压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

• 新基建加快傳統(tǒng)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型。應(yīng)用現(xiàn)代化已成為數(shù)字化轉(zhuǎn)型的關(guān)鍵。
• 云原生、容器、DevOps、編排等新技術(shù)推動應(yīng)用現(xiàn)代化轉(zhuǎn)型，同時對網(wǎng)絡(luò)安全帶來嚴峻挑戰(zhàn)。
• 信息資產(chǎn)價值不斷提升，重新審視面向現(xiàn)代化架構(gòu)的安全戰(zhàn)略，保障基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用、數(shù)據(jù)資產(chǎn)的安全，成為組織的現(xiàn)實挑戰(zhàn)。
• 面對應(yīng)用現(xiàn)代化，安全防護需要“左移”，推動安全防護實現(xiàn)從“傳統(tǒng)基于邊界防護的安全”向“面向現(xiàn)代化的內(nèi)生安全”模式轉(zhuǎn)變。

1. 新基建加速數(shù)字化轉(zhuǎn)型

目前，以智能化、數(shù)字化和網(wǎng)絡(luò)化為特征的新一代信息化建設(shè)成為全球趨勢。現(xiàn)有數(shù)字基礎(chǔ)設(shè)施面臨升級需求，實現(xiàn)算力、算法和數(shù)據(jù)等要素的提升，從而推動業(yè)務(wù)的智能轉(zhuǎn)變。

今年以來，中央多次提出加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)。新基建的提出標志著數(shù)字經(jīng)濟作為經(jīng)濟主引擎的地位進一步確立，以云計算、大數(shù)據(jù)、5G、人工智能等為代表的現(xiàn)代化、智能化、數(shù)字化新型基礎(chǔ)設(shè)施，將會為新經(jīng)濟發(fā)展注入新動能。

作為數(shù)字化轉(zhuǎn)型的底層支撐，新基建必將加快傳統(tǒng)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型，推動實現(xiàn)產(chǎn)品創(chuàng)新、供應(yīng)鏈優(yōu)化、業(yè)務(wù)模式創(chuàng)新和提升用戶體驗的數(shù)字化目標。

圖1??數(shù)字化轉(zhuǎn)型目標

2. 傳統(tǒng)信息化架構(gòu)之殤

面對市場競爭日趨激烈的環(huán)境，企業(yè)/組織業(yè)務(wù)部門要求IT基礎(chǔ)設(shè)施具備資源彈性獲取、可靠性、穩(wěn)定性、高性能、安全性的特性，數(shù)據(jù)中心向云計算模式轉(zhuǎn)型已是迫在眉睫。

傳統(tǒng)信息化普遍面臨交付與運維的挑戰(zhàn)。在企業(yè)由傳統(tǒng)IT向云計算模式轉(zhuǎn)變的過程中，其在業(yè)務(wù)、應(yīng)用、基礎(chǔ)設(shè)施、安全設(shè)施等方面的需求與現(xiàn)實之間往往存在巨大的矛盾。

圖2??現(xiàn)實與需求的矛盾

傳統(tǒng)基礎(chǔ)設(shè)施與應(yīng)用程序的交付，往往需要數(shù)周到數(shù)月的周期。如果出現(xiàn)計劃外變更，交付周期將會更加拉長。在市場環(huán)境高度競爭的背景下，業(yè)務(wù)部門對市場需求及創(chuàng)新嗅覺將會變得日益遲鈍，最終可能會錯失市場良機，對業(yè)務(wù)戰(zhàn)略產(chǎn)生嚴重的不良影響。面臨敏捷性需求的持續(xù)壓力，業(yè)務(wù)要求應(yīng)用程序具備較高的更新速率，對于基礎(chǔ)設(shè)施和應(yīng)用開發(fā)構(gòu)建模式的壓力與日俱增，企業(yè)/組織亟需更為行之有效的手段應(yīng)對IT資源交付的壓力。

