顧茜

隨著云計(jì)算2.0時(shí)代的到來(lái)，企業(yè)上云成為趨勢(shì)。在企業(yè)上云的過(guò)程中，企業(yè)自有應(yīng)用的遷移、云的部署模式、網(wǎng)絡(luò)適配、數(shù)據(jù)安全、信息安全都成為企業(yè)上云的關(guān)鍵要素，如何應(yīng)對(duì)這些入云的需求是目前云服務(wù)商面臨的核心問(wèn)題。本文通過(guò)對(duì)幾個(gè)核心要素的解析，探討了針對(duì)這些要素的解決方案，為企業(yè)上云打造快捷平滑的上云之路。

關(guān)于云計(jì)算2.0

云計(jì)算的概念從2008年興起，至今也有十個(gè)年頭。云計(jì)算最早在以亞馬遜為代表的一眾互聯(lián)網(wǎng)服務(wù)商中發(fā)展落地，所以云計(jì)算的1.0時(shí)代是以互聯(lián)網(wǎng)企業(yè)為主要用戶，連接最終用戶為主，使用云的目的是降低業(yè)務(wù)提供成本，提升服務(wù)能力。而進(jìn)入云計(jì)算2.0時(shí)代，以傳統(tǒng)的企業(yè)為用戶，連接企業(yè)員工、機(jī)構(gòu)為主，使用云的目的是降低IT成本，提高IT效率、IT云化部署，從企業(yè)自建IT系統(tǒng)轉(zhuǎn)向打通公有云和私有云的混合云。1.0時(shí)代是互聯(lián)網(wǎng)企業(yè)把業(yè)務(wù)開(kāi)發(fā)流程從自家機(jī)房搬到云上，2.0時(shí)代數(shù)據(jù)已經(jīng)無(wú)邊界化，企業(yè)不僅數(shù)據(jù)上云，還要整合供應(yīng)鏈和外部數(shù)據(jù)，優(yōu)化整個(gè)生產(chǎn)流程。

企業(yè)上云之路

未來(lái)十年，企業(yè)的IT應(yīng)用在云計(jì)算的承載比重逐漸增強(qiáng)。根據(jù)IDC對(duì)對(duì)于AWS的未來(lái)企業(yè)工作負(fù)載的一個(gè)預(yù)測(cè)，2020年，傳統(tǒng)架構(gòu)的應(yīng)用與分布式架構(gòu)的應(yīng)用比例是6比4，而到了2025年這個(gè)比例則到了8比2，企業(yè)的核心應(yīng)用通過(guò)重構(gòu)的模式入云，同時(shí)隨著新技術(shù)的發(fā)展，云自身衍生的應(yīng)用比例也逐步增強(qiáng)。企業(yè)首先將非核心業(yè)務(wù)和基于云開(kāi)發(fā)的業(yè)務(wù)遷移入云，并開(kāi)始自身核心業(yè)務(wù)的云化。隨著業(yè)務(wù)的發(fā)展，創(chuàng)新應(yīng)用和事務(wù)型的應(yīng)用比重逐漸加大，企業(yè)入云的比例也逐步擴(kuò)大，而暫未遷移入云關(guān)鍵核心業(yè)務(wù)比重下降。

企業(yè)上云的關(guān)鍵要素

云部署? 混合云成為企業(yè)上云的首選架構(gòu)

企業(yè)上云逐步演進(jìn)，企業(yè)內(nèi)的應(yīng)用分為傳統(tǒng)應(yīng)用程序和企業(yè)基于云的創(chuàng)新應(yīng)用程序。而企業(yè)的傳統(tǒng)程序也分為企業(yè)的核心業(yè)務(wù)和企業(yè)的非核心的常見(jiàn)業(yè)務(wù)。對(duì)于基于云的創(chuàng)新應(yīng)用可以直接部署在公有云，對(duì)于企業(yè)核心應(yīng)用可以采用內(nèi)部云化私有云的建設(shè)模式，以公有云作為數(shù)據(jù)備份的形式;對(duì)于非核心的應(yīng)用則可以部署在企業(yè)自有的客戶數(shù)據(jù)中心或云服務(wù)商的專有云中，因此對(duì)于企業(yè)的整體云部署來(lái)說(shuō)混合云是企業(yè)上云的首選

云遷移? 實(shí)現(xiàn)整體業(yè)務(wù)需求評(píng)估和多場(chǎng)景模式的遷移服務(wù)

