更难观察也更顽固——内容总能找到新的平台或服务作为归宿，但可供选择的“互联网”却很少。

结语

云提供商是地缘政治的参与者：它们影响着经济增长的速度和方向，左右着国际安全竞争，并为各种技术的获取提供中介——而这些技术可能正是打破全球力量平衡的关键。

云计算也受到地缘政治的影响：所有的电线、电缆、盒子、组织及其客户都必须生活在某个地方，而这些管辖区都有自己的规则和目标。对如今互联网做任何深入的分析，首先要破除四大“传说”，并且认识到：

（1）数据都是不一样的；

（2）从硬件到软件再到管理架构，云计算产业有更加复杂的“供应链风险”；

（3）西方“民主”是干预云计算生态的重要推手；

（4）云提供商已经改变了互联网的生态。

技术改变着社会和政治动态，云计算也不例外。如今，网络空间的冲突已经在“云中”展开，冲突双方可能使用的同一家云服务。随着云计算巨头继续集中计算资源和用户数据进行，它们的重要性只会与日俱增——不仅能成为经济和社会的管理者，而且还是未来政治斗争的巨大引擎。