“混合云”這個詞內(nèi)涵外延寬泛,或許正是為什么有那么多公司都宣稱他們計劃采用混合云的原因。如果你正鋪開混合云戰(zhàn)略,那你需要考慮的安全問題恐怕不會是你所預(yù)期的那些。
混合云迎合了今年IT界口味。《埃維諾全球混合云調(diào)查》報告中顯示,高管們尤其看好它的前景:75%的高管認為混合云應(yīng)作為他們公司今年的年度重點關(guān)注領(lǐng)域;72%預(yù)期在2018年引入混合云;76%期待在未來三年內(nèi)將他們應(yīng)用和服務(wù)的大部分——包括像數(shù)據(jù)和分析、辦公應(yīng)用和面向客戶的服務(wù)之類的關(guān)鍵系統(tǒng),轉(zhuǎn)移到混合云環(huán)境中運營。
微軟企業(yè)云團隊也給出了相似的數(shù)字,表示其2/3的企業(yè)客戶都看好混合云。Gartner的一份調(diào)查中顯示,“3/4的企業(yè)將混合云看作帶來期望的商業(yè)價值之物”。微軟企業(yè)云的副總麥克·尼爾稱這一比例變化很快,“我們極少聽到客戶說‘我只想在公有云上’或‘我只想限定在企業(yè)內(nèi)部’。采用一些內(nèi)部服務(wù)和一些云服務(wù)的混搭逐漸成為主流客戶觀點。”
事實上,埃維諾研究報告中65%的公司表示:如果可以的話,他們很快就會削減所有的數(shù)據(jù)中心而轉(zhuǎn)投基于公有或混合云的解決方案。這不僅僅是明顯的成本削減;61%的人認為云服務(wù),尤其是混合云,是比現(xiàn)場數(shù)據(jù)中心更安全的,托管公司應(yīng)用和數(shù)據(jù)的方式。
微軟Azure云平臺首席技術(shù)官馬克·拉西諾維奇聲稱,微軟大多數(shù)客戶都表示“我們正在關(guān)閉數(shù)據(jù)中心,我們在合并數(shù)據(jù)中心,我們現(xiàn)在在做的所有事都在云端進行”。而且,已經(jīng)看到財富500強中一些舉足輕重的企業(yè)相當(dāng)?shù)丶みM,宣稱他們有計劃在兩年時間內(nèi)摒棄全部內(nèi)部軟件或服務(wù),全都轉(zhuǎn)移到云端。
可以認為,到明年年底全盤云端化的趨勢并非危言聳聽。
但同時,埃維諾調(diào)查也表明其中一些想法有些過于樂觀。超過一半的高管不知道混合云和單純同時使用云服務(wù)+已有內(nèi)部系統(tǒng)的區(qū)別——就像在基礎(chǔ)設(shè)施即服務(wù)(IaaS)上運行虛擬機或用Skype進行商業(yè)廣播會議與你從Lync服務(wù)器得到的統(tǒng)一通信服務(wù)的區(qū)別一樣。
讓我們退回幾步,弄清楚在談?wù)摶旌显频臅r候到底指的是什么,這對開展工作而言不僅是明智的,也許還是必要的。
理解混合云
混合云的定義實際上相當(dāng)寬泛,可以指部分業(yè)務(wù)由內(nèi)部軟件處理而部分業(yè)務(wù)在云端。再比如,Office 365對ExpressRoute的支持之類的共有云服務(wù)時也會用到混合這個詞。這是一種將Office 365終端置于自有網(wǎng)絡(luò)基礎(chǔ)設(shè)施之中的能力,這樣客戶便不是通過公共互聯(lián)網(wǎng)而是通過自己的網(wǎng)絡(luò)服務(wù)提供商線路接入微軟Azure云。這種情況下,使用的東西完全置于云端,但連接的卻是自己的內(nèi)部基礎(chǔ)設(shè)施。”
拉西諾維奇表示:集成度越高,就越接近混合云。“具體到Azure服務(wù)上,我所關(guān)注的,是支持企業(yè)環(huán)境與云端的無縫銜接——智能聯(lián)網(wǎng)與穩(wěn)定性。我們希望可以使您在內(nèi)部及云端部署應(yīng)用——以同樣的應(yīng)用模型,以及用同樣的方式管理。”
混合云也是利用只能運行在云規(guī)模上的服務(wù)的一種更為簡單的方式,比如想應(yīng)用在沒接入任何云的系統(tǒng)上的機器學(xué)習(xí)和預(yù)測分析。
攜諸如Clutter和Delve這樣的郵件和文檔處理服務(wù),微軟正在成為這方面的大拿。Power BI可從云服務(wù)和自有SQL服務(wù)器應(yīng)用提供歷史業(yè)務(wù)情報和實時數(shù)據(jù)分析;Azure活動目錄可提醒從遠程發(fā)起的對托管設(shè)備的被盜憑證登錄或同時登錄;或者新的運營管理套裝分析服務(wù)器設(shè)置并警示客戶潛在的攻擊。
不是購買并運營大規(guī)模的硬件,或者甚至使用公有云并設(shè)置和維護一個類似Hadoop集群的復(fù)雜系統(tǒng),而是購買與內(nèi)部系統(tǒng)相對的云服務(wù)。這是個不錯的平衡,客戶既得到了內(nèi)部系統(tǒng)的價值卻又用不著承擔(dān)維護責(zé)任。
毫無疑問:混合云正向我們走來
云服務(wù)可以將你的應(yīng)用或數(shù)據(jù)遷移進云以獲得額外空間和性能的延伸擴展模型,但安全問題是一個無法繞開的話題。
