紅帽潘應麟:云的監管不只在安全
對于許多渴望增強其運作靈活性的企業來說,云計算似乎越來越成為一種更加靈活且有效的解決方案。今天的云環境使用的很多技術,無論是公共云還是私有云,都在很大程度上基于開源軟件。開源軟件可提供強大的應用程序框架、快速的開發速度、供應商中立性,以及遵照標準并且避免廠商鎖定。
眾所周知,越來越多的企業正在采用云計算。根據IDC發布的2010亞太地區(日本除外)云服務和技術用戶調查,該地區內24%的企業正在使用云服務,6%的企業正在積極研究或嘗試云服務。另外,有23%的被調查者正在計劃在未來的12個月內使用云服務,余下的47%的被調查者已經計劃在12個月之后的某個時間使用云服務。
由于管理著成千上萬的服務和數據元素,因此有必要對訪問、添加、刪除和更改它們的方式進行控制,尤其是在不受物理控制的環境中。因此,IT監管對于云計算的成功至關重要。也就是說,云計算需要進程、政策和程序。虛擬化、動態轉移的工作負載、以及越來越依靠第三方而實現的多種類型的IT功能,意味著構思嚴謹、文檔記錄進程、政策和程序將會比一個靜態的人工環境更加重要。
監管的概念不僅是安全和技術
當人們論及云中的安全或風險時,它們實際上討論的是監管。安全的程序和技術是監管的一部分,但是監管的概念要更加寬廣。法律和管理程序、透明度、服務等級、賠償、通知和可移植性都是這一內容的一部分,尤其是隨著討論的放寬,并包括了公共云基礎架構提供商以及軟件即服務(SaaS)供應商。
一致性和可移植性是兩個最重要的支柱,它們支撐著被妥善監管的云架構,無論是企業內部自建架構、公共架構或是混合架構。這些概念相互之間聯系緊密,但它們又不一樣。
一致性指的是在不同的公共云和私有云中都有一致的運行時環境(例如操作系統或中間件)。同一個應用程序應該要在這兩個地方都能運行。作為起步,你可以使用一個給定的Linux、Java、PHP或者任意應用程序,目標環境將擁有支持軟件和硬件基礎架構,以允許應用程序在所有這些地方都能按同樣的方式運行。起碼,應用程序的使用者無法區分這些程序的運行地點。IT操作人員理所當然需要知道工作負載在哪里運行,并且事先制定不同的工作負載的運行環境。
可能造成對一致性的破壞是公共云會助長臨時開發這種無需符合企業內部運行的應用程序標準的行為。這對于原型設計或其他一次性設計的工作來說是可行的。然而,原型非常容易演變成為其他東西,這在早期的可視編程語言中十分常見,其結果是往往演變成為要么需要重新編寫,要么就是將來在支持性、可靠性或擴展性方面存在問題的應用程序。僅僅是因為開發人員發現給定的公共云環境可提供最便宜且最簡便方式來編寫和測試應用程序并不意味著完整應用程序生命周期的成本都很低。基于公共云的開發一定會有,所以最好的策略是認識到這種必然性,并且以一種與企業標準相符的方式引導它。
可移植性有多種形式。可移植計算創建的可擴展的私有云,可以在統一管理框架下合并到一家公共云提供商上。可移植應用程序意味著開發人員可以只編寫一次,然后在任何地方進行部署,以保留其戰略靈活性,并保持多種選擇,同時降低維護和支持成本。可移植服務通過消除私有云中經常需要重新實施的功能,簡化了開發和運行,并且實現了數據和應用程序功能的跨云移動。可移植的編程模型能夠把現有的應用程序帶入云環境中,或者不斷演化。
而且,由于具有一致性,可移植性的很多方面也不主要體現在技術上,例如軟件訂閱和許可證是否可以從一個地方轉移到另一個地方。一致的支持和維護環境同樣是基本元素。
企業有可能以多種方式使用公共云提供商——目的應是對使用方式進行監管,而不是阻礙。
云計算基礎架構可以實現快速的實驗和擴展。托管的應用程序通常比傳統的企業自建軟件更快上線,并且因此能更快地傳遞商業價值。事實上,所有企業都存在著某種方式的云計算,無論是通過正式的IT流程進行評估和采用新的CRM平臺、被開發人員臨時使用的公共云基礎架構、或者企業自建云突然變成公共云以獲得暫時的容量等方式。考慮到正確保護數據,以及盡量減少被第三方供應商鎖定的重要性,尤為關鍵的是要將含有企業數據或產品應用程序的云計算活動置于共同監管的保護傘之下。
對于絕大多數企業來說,簡單地禁止使用公共云資源和應用程序是一種不可行的策略。一個原因是,它切斷了企業通過第三方提供商獲得收益的途徑。第二個原因是,由于個人移動設備、以及各種免費或低價的網頁服務的非官方使用越來越盛行,這種方式并不奏效。
最好是接受這個事實,并讓公共云資源明確成為整體IT監管的一部分。例如,一家IT企業可能會允許私人設備免費訪問企業的電子郵箱,但是會設置一些例如令牌等機制,為訪問增加一層保護。也許,最重要的環節是讓用戶參與政策制定,而不是創造一種IT與所有人對立的態勢。
云計算不會比整體IT更加“危險”。當然,與所有IT活動一樣,云計算項目應該以一種既減輕風險,又將這些項目放在整體IT環境下考慮的方式進行。
