OBT商业科技观察

主机也能上云?一大波黑科技“护驾”IBM主机安全上云

随着企业数字化重塑的深入,面对企业IT架构转型的挑战,IBM率先提出面向未来的现代化基础架构,在AI、大数据、区块链等最严苛需求的工作负载方面进行性能优化,以帮助企业应对这些新挑战。其中,最大的亮点是推出一大波黑科技“护驾”主机上“云”。

在7月16日IBM硬件部门媒体沟通会上,IBM副总裁、大中华区系统部总经理侯淼表示:“未来企业基础架构需要具备以下三个特征:稳态、敏态、智能。稳态是传统核心关键主机系统的高可靠、高可用、高安全;敏态是面向互联网业务的分布式架构需要实现集中简约的管理,并具备敏捷性,能扩展;智能是满足可分析、可训练、可迭代的AI。”
 

数字转型推动主机上“云”

最近几年,在如火如荼的互联网+、数字化转型热潮中,大型数据中心、行业企业面临着诸多挑战:

一方面,越来越多互联网业务的引入,让企业传统IT架构从私有云环境转向“私有云+公有云”的混合云环境,企业内部不仅具有凭借“高安全、高性能”特性而在政府、金融、电信等重点行业占据绝对优势的IBM Z主机、Power小型机等关键核心负载,还引入以X86服务器为基础的分布式集群系统;

另一方面,面对云计算、大数据、人工智能等新技术变革,企业传统各自为战的、分散管理的IT基础设施架构,不仅要向新技术转型,而且需要实现统一、整合的IT管理,从而为企业的业务创新提供快速、有效的技术支持。

数据存储也是企业用户IT基础设施转型的一个重要内容。IDC数据统计显示,80%企业数据都存放在核心系统中,这些核心系统可能在IBM主机、小型机上,也可能在x86分布式计算环境里。在混合云的环境下,企业如何确保数据的流动性、一致性以及安全是重要挑战。

作为全球排名第二的存储技术公司,IBM以广泛的产品组合为企业交付面向AI和混合云的存储解决方案,包括近期发布的FlashSystem 9100全闪存阵列存储系统、Cloud Object Storage云对象存储、Spectrum Virtualize及Flash Systems等,以帮助客户把离散的数据做到在线、整合,让静止的数据流动起来。

IBM大中华区系统部存储系统总经理吴磊表示,混合云环境下,企业无论是部署微服务架构或者无服务器状态的架构,都需要依靠容器技术,以提高应用的处理速度。如果要把数据库封装在容器里面,这对存储的要求更高,必须要用到容器持久化技术。这是IBM软件定义存储的解决方案的优势技术。

为了全面适应企业IT架构转型需求,IBM从2015年开始全新打造LinuxONE平台。过去,LinuxONE仅是IBM的一个硬件平台;如今,LinuxONE已成为一个集约处理的平台,不仅可以管理核心主机系统,也可以整合处理企业用户内部很多X86分布式设备、数据库以及应用系统。

  IBM副总裁、大中华区系统部总经理侯淼

“LinuxONE具有以一顶百的优势,恰似普通停车场与立体智能停车楼的区别,”侯淼表示,“1 IFL整合超过33个x86内核,节约机房、电能70%以上,对于银行类场景可以达到‘一核一库’的整合效果,即一个IFL支持一个Database”。

LinuxONE单机可支持多达200万容器、8000个虚机。随着2019年收购红帽的完成,LinuxONE平台也将拓展更多新应用。

侯淼分享了过去半年所了解的一些市场变化。比如,随着X86集群系统在行业企业的推进,一些企业用户开始发现,x86服务器超过一百台以后,机房空间开始不够用了,也面临着巨大的电耗问题。

运维管理也是个挑战。过去,四、五个人管理100台x86设备就已经是极限,当x86服务器超过500台时,怎么管?在不提高管理成本的情况下,必须要大幅度提高计算能力,这正是LinuxONE的最大优势。

对于很多已经使IBM主机和小型机的政府、金融客户来说,原生云的应用或者是容器化分散应用都可以直接跑在LinuxONE平台上。IBM大中华区系统部主机及LinuxONE技术总监应康勇表示,主机上最宝贵的数据资产和业务逻辑,也能够用一种非常方便的方式开放出来,比如分装成一堆基于标准化的API,企业用户外部应用或者新的应用可以非常快地访问到这些API。这不仅能够保护企业已有的IT资产,而且可以挖掘或者最大化利用已有资产的价值。


黑科技“护驾”云主机安全

主机上“云”,对于行业企业来说,的确是件好事儿。但对于企业来说,关键核心系统上云的最大顾虑是安全问题。

一贯以“高安全、高性能”占据企业核心关键系统的IBM主机系统,引入LinuxONE开放平台之后,如何保证其“高安全、高性能”特性呢?

