什麼是“雲”?
要談企業上雲,還要先從雲談起。這裡的雲,也就是雲計算,是指以互聯網為平臺,將硬件、軟件、網絡等系列資源統一起來,實現數據的計算、儲存、處理和共享的模式。
雲計算是IT基礎設施的交付和使用模式,雲計算通過網絡以按需、易擴展的方式獲得所需的資源(硬件、平臺、軟件)。“雲”中的資源在使用者看來是可以無限擴展的,並且可以隨時獲取,按需使用,隨時擴展,按使用付費。
各行各業都張開雙臂迎接雲端時代的來臨,但是在享受雲服務的同時,許多企業也擔心雲服務安全及無法掌握的風險。如何確保企業的重要系統及資料上雲後無後顧之憂,對於現今雲端服務提供商而言是一大挑戰。
企業上雲所面臨的痛點有哪些呢?
一、決策者對於上雲安全存在顧慮。許多企業決策者的顧慮集中於以下方面:一是關於數據安全的問題,一些決策者擔心數據被雲服務提供商“偷窺”或利用。這種擔心不無道理。2018年3月,Facebook被曝非法將大約5000萬用戶信息用於大數據分析,進而精準刻畫這些用戶的心理特徵,並向其推送假新聞和定製廣告。接著,谷歌雲在博客發文《確保企業雲上數據安全》,該文針對目標群體是企業級用戶,旨在消除企業級用戶的安全顧慮。二是關於業務連續性的問題,一些企業決策者擔心雲平臺因為提供商的某種原因(管理原因、安全漏洞等)致使雲平臺出現故障,進而影響到用戶業務系統的連續性。例如,亞馬遜AWS、微軟的Azure、蘋果iCloud、阿里雲等雲服務提供商都在2016—2017年間出現過宕機事件,對於雲上業務系統連續性造成一定程度負面影響。三是關於監管合規的問題,一些特定行業的企業擔心採用雲服務的相關監管政策不明朗,對於企業上雲業務的合規性存在顧慮。
二、重構傳統業務系統的難度較大。傳統單體架構通常包含較多的模塊,模塊之間耦合度較高、依賴關係錯綜複雜,變更功能或修改缺陷時往往需要重新部署整個應用。單體架構的可擴展性較差,只能採取垂直擴展模式(增加服務器的配置)提升系統的處理能力,難以針對特定業務模塊特點進行伸縮,例如I/O密集型、計算密集型服務等。
多數企業的應用系統都是歷經多年積累構建,業務軟件和數據通常以傳統架構(ORM和MVC)來進行設計,向雲端遷移勢必導致企業業務架構的大幅度改變,需要對自身業務系統進行重新梳理,並協調其中的利益關係。企業的單體架構向微服務架構的重構過程耗時耗力且技術難度係數也較大,企業原有IT開發和管理人員可能難以勝任,並且也難以理解與適應雲端業務模式。
三、可能面臨雲服務系統性風險。企業上雲(特別是公有云和混合雲),越來越多的敏感性信息存儲在雲服務提供商的數據中心之中,一些安全疏漏將可能引發範圍廣、系統性的安全威脅。2017年12月,雲計算安全聯盟(CSA)發佈《雲計算的12大威脅:行業見解報告》,該報告認為雲計算在數據洩露、身份憑證和訪問管理不善、不安全的應用程序編程接口、系統漏洞、賬戶劫持、懷有惡意的內部人士、高級持續性威脅、數據丟失、盡職調查不足、濫用和惡意使用雲服務、拒絕服務、共享的技術漏洞等方面存在安全威脅。近期一些雲服務商出現了系列宕機和數據安全事件。例如,2017年初亞馬遜AWS的一位工程師試圖調試亞馬遜的弗吉尼亞數據中心S3存儲系統,輸入了一個錯誤指令後,導致Slack、Quora和Trello等眾多互聯網企業平臺宕機4個小時。2017年2月,Cloudflare被曝出由於編程錯誤致使其系統會將服務器內存裡的部分內容緩存至網頁,惡意用戶可以通過該漏洞隨機獲取來自其他人的會話中的敏感信息,該事件涉及Uber、1password等眾多購買其服務的互聯網公司業務。
- 那麼針對於企業上雲我們的對策和建議又分別是什麼呢?
一、普及雲安全知識。世界上沒有100%安全的系統,安全攻防戰一直都存在。應找準安全參考系,企業上雲的安全性應與企業自建系統進行比較,主要有以下方面:一是企業自建系統看似能夠自我掌控風險,但企業自己的安全團隊的專業性可能遠不及雲服務商,存在很多安全隱患,甚至可能還不自知(一些數據可能在企業毫不知情的情況下被竊取);二是企業自建數據中心通常集中在某區域,難以做到跨大區域的異地備份,在容災方面有欠缺,一旦發生重大災害,將有重大風險隱患。目前針對雲特有的安全問題,雲安全責任共擔模式已在業界達成共識,亞馬遜AWS、微軟Azure、阿里雲等企業均採用了與用戶共擔風險的安全策略。雲服務提供商負責組建專門團隊保護其服務的底層基礎設施不受威脅、漏洞、濫用和欺詐的侵害,併為客戶提供主要安全功能。例如,數據加密、身份與訪問管理、多因子身份驗證等。用戶負責安全功能的恰當配置,安裝更新和確保僱員不把敏感數據洩露給未授權方等。
二、採用更靈活、可擴展性強的微服務架構。企業的傳統架構不能夠充分利用上雲在彈性擴展方面的優勢。微服務架構可以被定義為細粒度的SOA(面向服務的架構),該種架構的最主要特徵是小的服務開發成單一應用的形式,每個應用都運行在單一的進程中,並使用HTTP輕量級接口。微服務通常被封裝成輕量型、可移植、自給自足的容器。這些容器可以使用標準操作來處理,並可以在幾乎任何硬件平臺上一致地運行。企業遷移到微服務架構需要對業務有充分理解並進行重新梳理,將那些松耦合、高內聚的微服務分離出來。採用自動化測試工具、持續集成與自動化部署工具來輔助團隊開發和管理眾多服務。對於那些難以修改的遺留系統,可採用絞殺者模式,在其外層增加新的功能做成微服務方式,從而逐步將舊系統進行替換。
三、加強企業隱私保護。雲服務提供商可以提供安全訪問、防止雲中敏感數據洩露等方式來加強企業隱私保護。在安全訪問方面,管理員指定可訪問某個應用程序或資源的身份組,需要經過授權和身份驗證的用戶能訪問在雲上運行的某個程序或資源,例如,谷歌雲的身份感知代理(IAP)、阿里雲的RAM賬號安全管理和訪問控制。數據洩露防護方面,例如,谷歌雲採用數據洩露防護DLP API讓IT團隊識別和修改可能在谷歌雲平臺上運行的應用程序中的任何敏感信息,DLP技術執行深層內容分析,從而根據敏感數據類型(如賬號及其他聯繫信息)列表查找匹配項,管理員可決定適用於每種數據類型的保護級別及方式。
總之,企業上雲是企業數字化轉型的重要路徑,龍智造工業雲從企業角度思考打消決策者對於上雲的安全顧慮、幫助企業梳理業務系統重構問題,以及降低可能面臨的雲服務系統性風險,才能讓“天塹變通途”,跨越企業上雲的重重難關。
閱讀更多 龍智造工業雲 的文章