圖?3??傳統(tǒng)IT交付模式

傳統(tǒng)應(yīng)用系統(tǒng)的構(gòu)建大多基于IT視角，甚至于基礎(chǔ)架構(gòu)視角，對基礎(chǔ)設(shè)施的可靠性、穩(wěn)定性、故障恢復(fù)能力有近乎苛刻的需求，以商業(yè)銀行、證券、運營商為代表的行業(yè)往往會投入高額的資金來實現(xiàn)應(yīng)用系統(tǒng)的高可用和連續(xù)性。

傳統(tǒng)IT架構(gòu)的特性，決定了其運維工具大多面向?qū)I(yè)設(shè)備及系統(tǒng)，無法涵蓋紛繁復(fù)雜的IT環(huán)境，難以獲取既有IT環(huán)境的全局視圖，無法支撐動態(tài)信息化基礎(chǔ)設(shè)施的需求。

圖4??傳統(tǒng)IT架構(gòu)運維挑戰(zhàn)

因此，在新業(yè)務(wù)模式及市場環(huán)境下，沿用傳統(tǒng)信息化架構(gòu)的組織面臨更大的挑戰(zhàn)：需要投入更多的投資（CapEX）、更長的等待時間（Waiting Time）、更多的手動任務(wù)（Manual Work）、更高的運維成本（OpEX）以及更長的安全真空期（Security Absence）。

3. 業(yè)務(wù)驅(qū)動信息化架構(gòu)變革

根據(jù)知名IT咨詢機構(gòu)Gartner針對全球企業(yè)的研究，從傳統(tǒng)架構(gòu)轉(zhuǎn)向應(yīng)用現(xiàn)代化架構(gòu)轉(zhuǎn)變，大多數(shù)企業(yè)要經(jīng)歷以下三個階段：IT支撐業(yè)務(wù)階段，IT服務(wù)業(yè)務(wù)階段和IT驅(qū)動業(yè)務(wù)階段。

圖5???數(shù)據(jù)中心云化之路

• IT支撐業(yè)務(wù)階段：?IT架構(gòu)無法滿足業(yè)務(wù)需求，僵化IT架構(gòu)導(dǎo)致IT部門疲于應(yīng)對，亟需對基礎(chǔ)架構(gòu)資源進行整合，并從全局視角統(tǒng)一運維IT基礎(chǔ)架構(gòu)。
• IT服務(wù)業(yè)務(wù)階段：?云化基礎(chǔ)基礎(chǔ)架構(gòu)建設(shè)，計算、存儲、網(wǎng)絡(luò)以及安全資源的虛擬化構(gòu)建，初步實現(xiàn)全局運維和基礎(chǔ)資源自動化交付，部分重型應(yīng)用，如Microsoft Exchange、Oracle、SAP等應(yīng)用也逐步遷移至云平臺，IT架構(gòu)服務(wù)于業(yè)務(wù)，可以較好地滿足業(yè)務(wù)部門的需求。
• IT驅(qū)動業(yè)務(wù)階段：?業(yè)務(wù)應(yīng)用現(xiàn)代化構(gòu)建模式，引入云原生、微服務(wù)、DevOps等技術(shù)，持續(xù)集成、持續(xù)部署、持續(xù)發(fā)布，IT架構(gòu)可以驅(qū)動業(yè)務(wù)變革，如滴滴打車、外賣業(yè)務(wù)等。

在數(shù)據(jù)中心演進過程中，業(yè)務(wù)驅(qū)動作為最大的驅(qū)動因素，極大地促進了IT模式轉(zhuǎn)變和技術(shù)變革，同時也促進了數(shù)據(jù)中心的現(xiàn)代化進程，促使企業(yè)/組織更快地上線業(yè)務(wù)應(yīng)用，把握商業(yè)機會，應(yīng)對瞬息萬變的市場需求。同時，應(yīng)用的現(xiàn)代化模式，以其更高效的技術(shù)理念及手段，提升了IT運行效率和優(yōu)化了資源使用率，得到了互聯(lián)網(wǎng)企業(yè)為代表的用戶青睞。

