信息化觀察網(wǎng)

近兩年，云計(jì)算已經(jīng)火透半邊天，越來越多的企業(yè)開始將自己公司的業(yè)務(wù)轉(zhuǎn)移至云端，毋庸置疑，企業(yè)上云已是不爭的事實(shí)。相信不久的未來，云計(jì)算會像水、電、煤一樣普及。眾所周知，企業(yè)業(yè)務(wù)遷移至云端會有很多好處，但企業(yè)上云也不是一本萬利的事情，我們也應(yīng)該了解下它潛在的風(fēng)險(xiǎn)。

對于任何一家企業(yè)來說，每年的巨額IT支出難以避免，而且買來的資源能否充分利用也要畫一個(gè)問號，更不要說背后的運(yùn)營成本。因此，把業(yè)務(wù)搬上公有云成了很多企業(yè)的選擇。通常，大型企業(yè)出于安全隱私、數(shù)據(jù)歸屬等方面的考慮，會優(yōu)先考慮自建機(jī)房，控制基礎(chǔ)設(shè)施、網(wǎng)絡(luò)管道、上層應(yīng)用，但這種方式對中小企業(yè)可能就是入不敷出了。

作為一項(xiàng)系統(tǒng)性工程，IT云化不是買幾臺服務(wù)器就可以，也不是單純將物理機(jī)架在虛擬機(jī)上。要知道，不僅各自系統(tǒng)之間會有隔離，網(wǎng)絡(luò)層面也要涉及復(fù)雜的拓?fù)潢P(guān)系，而且應(yīng)用兼容性的話語權(quán)也掌握在不同的軟件開發(fā)商手里，這些因素能否發(fā)揮聯(lián)動作用，需要在遷移之前做好規(guī)劃。舉例來說，把應(yīng)用從小型機(jī)遷移到x86平臺，是要針對后者進(jìn)行專門調(diào)試的。

然而，企業(yè)上云也不是一本萬利的事情，除了必要的安全可靠，還要讓云服務(wù)商為潛在的風(fēng)險(xiǎn)和成本做好預(yù)估和準(zhǔn)備。對于采購者來說，不能只關(guān)注服務(wù)的初始購買價(jià)格。云服務(wù)商會按照客戶提供的業(yè)務(wù)數(shù)量和使用情況來分配計(jì)算資源，后續(xù)也會有按秒計(jì)費(fèi)等功能。不過隨著數(shù)據(jù)的爆發(fā)式增長，相應(yīng)占據(jù)的網(wǎng)絡(luò)、存儲、計(jì)算資源也會水漲船高，使得開發(fā)者要針對實(shí)時(shí)情況對應(yīng)用做出調(diào)整。這樣一來，新服務(wù)的使用必然伴隨著成本的增長。

安全廠商McAfee曾一份報(bào)告中提到，云計(jì)算行業(yè)所面臨的安全性問題遠(yuǎn)比想象中的嚴(yán)重，這種危機(jī)難以跟上高速發(fā)展的云技術(shù)。以AWS為例，某業(yè)務(wù)部門運(yùn)行了約14個(gè)配置不當(dāng)?shù)腎aaS實(shí)例，每20個(gè)AWS S3存儲服務(wù)中就有一個(gè)是公開對外的。根據(jù)McAfee的調(diào)研，S3存儲實(shí)例中約有5.5%的設(shè)置是“全局讀取”，也就是說，任何知道S3存儲器地址的人都能看到其中的內(nèi)容。

此外，傳統(tǒng)的防火墻等安全和防護(hù)系統(tǒng)多是針對網(wǎng)絡(luò)和主機(jī)的邊界進(jìn)行檢測，對未知威脅和已有漏洞缺乏足夠深入的解析能力，而在云計(jì)算環(huán)境中是沒有拓?fù)溥吔绲?，一個(gè)基礎(chǔ)設(shè)施會承載多個(gè)業(yè)務(wù)系統(tǒng)，虛擬化之后的某一個(gè)業(yè)務(wù)層的虛擬機(jī)有一定概率不在同一個(gè)安全區(qū)域之下，虛擬彼此之間的數(shù)據(jù)交換也不被外部網(wǎng)絡(luò)可見。如果是依靠單一方案，是難以阻止像APT這樣的威脅，因?yàn)閯討B(tài)檢測往往會用于攻擊過程中的異常響應(yīng)，而受攻擊前后仍需要流量監(jiān)視和回滾技術(shù)去發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)。

