上云已经是不争的事实,但如何让企业客户放心地将业务搬到云上,却成为了云服务商们需要考虑的问题。客户要的是不仅是云计算的弹性扩展、按需租用的便利,更有权利了解背后的利益点和潜在风险。
对于任何一家企业来说,每年的巨额IT支出难以避免,而且买来的资源能否充分利用也要画一个问号,更不要说背后的运营成本。因此,把业务搬上公有云成了很多企业的选择。通常,大型企业出于安全隐私、数据归属等方面的考虑,会优先考虑自建机房,控制基础设施、网络管道、上层应用,但这种方式对中小企业可能就是入不敷出了。
作为一项系统性工程,IT云化不是买几台服务器就可以,也不是单纯将物理机架在虚拟机上。要知道,不仅各自系统之间会有隔离,网络层面也要涉及复杂的拓扑关系,而且应用兼容性的话语权也掌握在不同的软件开发商手里,这些因素能否发挥联动作用,需要在迁移之前做好规划。举例来说,把应用从小型机迁移到x86平台,是要针对后者进行专门调试的。
然而,企业上云也不是一本万利的事情,除了必要的安全可靠,还要让云服务商为潜在的风险和成本做好预估和准备。对于采购者来说,不能只关注服务的初始购买价格。云服务商会按照客户提供的业务数量和使用情况来分配计算资源,后续也会有按秒计费等功能。不过随着数据的爆发式增长,相应占据的网络、存储、计算资源也会水涨船高,使得开发者要针对实时情况对应用做出调整。这样一来,新服务的使用必然伴随着成本的增长。
安全厂商McAfee曾一份报告中提到,云计算行业所面临的安全性问题远比想象中的严重,这种危机难以跟上高速发展的云技术。以AWS为例,某业务部门运行了约14个配置不当的IaaS实例,每20个AWS S3存储服务中就有一个是公开对外的。根据McAfee的调研,S3存储实例中约有5.5%的设置是“全局读取”,也就是说,任何知道S3存储器地址的人都能看到其中的内容。
此外,传统的防火墙等安全和防护系统多是针对网络和主机的边界进行检测,对未知威胁和已有漏洞缺乏足够深入的解析能力,而在云计算环境中是没有拓扑边界的,一个基础设施会承载多个业务系统,虚拟化之后的某一个业务层的虚拟机有一定概率不在同一个安全区域之下,虚拟彼此之间的数据交换也不被外部网络可见。如果是依靠单一方案,是难以阻止像APT这样的威胁,因为动态检测往往会用于攻击过程中的异常响应,而受攻击前后仍需要流量监视和回滚技术去发现潜在的风险。
在公有云领域,开源和云原生是绕不开的话题,但即使是云原生这样的模式也会有不少隐性成本。一项调查显示,有相当数量的受访者将风险隐患列为云原生的拦路虎。担忧不无道理,据称这些企业受攻击的次数至少是上一年的两倍,被黑原因之一就是开源架构和代码的使用,同样为攻击者提供了便利。
更重要的一点是,多数企业对潜在的网络威胁缺乏可见性,并且难以具有识别或处理风险预警的能力。如果是传统的方法,员工只能通过优化算法和数据模型来加强准确性。有了云原生的环境,企业在分析数量流量时就可以调用CSP的开放接口,在不影响业务运行性能的前提下,结合数据进行预测或风控。
同样的,开源也不是简单的拿来就用。企业往往会直接看到开源能够以低廉的价格创造新的功能,但他们并不清楚要开展部署软件工具需要花费多少资金,而且因此还会额外的漏洞风险。同时,企业还要在新技术应用前在员工培训、业务适配等方面做足准备。
造成这些问题的一大原因是,企业不知道使用开源工具的隐性成本,那么如果企业在选择IT架构之初就设立一定的标准或者等级划分,就可以对预期开销进行评估,并且对潜在的风险做出预测,一旦成本入不敷出就能及时选择替代的方案。当用户选择开源框架时会被第三方服务商要求取得合法授权,而这笔费用通常并不低。
选择开源方案的时候先要了解什么是开源,并且熟知开源代码的相应风险,尤其是对于项目采购或负责人来说。首先开源是需要许可证的,是的你没有看错,代码免费不代表背后的商业模式免费,而且开源也会有一些附加信息,Open Source Initiative公布的数十种开源许可证(license)就是一种,借助其版权所有者有权是否允许他人免费使用、修改、共享版权软件。
换言之,如果版权所有者禁止共享,那么用户就只有看看代码,不能直接拿来使用,否则就是侵权。在当前80多种开源许可证中,基本都可以让用户免费使用,但使用条件则更有不同,例如permissive类的许可证可以让用户在修改代码后做闭源处理,但有些是要著名原始作者的。再如像另外一些常见的许可证,只有在分发的时候才要遵守许可,如果自己用(公司内部)就不用遵守。
综上所述,无论是以何种形式上云,一方面企业要结合自身需求去制定价值策略,另一方面云服务商更有必要提前让客户知道上云的“额外负担”,只有这样才能安心上云。
原文来自:
本文地址://gulass.cn/cloud-really-zero.html编辑:王浩,审核员:逄增宝
Linux大全:
Linux系统大全: