上云已經(jīng)是不爭(zhēng)的事實(shí),但如何讓企業(yè)客戶放心地將業(yè)務(wù)搬到云上����,卻成為了云服務(wù)商們需要考慮的問(wèn)題??蛻粢氖遣粌H是云計(jì)算的彈性擴(kuò)展、按需租用的便利�,更有權(quán)利了解背后的利益點(diǎn)和潛在風(fēng)險(xiǎn)。
對(duì)于任何一家企業(yè)來(lái)說(shuō)�����,每年的巨額IT支出難以避免�����,而且買(mǎi)來(lái)的資源能否充分利用也要畫(huà)一個(gè)問(wèn)號(hào)����,更不要說(shuō)背后的運(yùn)營(yíng)成本。因此���,把業(yè)務(wù)搬上公有云成了很多企業(yè)的選擇��。通常���,大型企業(yè)出于安全隱私�����、數(shù)據(jù)歸屬等方面的考慮����,會(huì)優(yōu)先考慮自建機(jī)房�,控制基礎(chǔ)設(shè)施、網(wǎng)絡(luò)管道�、上層應(yīng)用,但這種方式對(duì)中小企業(yè)可能就是入不敷出了�����。
作為一項(xiàng)系統(tǒng)性工程�����,IT云化不是買(mǎi)幾臺(tái)服務(wù)器就可以�����,也不是單純將物理機(jī)架在虛擬機(jī)上。要知道�,不僅各自系統(tǒng)之間會(huì)有隔離���,網(wǎng)絡(luò)層面也要涉及復(fù)雜的拓?fù)潢P(guān)系�����,而且應(yīng)用兼容性的話語(yǔ)權(quán)也掌握在不同的軟件開(kāi)發(fā)商手里���,這些因素能否發(fā)揮聯(lián)動(dòng)作用,需要在遷移之前做好規(guī)劃���。舉例來(lái)說(shuō)�����,把應(yīng)用從小型機(jī)遷移到x86平臺(tái)����,是要針對(duì)后者進(jìn)行專門(mén)調(diào)試的�����。
然而,企業(yè)上云也不是一本萬(wàn)利的事情����,除了必要的安全可靠,還要讓云服務(wù)商為潛在的風(fēng)險(xiǎn)和成本做好預(yù)估和準(zhǔn)備�。對(duì)于采購(gòu)者來(lái)說(shuō),不能只關(guān)注服務(wù)的初始購(gòu)買(mǎi)價(jià)格����。云服務(wù)商會(huì)按照客戶提供的業(yè)務(wù)數(shù)量和使用情況來(lái)分配計(jì)算資源,后續(xù)也會(huì)有按秒計(jì)費(fèi)等功能����。不過(guò)隨著數(shù)據(jù)的爆發(fā)式增長(zhǎng),相應(yīng)占據(jù)的網(wǎng)絡(luò)�����、存儲(chǔ)���、計(jì)算資源也會(huì)水漲船高�����,使得開(kāi)發(fā)者要針對(duì)實(shí)時(shí)情況對(duì)應(yīng)用做出調(diào)整��。這樣一來(lái)�,新服務(wù)的使用必然伴隨著成本的增長(zhǎng)。
安全廠商McAfee曾一份報(bào)告中提到���,云計(jì)算行業(yè)所面臨的安全性問(wèn)題遠(yuǎn)比想象中的嚴(yán)重��,這種危機(jī)難以跟上高速發(fā)展的云技術(shù)。以AWS為例��,某業(yè)務(wù)部門(mén)運(yùn)行了約14個(gè)配置不當(dāng)?shù)腎aaS實(shí)例����,每20個(gè)AWS S3存儲(chǔ)服務(wù)中就有一個(gè)是公開(kāi)對(duì)外的。根據(jù)McAfee的調(diào)研���,S3存儲(chǔ)實(shí)例中約有5.5%的設(shè)置是“全局讀取”���,也就是說(shuō),任何知道S3存儲(chǔ)器地址的人都能看到其中的內(nèi)容�����。
此外,傳統(tǒng)的防火墻等安全和防護(hù)系統(tǒng)多是針對(duì)網(wǎng)絡(luò)和主機(jī)的邊界進(jìn)行檢測(cè)����,對(duì)未知威脅和已有漏洞缺乏足夠深入的解析能力,而在云計(jì)算環(huán)境中是沒(méi)有拓?fù)溥吔绲?����,一個(gè)基礎(chǔ)設(shè)施會(huì)承載多個(gè)業(yè)務(wù)系統(tǒng)����,虛擬化之后的某一個(gè)業(yè)務(wù)層的虛擬機(jī)有一定概率不在同一個(gè)安全區(qū)域之下,虛擬彼此之間的數(shù)據(jù)交換也不被外部網(wǎng)絡(luò)可見(jiàn)�。如果是依靠單一方案,是難以阻止像APT這樣的威脅�����,因?yàn)閯?dòng)態(tài)檢測(cè)往往會(huì)用于攻擊過(guò)程中的異常響應(yīng)�,而受攻擊前后仍需要流量監(jiān)視和回滾技術(shù)去發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)。
