“混合云”这个词内涵外延宽泛,或许正是为什么有那么多公司都宣称他们计划采用混合云的原因。如果你正铺开混合云战略,那你需要考虑的安全问题恐怕不会是你所预期的那些。
混合云迎合了今年IT界口味。《埃维诺全球混合云调查》报告中显示,高管们尤其看好它的前景:75%的高管认为混合云应作为他们公司今年的年度重点关注领域;72%预期在2018年引入混合云;76%期待在未来三年内将他们应用和服务的大部分——包括像数据和分析、办公应用和面向客户的服务之类的关键系统,转移到混合云环境中运营。
微软企业云团队也给出了相似的数字,表示其2/3的企业客户都看好混合云。Gartner的一份调查中显示,“3/4的企业将混合云看作带来期望的商业价值之物”。微软企业云的副总麦克·尼尔称这一比例变化很快,“我们极少听到客户说‘我只想在公有云上’或‘我只想限定在企业内部’。采用一些内部服务和一些云服务的混搭逐渐成为主流客户观点。”
事实上,埃维诺研究报告中65%的公司表示:如果可以的话,他们很快就会削减所有的数据中心而转投基于公有或混合云的解决方案。这不仅仅是明显的成本削减;61%的人认为云服务,尤其是混合云,是比现场数据中心更安全的,托管公司应用和数据的方式。
微软Azure云平台首席技术官马克·拉西诺维奇声称,微软大多数客户都表示“我们正在关闭数据中心,我们在合并数据中心,我们现在在做的所有事都在云端进行”。而且,已经看到财富500强中一些举足轻重的企业相当地激进,宣称他们有计划在两年时间内摒弃全部内部软件或服务,全都转移到云端。
可以认为,到明年年底全盘云端化的趋势并非危言耸听。
但同时,埃维诺调查也表明其中一些想法有些过于乐观。超过一半的高管不知道混合云和单纯同时使用云服务+已有内部系统的区别——就像在基础设施即服务(IaaS)上运行虚拟机或用Skype进行商业广播会议与你从Lync服务器得到的统一通信服务的区别一样。
让我们退回几步,弄清楚在谈论混合云的时候到底指的是什么,这对开展工作而言不仅是明智的,也许还是必要的。
理解混合云
混合云的定义实际上相当宽泛,可以指部分业务由内部软件处理而部分业务在云端。再比如,Office 365对ExpressRoute的支持之类的共有云服务时也会用到混合这个词。这是一种将Office 365终端置于自有网络基础设施之中的能力,这样客户便不是通过公共互联网而是通过自己的网络服务提供商线路接入微软Azure云。这种情况下,使用的东西完全置于云端,但连接的却是自己的内部基础设施。”
拉西诺维奇表示:集成度越高,就越接近混合云。“具体到Azure服务上,我所关注的,是支持企业环境与云端的无缝衔接——智能联网与稳定性。我们希望可以使您在内部及云端部署应用——以同样的应用模型,以及用同样的方式管理。”
混合云也是利用只能运行在云规模上的服务的一种更为简单的方式,比如想应用在没接入任何云的系统上的机器学习和预测分析。
携诸如Clutter和Delve这样的邮件和文档处理服务,微软正在成为这方面的大拿。Power BI可从云服务和自有SQL服务器应用提供历史业务情报和实时数据分析;Azure活动目录可提醒从远程发起的对托管设备的被盗凭证登录或同时登录;或者新的运营管理套装分析服务器设置并警示客户潜在的攻击。
不是购买并运营大规模的硬件,或者甚至使用公有云并设置和维护一个类似Hadoop集群的复杂系统,而是购买与内部系统相对的云服务。这是个不错的平衡,客户既得到了内部系统的价值却又用不着承担维护责任。
毫无疑问:混合云正向我们走来
云服务可以将你的应用或数据迁移进云以获得额外空间和性能的延伸扩展模型,但安全问题是一个无法绕开的话题。
无论是利用公有云提供一致性的OpenStack打造的私有云系统,或者类似微软云平台系统、VCE联盟的VBlock整柜式套件、思科UCS云资源平台或戴尔和惠普的预建系统这样的“聚合式基础设施”,这种混合云都会假设你的内部系统高度自动化标准化。
尽管一些VCE客户因为数据安全和隐私保护需求而寻求私有云,混合云仍是他们中大多数人投入的目标——VCE欧洲中东和非洲(EMEA)首席技术官尼格尔·莫尔顿说。“混合模型——你对数据分类并将其中一部分保留在公司内部,另一部分相对放心而乐于将之置于更为公开的基础设施上的模式,是我们看到的大多数人投资的方向。”
内部系统正越来越多地设计成适应混合云的模式。SQL Server 2016为服务器集成了云爆发模式,越来越多的业务流程服务使你在需要更多容量时将虚拟机移动到云端相当便捷。
如果你使用微软的StorSimple存储设备,你会得到一个‘无限’的存储区域网络(SAN)。它看起来就像你内部基础设施上的SAN,但能在复制、压缩、分层你的当前工作数据集的同时,还能根据你选择的云服务(Azure、Azure Government、Amazon S3或OpenStack云)自动备份快照和层叠冷数据。数据是加密的,可以用ExpressRoute连接,但你仍然可以将数据移动到云端而无需人工干预。
自动化和无缝低摩擦连接令数据和工作量无需干预地往来云端很是方便。而这意味着你需要预先设定清晰明确的安全策略,并自动应用,否则你将会发现把不想放上云端的东西也给拉上去了。
安全源于专业
拉西诺维奇建议:“要有个学习过程,而且很明显你要学的是能值回票价的风险最低的东西。你得知道这玩意儿会耗去我多少成本,最佳实施方案是什么,我该怎样在不致整个业务陷入风险的情况下探查安全状况。”
学习过程也是省钱的过程,还是得到云成本实际经验的过程。可以把测试环境放到云端,因为如果软件测试在本地进行,会占用基础设施,而且超过一半的时间都在坐等结果。当迁移到云端,可以了解混合云连接,将内部环境以安全的方式接入测试资源以避免直接暴露在互联网上。另外,还可以在迁移的时候学习怎样现代化企业的应用。
另外,如果将一些较低风险的系统连接到云,则有助于掌握混合云策略。比如面向客户的网站和市场营销活动一类低风险项目,完全可以放到云端进行。当然,我们需要了解怎样在没有组策略的世界里实施安全合规操作,在这种场景下,访问控制不是由网络结构而是由应用开发人员做主的。
然后,你可以更进一步,迈向更复杂的混合模式,将应用前端架设在云上而数据保留在公司内部。通常,更为敏感的数据是最难迁移的,因为企业内部的生态系统数据都建立在定点存放特定存取的基础之上,而迁移所有系统和数据将会耗费大笔资金。
想让迁移工作按优先顺序有效执行,需要进行数据分类,分析应用的复杂度和它们处理的数据的敏感性,并将处理机密和专有信息的应用找出来。
如今这一分类工作比过去容易的多,因为像HIPPA法案(简化管理以降低日益增长的医疗费用开支的法案)、Sox法案(《萨班斯法案》,涉及会计职业监管、公司治理、证券市场监管等)和Basel 3资本监管协议之类的规章制度不仅仅让企业严肃地对待安全问题,它们还建立了归类数据的框架,还会有监管机构经常性的审计,以查看是否合规。
企业管理模型的改变让混合云迁移更加容易,安全已不再是出事后才考虑的问题,而是融入到风险模型和风险评估之中。