4. 應(yīng)用現(xiàn)代化轉(zhuǎn)型的重點

應(yīng)用現(xiàn)代化是利用現(xiàn)有遺產(chǎn)應(yīng)用，實現(xiàn)應(yīng)用平臺基礎(chǔ)設(shè)施、內(nèi)部架構(gòu)和功能現(xiàn)代化的過程。應(yīng)用現(xiàn)代化的本質(zhì)是對于業(yè)務(wù)應(yīng)用程序傳統(tǒng)編程方式的修正，使其更緊密地貼合業(yè)務(wù)敏捷需求。

在應(yīng)用向現(xiàn)代化轉(zhuǎn)型過程中，對現(xiàn)有信息化架構(gòu)、運維模式、應(yīng)用開發(fā)測試流程、業(yè)務(wù)數(shù)據(jù)管理模式、安全需求等都帶來較為嚴峻的挑戰(zhàn)。

1）不可變基礎(chǔ)設(shè)施構(gòu)建

不可變基礎(chǔ)設(shè)施是一種保持基礎(chǔ)設(shè)施實例不可修改，只能夠進行整體替換的模式。人們通常會用?“寵物與牛”的經(jīng)典比喻，來形象地闡釋傳統(tǒng)基礎(chǔ)設(shè)施與不可變云計算基礎(chǔ)設(shè)施截然不同的理念。

傳統(tǒng)基礎(chǔ)設(shè)施的專有性及個體重要性，需要不斷更新或修改軟硬件配置，以滿足業(yè)務(wù)應(yīng)用系統(tǒng)的需求。長期持續(xù)的手工修改和缺乏變更記錄，導(dǎo)致在原基礎(chǔ)設(shè)施出現(xiàn)問題時，新的初始化基礎(chǔ)設(shè)施無法立即投入使用，極大影響業(yè)務(wù)連續(xù)性。

圖6???寵物模式?VS.?奶牛模式

云計算不可變基礎(chǔ)設(shè)施的設(shè)計理念與之截然不同。現(xiàn)代化應(yīng)用要求基礎(chǔ)設(shè)施實例完成交付后，即成為只讀狀態(tài)，相關(guān)配置不可再被更改，以保障基礎(chǔ)架構(gòu)的一致性和可靠性。如需升級或修改某些配置，只能生成新的基礎(chǔ)設(shè)施實例對其進行整體替換。

不可變基礎(chǔ)設(shè)施模式，意味著不用重復(fù)配置基礎(chǔ)設(shè)施，這極大減少了配置工作量，簡化了運維復(fù)雜性，對于應(yīng)用所在環(huán)境差異的版本管理也更加便捷，使得應(yīng)用系統(tǒng)的持續(xù)集成和部署變得更為順暢。

2）容器化

一般場景下，“容器”指基于Linux內(nèi)核與系統(tǒng)其他部分隔離的一系列進程的合集，運行容器所需的文件，由鏡像文件提供。

容器提供進程級的隔離，且大多與進程為一比一關(guān)系，可以做到比虛擬機更輕量、更迅捷，由于其鏡像文件的一致性，可移植性較之虛擬機也更好。

容器的特性如下：

• 輕量：?更輕更快，高整合比，更加符合微服務(wù)需求；
• 標準：?鏡像保證應(yīng)用運行環(huán)境一致性，可移植性更好；
• 改善交付：?實現(xiàn)持續(xù)集成、持續(xù)交付、灰度部署及升級；
• 高彈：?應(yīng)用負載高爆發(fā)使用場景，快速伸縮；

圖?7??容器與虛擬機對比

相比虛擬機及傳統(tǒng)環(huán)境，容器的最大優(yōu)勢在于鏡像的使用。通過容器鏡像，將應(yīng)用程序及運行依賴環(huán)境配置進行封裝，并通過標準化的鏡像封裝及使用流程，可以真正實現(xiàn)“一次發(fā)布、隨處運行（Build, Ship and Run Anywhere）”，實現(xiàn)開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境的徹底統(tǒng)一，使得應(yīng)用程序的開發(fā)和交付更加高效。