在公有云領(lǐng)域�����,開(kāi)源和云原生是繞不開(kāi)的話題��,但即使是云原生這樣的模式也會(huì)有不少隱性成本。一項(xiàng)調(diào)查顯示���,有相當(dāng)數(shù)量的受訪者將風(fēng)險(xiǎn)隱患列為云原生的攔路虎���。擔(dān)憂不無(wú)道理,據(jù)稱這些企業(yè)受攻擊的次數(shù)至少是上一年的兩倍���,被黑原因之一就是開(kāi)源架構(gòu)和代碼的使用�����,同樣為攻擊者提供了便利。
更重要的一點(diǎn)是�����,多數(shù)企業(yè)對(duì)潛在的網(wǎng)絡(luò)威脅缺乏可見(jiàn)性�����,并且難以具有識(shí)別或處理風(fēng)險(xiǎn)預(yù)警的能力��。如果是傳統(tǒng)的方法���,員工只能通過(guò)優(yōu)化算法和數(shù)據(jù)模型來(lái)加強(qiáng)準(zhǔn)確性�。有了云原生的環(huán)境,企業(yè)在分析數(shù)量流量時(shí)就可以調(diào)用CSP的開(kāi)放接口�,在不影響業(yè)務(wù)運(yùn)行性能的前提下,結(jié)合數(shù)據(jù)進(jìn)行預(yù)測(cè)或風(fēng)控���。
同樣的����,開(kāi)源也不是簡(jiǎn)單的拿來(lái)就用����。企業(yè)往往會(huì)直接看到開(kāi)源能夠以低廉的價(jià)格創(chuàng)造新的功能,但他們并不清楚要開(kāi)展部署軟件工具需要花費(fèi)多少資金����,而且因此還會(huì)額外的漏洞風(fēng)險(xiǎn)。同時(shí)��,企業(yè)還要在新技術(shù)應(yīng)用前在員工培訓(xùn)�、業(yè)務(wù)適配等方面做足準(zhǔn)備。
造成這些問(wèn)題的一大原因是����,企業(yè)不知道使用開(kāi)源工具的隱性成本�����,那么如果企業(yè)在選擇IT架構(gòu)之初就設(shè)立一定的標(biāo)準(zhǔn)或者等級(jí)劃分��,就可以對(duì)預(yù)期開(kāi)銷進(jìn)行評(píng)估�,并且對(duì)潛在的風(fēng)險(xiǎn)做出預(yù)測(cè)����,一旦成本入不敷出就能及時(shí)選擇替代的方案。當(dāng)用戶選擇開(kāi)源框架時(shí)會(huì)被第三方服務(wù)商要求取得合法授權(quán)��,而這筆費(fèi)用通常并不低����。
選擇開(kāi)源方案的時(shí)候先要了解什么是開(kāi)源��,并且熟知開(kāi)源代碼的相應(yīng)風(fēng)險(xiǎn)���,尤其是對(duì)于項(xiàng)目采購(gòu)或負(fù)責(zé)人來(lái)說(shuō)��。首先開(kāi)源是需要許可證的�����,是的你沒(méi)有看錯(cuò)�,代碼免費(fèi)不代表背后的商業(yè)模式免費(fèi),而且開(kāi)源也會(huì)有一些附加信息�,Open Source Initiative公布的數(shù)十種開(kāi)源許可證(license)就是一種,借助其版權(quán)所有者有權(quán)是否允許他人免費(fèi)使用��、修改��、共享版權(quán)軟件�。
換言之,如果版權(quán)所有者禁止共享�,那么用戶就只有看看代碼,不能直接拿來(lái)使用����,否則就是侵權(quán)。在當(dāng)前80多種開(kāi)源許可證中�,基本都可以讓用戶免費(fèi)使用,但使用條件則更有不同��,例如permissive類的許可證可以讓用戶在修改代碼后做閉源處理�,但有些是要著名原始作者的。再如像另外一些常見(jiàn)的許可證��,只有在分發(fā)的時(shí)候才要遵守許可,如果自己用(公司內(nèi)部)就不用遵守�。
綜上所述,無(wú)論是以何種形式上云���,一方面企業(yè)要結(jié)合自身需求去制定價(jià)值策略���,另一方面云服務(wù)商更有必要提前讓客戶知道上云的“額外負(fù)擔(dān)”,只有這樣才能安心上云����。