企業(yè)傳統(tǒng)IT云化，如何遷移整體上云？部分上云？一次性上云逐步上云？是否能根據(jù)用戶需求任意配置？能否像管理自己機(jī)房里的設(shè)備一樣管理公有云上的虛擬設(shè)備？原有應(yīng)用是否適應(yīng)遷移后的系統(tǒng)？云上資源是否支持大型數(shù)據(jù)庫(kù)是企業(yè)上云面臨的首要問(wèn)題。新云平臺(tái)除上線新業(yè)務(wù)外，很大部分是用于存量業(yè)務(wù)應(yīng)用的優(yōu)化、升級(jí)，如何有序、安全、便捷地進(jìn)行遷移，保證業(yè)務(wù)的可用性、安全性、連續(xù)性是必須考慮的重要環(huán)節(jié)。

完善的云遷移服務(wù)應(yīng)支持不依賴應(yīng)用原廠家，覆蓋所有行業(yè)大中小微企業(yè)、機(jī)構(gòu)等，支持文件級(jí)或系統(tǒng)級(jí)數(shù)據(jù)遷移，支持Windows和Linux操作系統(tǒng)，支持在線遷移，支持P2P、P2V、V2V、V2P等遷移場(chǎng)景，實(shí)現(xiàn)跨平臺(tái)的整體遷移，支持Oracle、SQLserver、Mysql等數(shù)據(jù)庫(kù)遷移，提供直觀的可視化遷移界面;應(yīng)用、數(shù)據(jù)庫(kù)分析優(yōu)化服務(wù)，而不是簡(jiǎn)單業(yè)務(wù)上云。

同時(shí)在遷移的實(shí)施過(guò)程中，首先需要對(duì)客戶的整體的業(yè)務(wù)系統(tǒng)的評(píng)估調(diào)研，做出整體的遷移方案，部署遷移測(cè)試平臺(tái)，同時(shí)遷移涉及到企業(yè)數(shù)據(jù)的復(fù)制遷移，對(duì)于遷移網(wǎng)絡(luò)速度的調(diào)整也是遷移的重要一環(huán)。而在遷移的實(shí)施過(guò)程中，也應(yīng)做到無(wú)停機(jī)的數(shù)據(jù)遷移，實(shí)現(xiàn)在線不停業(yè)務(wù)遷移;靈活部署，先遷移后擇時(shí)割接。

云網(wǎng)絡(luò)? 適配企業(yè)上云需求的隨選網(wǎng)絡(luò)構(gòu)建

企業(yè)入云，是將企業(yè)的應(yīng)用延伸至云端，如何與企業(yè)的原有局域網(wǎng)兼容，需要根據(jù)企業(yè)IT資源池的總體需求和網(wǎng)絡(luò)拓?fù)溥M(jìn)行考慮;入云線路的選擇是否可以根據(jù)企業(yè)網(wǎng)絡(luò)需求和經(jīng)濟(jì)能力，選擇專線、虛擬專線或者互聯(lián)網(wǎng)等接入方式，入云之后南北向的流量重點(diǎn)考慮在云內(nèi)平臺(tái)的東西向流量是否可以和原有資源池網(wǎng)絡(luò)進(jìn)行二層互通或三層互通;同時(shí)對(duì)于混合云部署架構(gòu)下的網(wǎng)絡(luò)方案需要考慮如何實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的雙活或容災(zāi)的需要等。

對(duì)于企業(yè)入云的網(wǎng)絡(luò)應(yīng)能實(shí)現(xiàn)企業(yè)端到云端保障，網(wǎng)絡(luò)彈性按需服務(wù)，避免過(guò)配置。利用VPN技術(shù)延伸企業(yè)局域網(wǎng)，避免如DDoS等互聯(lián)網(wǎng)攻擊，實(shí)現(xiàn)企業(yè)多分支多點(diǎn)到多點(diǎn)的連接，支持冗余，同時(shí)應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)需求應(yīng)能結(jié)合SDN等自助服務(wù)模式實(shí)現(xiàn)按需的隨選服務(wù)。

云安全? 實(shí)現(xiàn)基于彈性云服務(wù)能力的整體安全

企業(yè)把應(yīng)用系統(tǒng)部署在云端，遠(yuǎn)離原來(lái)自有的機(jī)房，安全是他們首要面對(duì)的問(wèn)題。首先隨著云平臺(tái)密集承載無(wú)論是政府和企業(yè)的數(shù)據(jù)，已經(jīng)成為網(wǎng)絡(luò)攻擊的重點(diǎn)，而在CSA和Enisa梳理的云服務(wù)風(fēng)險(xiǎn)中，數(shù)據(jù)安全，服務(wù)器的安全，和網(wǎng)絡(luò)最常見(jiàn)的DDOS是關(guān)注的重點(diǎn)。

因此，安全是企業(yè)入云首要考慮的前提，云自身的資源共享帶來(lái)的安全問(wèn)題，服務(wù)的可信與否，行業(yè)缺乏監(jiān)管。相關(guān)調(diào)查顯示，服務(wù)安全性是企業(yè)客戶選擇云服務(wù)主要考慮的問(wèn)題（50.8%）。