在公有云領(lǐng)域，開源和云原生是繞不開的話題，但即使是云原生這樣的模式也會有不少隱性成本。一項(xiàng)調(diào)查顯示，有相當(dāng)數(shù)量的受訪者將風(fēng)險(xiǎn)隱患列為云原生的攔路虎。擔(dān)憂不無道理，據(jù)稱這些企業(yè)受攻擊的次數(shù)至少是上一年的兩倍，被黑原因之一就是開源架構(gòu)和代碼的使用，同樣為攻擊者提供了便利。

更重要的一點(diǎn)是，多數(shù)企業(yè)對潛在的網(wǎng)絡(luò)威脅缺乏可見性，并且難以具有識別或處理風(fēng)險(xiǎn)預(yù)警的能力。如果是傳統(tǒng)的方法，員工只能通過優(yōu)化算法和數(shù)據(jù)模型來加強(qiáng)準(zhǔn)確性。有了云原生的環(huán)境，企業(yè)在分析數(shù)量流量時(shí)就可以調(diào)用CSP的開放接口，在不影響業(yè)務(wù)運(yùn)行性能的前提下，結(jié)合數(shù)據(jù)進(jìn)行預(yù)測或風(fēng)控。

同樣的，開源也不是簡單的拿來就用。企業(yè)往往會直接看到開源能夠以低廉的價(jià)格創(chuàng)造新的功能，但他們并不清楚要開展部署軟件工具需要花費(fèi)多少資金，而且因此還會額外的漏洞風(fēng)險(xiǎn)。同時(shí)，企業(yè)還要在新技術(shù)應(yīng)用前在員工培訓(xùn)、業(yè)務(wù)適配等方面做足準(zhǔn)備。

造成這些問題的一大原因是，企業(yè)不知道使用開源工具的隱性成本，那么如果企業(yè)在選擇IT架構(gòu)之初就設(shè)立一定的標(biāo)準(zhǔn)或者等級劃分，就可以對預(yù)期開銷進(jìn)行評估，并且對潛在的風(fēng)險(xiǎn)做出預(yù)測，一旦成本入不敷出就能及時(shí)選擇替代的方案。當(dāng)用戶選擇開源框架時(shí)會被第三方服務(wù)商要求取得合法授權(quán)，而這筆費(fèi)用通常并不低。

選擇開源方案的時(shí)候先要了解什么是開源，并且熟知開源代碼的相應(yīng)風(fēng)險(xiǎn)，尤其是對于項(xiàng)目采購或負(fù)責(zé)人來說。首先開源是需要許可證的，是的你沒有看錯(cuò)，代碼免費(fèi)不代表背后的商業(yè)模式免費(fèi)，而且開源也會有一些附加信息，Open Source Initiative公布的數(shù)十種開源許可證(license)就是一種，借助其版權(quán)所有者有權(quán)是否允許他人免費(fèi)使用、修改、共享版權(quán)軟件。

換言之，如果版權(quán)所有者禁止共享，那么用戶就只有看看代碼，不能直接拿來使用，否則就是侵權(quán)。在當(dāng)前80多種開源許可證中，基本都可以讓用戶免費(fèi)使用，但使用條件則更有不同，例如permissive類的許可證可以讓用戶在修改代碼后做閉源處理，但有些是要著名原始作者的。再如像另外一些常見的許可證，只有在分發(fā)的時(shí)候才要遵守許可，如果自己用(公司內(nèi)部)就不用遵守。

綜上所述，無論是以何種形式上云，一方面企業(yè)要結(jié)合自身需求去制定價(jià)值策略，另一方面云服務(wù)商更有必要提前讓客戶知道上云的“額外負(fù)擔(dān)”，只有這樣才能安心上云。

（原標(biāo)題：上云已經(jīng)是不爭的事實(shí) 但真的是零成本嗎？）