圖?8?容器應(yīng)用開發(fā)流程

3）應(yīng)用微服務(wù)化

微服務(wù)架構(gòu)是將企業(yè)應(yīng)用系統(tǒng)單體架構(gòu)拆分為多個服務(wù)模塊，再將這些服務(wù)模塊按照一定邏輯串接起來，對外提供應(yīng)用服務(wù)。

在微服務(wù)架構(gòu)模式下，各服務(wù)組件獨立設(shè)計、開發(fā)、測試和運維，組件間通過標準API交互，從而實現(xiàn)應(yīng)用程序的敏捷開發(fā)，以應(yīng)對互聯(lián)網(wǎng)融合業(yè)務(wù)快速迭代與伸縮的巨大挑戰(zhàn)，業(yè)務(wù)應(yīng)用也能夠依據(jù)業(yè)務(wù)負載，實現(xiàn)實時擴展。

微服務(wù)架構(gòu)與容器技術(shù)相得益彰，兩大技術(shù)理念發(fā)展的時間點非常契合：容器技術(shù)的成熟運用為應(yīng)用微服務(wù)架構(gòu)改造提供了良好的基礎(chǔ)設(shè)施支撐；容器的輕量化、快速伸縮等特性為微服務(wù)應(yīng)用提供最佳運行環(huán)境。

圖?9???微服務(wù)架構(gòu)模式

微服務(wù)架構(gòu)的特性：

• 解耦：模塊化；
• 微服務(wù)：規(guī)模小，專注于一件事/小功能；
• 封裝：服務(wù)自身的改變不改變外部接口；
• 自治：各模塊自主改變/升級；
• 后端資源服務(wù)化：服務(wù)化方式調(diào)用后端資源，規(guī)避硬件問題，降低環(huán)境依賴；
• 提升移植性：解耦硬件及操作系統(tǒng)，提升可移植性；
• 敏捷：實施敏捷開發(fā)及持續(xù)交付，灰度交付支撐；

4）應(yīng)用DevOps

DevOps是指通過自動化方式打通軟件交付過程中涉及的基礎(chǔ)設(shè)施及IT工具，以無縫銜接軟件開發(fā)、構(gòu)建、發(fā)布、測試等環(huán)節(jié)，使得應(yīng)用軟件發(fā)布更為便捷。

DevOps是一組過程及方法的統(tǒng)稱，本質(zhì)上是關(guān)于應(yīng)用軟件發(fā)布的一套方法論，隨著信息化架構(gòu)的云化，優(yōu)化了信息化基礎(chǔ)架構(gòu)及運維效率，使得軟件交付及部署變得更為高效和順暢，從而可以使得DevOps最大化發(fā)揮價值。

基礎(chǔ)架構(gòu)的統(tǒng)一性是DevOps實踐的前提。版本控制、環(huán)境控制、變量控制、持續(xù)集成、自動化測試、壓力測試等環(huán)節(jié)，均對基礎(chǔ)架構(gòu)（物理機、虛擬機、容器、軟件配置）的標準化管理和供應(yīng)提出了嚴苛的需求，使得傳統(tǒng)的手工命令配置等方式不再適用。基于應(yīng)用現(xiàn)代化的基礎(chǔ)架構(gòu)，通過聲明式和可編程式交付，可以輕松應(yīng)對復(fù)雜的計算、存儲、網(wǎng)絡(luò)配置，實現(xiàn)基礎(chǔ)架構(gòu)的統(tǒng)一。

圖10??DevOps對基礎(chǔ)架構(gòu)有著極高的要求

此外，隨著云原生安全及內(nèi)生安全的理念進一步深化，安全需求貫穿從開發(fā)和運營的DevOps生命周期每一個環(huán)節(jié)才能提供業(yè)務(wù)安全的有效保障。通過加強內(nèi)部源代碼管理及審計、安全測試、漏洞發(fā)現(xiàn)、安全性能測試、滲透測試等工作，使安全問題在萌芽階段解決。相比在軟件產(chǎn)品交付后修復(fù)安全問題，可以大大縮減成本以及提升軟件產(chǎn)品安全性。