IBM大中华区系统部主机及LinuxONE技术总监应康勇表示,过去几年IBM研发部门不断加大研发投入,在安全架构方面做了很大改进,也实现很多突破。以有史以来出货量最大的一代产品、最新第14代产品IBM z14和LinuxONE为例,z14主机在底层设计层面具有三大安全加固能力,之所以重点强调底层安全,是因为底层安全实现之后,上层应用的安全就会简单、透明很多。

IBM大中华区系统部主机及LinuxONE技术总监应康勇

z14主机在底层设计层面所具有的三大安全加固能力,具体包括:

一是分区隔离技术。IBM的分区隔离技术获得了ISO国际标准化组织所颁发的所有商用服务器最高等级的EAL5+认证,这个技术可以帮助客户杜绝跨分区非法数据访问,这种能力对于虚拟化环境、数据安全可以起到非常大的帮助。

比如去年初x86芯片泄露安全的漏洞和幽灵入侵问题,主要影响就是在虚拟化环境如虚机方面,上面的虚机可以访问下面数组操作系统的内存或者虚机之间可以互相访问,这些都是非法的数据访问。

二是普遍加密技术。IBM统计显示,在过去五年泄漏的90多亿份记录中,只有4%的记录被加密者采取了安全防护。为什么比例这么低?因为企业都是选择性加密,对于重要的部分进行了加密,而不会做全面加密。当企业对数据进行全面加密时,会担心应用系统的性能是否会受到影响,应用系统本身是否要做很多的变更,以及资源开销是否会大幅增加等,这些都会影响到客户的抉择。

IBM主机z14和LinuxONE在这方面获得了巨大突破,可以帮助客户实现全面的数据加密,却不用更改应用系统,资源开销基本只增加2%、3%,最重要的一点是对性能没有影响。这个技术特性广受客户欢迎。

三是安全服务容器的专利技术。该个技术就把前面两个点结合起来,还做了堆栈处理。从分区的激活到操作系统的引导,到软件的启动、内存的访问,端到端的每一层都进行安全加固处理,包括对数据以及应用进行全面加密,不仅可以防范来自于外部,也包括来自内部各种未经授权的数据访问。

这对于云平台的托管数据的安全保护具有很强的意义。目前很多云平台厂商表示,他们不会”碰”客户数据,但技术上却说不通;IBM安全服务容器技术可以保障托管数据的安全。

容器大多数是运行在Linux环境中,今年下半年IBM即将推向市场的容器扩展技术(z/OS 2.4),可以把容器技术直接运行在z/OS环境中。而且,这个技术可以把开源社区里面各种新的工具、新的能力,方便快捷地集成到主机环境中,借助开源力量提升客户创新的速度。

  IBM大中华区系统部存储系统总经理吴磊

从数据存储安全角度来说,一种叫做“气闲”(air gap)的技术,可以通过物理隔绝让数据安全地从服务器到存储最后到达磁带库,黑客根本没有办法突破这种物理安全技术,无法把数据从带库里偷出来。这种技术,可以保护温数据和冷数据十几年甚至几十年的安全。

这些安全技术不仅受到客户的广泛欢迎,IBM自己也在大量使用这些技术,以IBM公有云为例,IBM区块链云服务的生产环境放在LinuxONE上,食品安全、贸易融资或者供应链相关区块链解决方案的生产环境也都放在LinuxONE平台上。

侯淼表示,未来IBM会在基础架构方面投入更多资源,尤其是在AI、量子计算、区块链和数据管理等方面,希望针对负载、多云、安全等要素的新型基础架构,不仅能帮助客户应对今天的挑战,也可以满足其未来的需求。