無論是利用公有云提供一致性的OpenStack打造的私有云系統(tǒng),或者類似微軟云平臺系統(tǒng)、VCE聯(lián)盟的VBlock整柜式套件、思科UCS云資源平臺或戴爾和惠普的預(yù)建系統(tǒng)這樣的“聚合式基礎(chǔ)設(shè)施”,這種混合云都會假設(shè)你的內(nèi)部系統(tǒng)高度自動化標(biāo)準(zhǔn)化。
盡管一些VCE客戶因為數(shù)據(jù)安全和隱私保護需求而尋求私有云,混合云仍是他們中大多數(shù)人投入的目標(biāo)——VCE歐洲中東和非洲(EMEA)首席技術(shù)官尼格爾·莫爾頓說。“混合模型——你對數(shù)據(jù)分類并將其中一部分保留在公司內(nèi)部,另一部分相對放心而樂于將之置于更為公開的基礎(chǔ)設(shè)施上的模式,是我們看到的大多數(shù)人投資的方向。”
內(nèi)部系統(tǒng)正越來越多地設(shè)計成適應(yīng)混合云的模式。SQL Server 2016為服務(wù)器集成了云爆發(fā)模式,越來越多的業(yè)務(wù)流程服務(wù)使你在需要更多容量時將虛擬機移動到云端相當(dāng)便捷。
如果你使用微軟的StorSimple存儲設(shè)備,你會得到一個‘無限’的存儲區(qū)域網(wǎng)絡(luò)(SAN)。它看起來就像你內(nèi)部基礎(chǔ)設(shè)施上的SAN,但能在復(fù)制、壓縮、分層你的當(dāng)前工作數(shù)據(jù)集的同時,還能根據(jù)你選擇的云服務(wù)(Azure、Azure Government、Amazon S3或OpenStack云)自動備份快照和層疊冷數(shù)據(jù)。數(shù)據(jù)是加密的,可以用ExpressRoute連接,但你仍然可以將數(shù)據(jù)移動到云端而無需人工干預(yù)。
自動化和無縫低摩擦連接令數(shù)據(jù)和工作量無需干預(yù)地往來云端很是方便。而這意味著你需要預(yù)先設(shè)定清晰明確的安全策略,并自動應(yīng)用,否則你將會發(fā)現(xiàn)把不想放上云端的東西也給拉上去了。
安全源于專業(yè)
拉西諾維奇建議:“要有個學(xué)習(xí)過程,而且很明顯你要學(xué)的是能值回票價的風(fēng)險最低的東西。你得知道這玩意兒會耗去我多少成本,最佳實施方案是什么,我該怎樣在不致整個業(yè)務(wù)陷入風(fēng)險的情況下探查安全狀況。”
學(xué)習(xí)過程也是省錢的過程,還是得到云成本實際經(jīng)驗的過程。可以把測試環(huán)境放到云端,因為如果軟件測試在本地進行,會占用基礎(chǔ)設(shè)施,而且超過一半的時間都在坐等結(jié)果。當(dāng)遷移到云端,可以了解混合云連接,將內(nèi)部環(huán)境以安全的方式接入測試資源以避免直接暴露在互聯(lián)網(wǎng)上。另外,還可以在遷移的時候?qū)W習(xí)怎樣現(xiàn)代化企業(yè)的應(yīng)用。
另外,如果將一些較低風(fēng)險的系統(tǒng)連接到云,則有助于掌握混合云策略。比如面向客戶的網(wǎng)站和市場營銷活動一類低風(fēng)險項目,完全可以放到云端進行。當(dāng)然,我們需要了解怎樣在沒有組策略的世界里實施安全合規(guī)操作,在這種場景下,訪問控制不是由網(wǎng)絡(luò)結(jié)構(gòu)而是由應(yīng)用開發(fā)人員做主的。
然后,你可以更進一步,邁向更復(fù)雜的混合模式,將應(yīng)用前端架設(shè)在云上而數(shù)據(jù)保留在公司內(nèi)部。通常,更為敏感的數(shù)據(jù)是最難遷移的,因為企業(yè)內(nèi)部的生態(tài)系統(tǒng)數(shù)據(jù)都建立在定點存放特定存取的基礎(chǔ)之上,而遷移所有系統(tǒng)和數(shù)據(jù)將會耗費大筆資金。
想讓遷移工作按優(yōu)先順序有效執(zhí)行,需要進行數(shù)據(jù)分類,分析應(yīng)用的復(fù)雜度和它們處理的數(shù)據(jù)的敏感性,并將處理機密和專有信息的應(yīng)用找出來。
如今這一分類工作比過去容易的多,因為像HIPPA法案(簡化管理以降低日益增長的醫(yī)療費用開支的法案)、Sox法案(《薩班斯法案》,涉及會計職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管等)和Basel 3資本監(jiān)管協(xié)議之類的規(guī)章制度不僅僅讓企業(yè)嚴(yán)肅地對待安全問題,它們還建立了歸類數(shù)據(jù)的框架,還會有監(jiān)管機構(gòu)經(jīng)常性的審計,以查看是否合規(guī)。
企業(yè)管理模型的改變讓混合云遷移更加容易,安全已不再是出事后才考慮的問題,而是融入到風(fēng)險模型和風(fēng)險評估之中。
京公網(wǎng)安備 11010502049343號