云等保2.0

伴隨著《網(wǎng)絡(luò)安全法》的出臺(tái)，等級(jí)保護(hù)工作進(jìn)入2.0時(shí)代，云計(jì)算系統(tǒng)是等級(jí)保護(hù)重點(diǎn)要關(guān)注的一個(gè)領(lǐng)域。而等級(jí)保護(hù)的標(biāo)準(zhǔn)體系也進(jìn)行了大的升級(jí)，在原等級(jí)保護(hù)核心標(biāo)準(zhǔn)的基礎(chǔ)上，進(jìn)行重新修訂。整個(gè)標(biāo)準(zhǔn)體系制定為一個(gè)矩陣，針對(duì)每一個(gè)特定的安全領(lǐng)域，做了相應(yīng)的擴(kuò)展要求，比如云計(jì)算領(lǐng)域，制定云計(jì)算擴(kuò)展要求。

在云計(jì)算環(huán)境中，應(yīng)將云服務(wù)方側(cè)的云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象定級(jí);云租戶側(cè)的等級(jí)保護(hù)對(duì)象也應(yīng)作為單獨(dú)的定級(jí)對(duì)象定級(jí);對(duì)于大型云計(jì)算平臺(tái)，應(yīng)將云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級(jí)對(duì)象。因此整體系統(tǒng)的云計(jì)算系統(tǒng)保護(hù)措施通常是以系統(tǒng)整體能力體現(xiàn)，云計(jì)算安全擴(kuò)展全局的形式展現(xiàn)，接入符合等級(jí)保護(hù)云平臺(tái)也是企業(yè)入云需要考慮的元素之一。

云安全服務(wù)

云計(jì)算本質(zhì)上跟IT系統(tǒng)是一樣的，傳統(tǒng)的安全解決方案在云數(shù)據(jù)中心依然能發(fā)揮作用。但是隨著SDN、NFV等新技術(shù)的引進(jìn)、應(yīng)用，傳統(tǒng)的云計(jì)算安全解決方案開(kāi)始面臨挑戰(zhàn)。

傳統(tǒng)的安全信息系統(tǒng)部署在一個(gè)相對(duì)封閉的環(huán)境，而隨著云計(jì)算的引入，云計(jì)算自有的彈性，大規(guī)模的虛擬機(jī)，和天然的多租戶屬性都給云的安全的部署帶來(lái)挑戰(zhàn)。比如我們經(jīng)常提到一個(gè)虛擬機(jī)逃逸，利用虛擬機(jī)或虛擬化軟件的漏洞，攻擊整臺(tái)宿主機(jī)。因此對(duì)于安全的需求，需要顆粒度更加的細(xì)化，同時(shí)去配套整體云化的彈性特點(diǎn)，安全也需具備即插即用的能力。

因此在做整體的云計(jì)算安全設(shè)計(jì)的時(shí)候，整體的安全體系要基于“可管，可控，可信”三個(gè)原則。首先要有完整的安全管理體系，從流程，制度的安全保障，針對(duì)不同角色，組織的安全管理體系。而在安全防護(hù)體系中，從機(jī)房的物理安全，到虛擬化系統(tǒng)的安全保障，虛擬化系統(tǒng)需要提供虛擬機(jī)病毒防護(hù)，虛擬機(jī)全生命周期管理，應(yīng)用層面的隔離保護(hù)，代碼隔離等，到數(shù)據(jù)層面的加密，保護(hù)和數(shù)據(jù)備份恢復(fù)機(jī)制，一個(gè)完整的體系。另外就是在整體運(yùn)行過(guò)程中的安全管控，統(tǒng)一的安全管控，統(tǒng)一的認(rèn)證接入的鑒權(quán)等。

企業(yè)上云總體視圖和展望

通過(guò)對(duì)企業(yè)上云的路徑和關(guān)鍵要素分析，可以把企業(yè)上云的過(guò)程分為互聯(lián)網(wǎng)化期、穩(wěn)步云化期、全面云化期，其中互聯(lián)網(wǎng)化期互聯(lián)網(wǎng)型系統(tǒng)上云，如企業(yè)電商系統(tǒng)、互聯(lián)網(wǎng)客服系統(tǒng)聯(lián)網(wǎng)銷售系統(tǒng);而穩(wěn)步云化期，則企業(yè)IT系統(tǒng)云化擴(kuò)容，引入云存儲(chǔ)實(shí)現(xiàn)企業(yè)備份，多地點(diǎn)組網(wǎng);而隨著云基礎(chǔ)設(shè)施的發(fā)展，企業(yè)則進(jìn)入全面云化期，實(shí)現(xiàn)企業(yè)IT核心系統(tǒng)上云，IT全面云化部署，停用原有的IT機(jī)房，在企業(yè)入云的過(guò)程中，遷移、安全、部署模式將是上云的關(guān)鍵要素。