圖11??DevOps及DevSecOps

5. 應(yīng)用現(xiàn)代化的業(yè)務(wù)價值

應(yīng)用現(xiàn)代化的好處可以概括為提升新功能交付的速度、實現(xiàn)本地應(yīng)用平臺云化，從而可以實現(xiàn)應(yīng)用擴展和性能提升，以及數(shù)據(jù)中心和IT的長期戰(zhàn)略。

在競爭激烈的市場環(huán)境下，企業(yè)和組織為了競爭生存，業(yè)務(wù)敏捷性逐漸凸顯其價值和重要性，以數(shù)字化業(yè)務(wù)為重心的行業(yè)面臨諸多嚴峻的挑戰(zhàn)，包括瞬息萬變的市場環(huán)境推動業(yè)務(wù)戰(zhàn)略轉(zhuǎn)型、顛覆性技術(shù)推陳出新、數(shù)字化轉(zhuǎn)型壓力以及信息處理實時性進程加快。

業(yè)務(wù)應(yīng)用系統(tǒng)轉(zhuǎn)型對于數(shù)字化轉(zhuǎn)型的目標實現(xiàn)至關(guān)重要，對于信息部門的挑戰(zhàn)也極其嚴峻，信息部門迫切需要改善現(xiàn)有信息化架構(gòu)及基礎(chǔ)設(shè)施，以便更為快捷地提供業(yè)務(wù)部門所需的技術(shù)支撐，提升業(yè)務(wù)響應(yīng)速度及業(yè)務(wù)創(chuàng)新能力。

同時，隨著信息化技術(shù)的變革，企業(yè)IT架構(gòu)逐步從傳統(tǒng)物理架構(gòu)向面向服務(wù)的云計算架構(gòu)變遷，最終形成基于IT即服務(wù)（ITaaS）模式，按照業(yè)務(wù)需求，可以便捷、穩(wěn)定、高效、持續(xù)地提供信息化基礎(chǔ)設(shè)施服務(wù)、應(yīng)用平臺服務(wù)、云原生服務(wù)、以及安全能力服務(wù)。

圖12??業(yè)務(wù)驅(qū)動信息化變革

通過面向應(yīng)用現(xiàn)代化信息架構(gòu)變革，提升了基礎(chǔ)設(shè)施的利用率、健壯性及敏捷性，使企業(yè)可以將更多資源的投入基于應(yīng)用現(xiàn)代化的業(yè)務(wù)創(chuàng)新嘗試，從容應(yīng)對海量用戶請求及應(yīng)用負載，保障應(yīng)用高可用及業(yè)務(wù)連續(xù)性，抓住轉(zhuǎn)瞬即逝的市場機會，占據(jù)競爭先機。

6. 應(yīng)用現(xiàn)代化的安全建設(shè)思考

信息化架構(gòu)現(xiàn)代化轉(zhuǎn)型的深入，為應(yīng)用提供了高效的開發(fā)、測試、部署環(huán)境，同時因為特征屬性的變化，而引入了新的暴露面，給企業(yè)安全體系建設(shè)帶來全新的挑戰(zhàn)。

信息化架構(gòu)面向云的現(xiàn)代化轉(zhuǎn)型，為應(yīng)用和業(yè)務(wù)創(chuàng)新，提供了高效的開發(fā)、測試以及部署平臺，相對于傳統(tǒng)信息化環(huán)境，有以下幾點主要的特征轉(zhuǎn)變：

表1??傳統(tǒng)環(huán)境與現(xiàn)代化環(huán)境對比

數(shù)字化轉(zhuǎn)型背景下，信息資產(chǎn)價值不斷提升，重新審視面向現(xiàn)代化架構(gòu)的安全戰(zhàn)略，以保障基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用、數(shù)據(jù)資產(chǎn)的安全，成為企業(yè)/組織至關(guān)重要的使命。

在智能電網(wǎng)應(yīng)用場景中，每小時會產(chǎn)生包括用電信息、電網(wǎng)負荷信息等數(shù)以TB級的數(shù)據(jù)，這些海量數(shù)據(jù)通過5G邊緣計算節(jié)點以及云數(shù)據(jù)中心的云原生應(yīng)用收集并處理，并與終端設(shè)備及其他智能應(yīng)用進行數(shù)據(jù)交互，傳統(tǒng)基于邊界以及劃分固定安全域的安全策略在此場景下已經(jīng)無從應(yīng)對。

此外，在網(wǎng)絡(luò)空間安全新背景下，信息化基礎(chǔ)設(shè)施與安全體系分別建設(shè)的思路已經(jīng)不再適用。安全體系建設(shè)理念必須從“查漏補缺”向“系統(tǒng)規(guī)劃”進化，即安全規(guī)劃必須在信息化基礎(chǔ)設(shè)施規(guī)劃中同步考慮，做到同步規(guī)劃、同步建設(shè)、同步運營。

對于應(yīng)用現(xiàn)代化過程的安全防護，需要遵循和實施以下原則：

• 云網(wǎng)絡(luò)全方位感知：?云環(huán)境下，通過物理網(wǎng)絡(luò)及虛擬網(wǎng)絡(luò)的總體感知、調(diào)度及分析，對外部邊界及內(nèi)部邊界的精細化管控以及動態(tài)策略調(diào)整，實現(xiàn)通用防護策略（基于容量的拒絕服務(wù)攻擊）與精細化訪問控制策略（某容器/POD的對外端口限制）的統(tǒng)一融合管理。
• 零信任模型的深入應(yīng)用：?云環(huán)境要求各類資源動態(tài)變化、遷移，這就對細顆粒度的隔離管控、權(quán)限管控、安全策略跟隨提出了更高的標準。同時，云管理的控制平面與數(shù)據(jù)平面分離的模式，可以更為方便地支持多種認證及授權(quán)機制（RBAC授權(quán)、ABAC授權(quán)及動態(tài)授權(quán)）。
• 默認不可信以及最低授權(quán)：?云底層資源計算及網(wǎng)絡(luò)隔離是云環(huán)境的原生支持機制，只有具備明確的授權(quán)后才能對相關(guān)資源，如虛擬機、容器、POD等進行訪問，同時提供精細化訪問控制策略，縮減暴露面。
• “安全左移“及自動化、標準化：?應(yīng)用交付生命周期中，從需求導(dǎo)入、代碼審計、開發(fā)測試到部署上線，安全需要持續(xù)存在以及發(fā)揮能效，且安全資源完成軟件化、組件化、服務(wù)化改造，以便結(jié)合DevSecOps的自動化手段，實現(xiàn)從代碼到應(yīng)用的全流程安全介入，增強業(yè)務(wù)應(yīng)用的安全性。
• 持續(xù)安全運營：?云資源的高度動態(tài)特性，要求實現(xiàn)云網(wǎng)資產(chǎn)的實時的全局可見性，并需具備結(jié)合威脅情報服務(wù)對威脅進行實時監(jiān)測及分析的能力，從而實現(xiàn)威脅預(yù)測、防御、監(jiān)測及響應(yīng)處置的自適應(yīng)安全能力。

“吾恐季孫之憂，不在顓臾，而在蕭薔之內(nèi)也”，隨著云原生、容器、DevOps、編排等技術(shù)的不斷發(fā)展，應(yīng)用現(xiàn)代化的安全戰(zhàn)略也需要完成從“傳統(tǒng)基于邊界防護的安全”模式向“面向現(xiàn)代化的內(nèi)生安全”模式的轉(zhuǎn)變。

作者：虎符智庫專家、資深云安全產(chǎn)品經(jīng)理 曾達

本文轉(zhuǎn)載自：虎符智庫