不久前,戴尔科技集团全球首席技术官John Roese在美国《MIT Tech Review / 麻省理工科技评论》发表了文章《CTO给CIO的新年建议》。John Roese曾担任EMC的CTO,拥有丰富的行业经验,负责制定戴尔的整体技术战略。12月13日,DoNews受邀参加了John Roese的媒体沟通会,进一步了解他的几项建议。
John Roese认为,从IT安全到量子技术,从人工智能、边缘计算再到云计算,数字世界正在以前所未有的速度演进和扩张。面对如此多的技术潮流和观点,技术部门可能很难理清头绪,更不用说面对纷繁的技术细节,往往不知从何处着手。每一位和John Roese沟通的CIO都表达了类似的观点,很显然他们感受到了技术演进带来的压力。因此,他概述了四种新兴技术,以及CIO们可以在哪些方面采取行动。
在不了解长期成本的情况下,不要使用云
CIO们最初急于利用的云计算,现在已经出现了预算过高的问题,因为他们没有从战略上考虑如何在不同的云供应商之间分配IT能力,更没有考虑如何让不同的IT能力进行协同。John Roese的建议是,既要明确在云中运行工作负载或将数据放入特定云中的技术可行性,又要充分确定使用该特定云的短期和长期成本。如果用户能够深入了解成本的构成,就可以更好地将工作负载定位到正确的“长期家园”。同时,用户还将了解如何评估新的云选项,以发现有哪些潜在的方式可以降低成本。
将定义零信任控制平面
越来越多的行业需要零信任框架,如美国政府提出的安全框架,这些框架在关键的基础架构行业中产生了全球性的连锁反应。那么,用户从哪里开始着手呢?那就需要有一个权威的身份管理、策略管理和威胁管理框架,来正确地实施零信任战略。如果用户没有一个对多云环境有明确定义且权威的控制平面,又将如何为整个企业实施一致的身份、策略或威胁管理?多云中的安全,比其它任何环境都更需要一致和通用的管理。IT孤岛是实施真正零信任安全的“敌人”。
构建早期技能以利用量子计算的优势
量子计算正在成为现实,如果用户的企业中没有人了解这项技术如何运作,以及会给业务带来什么样的影响,就将会错过这一技术浪潮。用户需要针对量子计算规划团队、工具和任务,并开始进行技术实验。
将确定首先在哪里部署量子安全加密技术
随着量子计算的兴起,我们需要更好地理解后量子密码学,即为传统计算机开发的能够防止量子计算机发起攻击的密码系统。全球范围内的“黑客”都在积极尝试捕获和归档加密数据流,假设他们拥有足够强大的量子计算机,他们将能够解密并查看这些数据。John Roese建议,首先需要对自身的加密资产进行编目,然后在该目录中确定哪些加密数据最容易暴露在公共网络中,并可能被“黑客”捕获。
2022年,NIST选择了第一批可行的后量子算法。2023年,相关工具将开始陆续出现。知道在哪里首先使用它们是用户今天要采取的关键步骤。
要决定多云边缘架构如何来设置
2023年,更多的数据和处理需要在现实世界中进行。从处理工厂中的实时数据到为机器人控制系统提供驱动力,边缘正在多云世界中迅速扩展。用户需要对边缘架构的长期发展做出选择。
选项一是将边缘作为云的延伸。这种模式在今天很常见,对每一种云,用户都有一个对应的边缘(例如GPCP-Anthos,Azure-ARC,AWS-EKS)。如果只有一种或几种云,这种方式很有效。选项二是将边缘作为所有云的共享平台。这种边缘优先的架构是一种新模式,但通过像Project Frontier这样的努力,戴尔看到了一条建立稳定的共享边缘平台的路径,它可以被任何软件定义的边缘(ARC、Anthos、EKS、物联网应用、数据管理工具等)使用。尽管多云边缘平台刚刚出现,但现在就决定用户未来的边缘,对长期的发展非常关键。
戴尔科技集团全球首席技术官John Roese
以下内容是当天的采访,经DoNews整理:
Q:多云管理的难度主要体现在什么地方?要如何去化解?目前很多企业对公有云最大的担忧在于成本,本地基础架构在成本管理上更有优势,如何利用这两者的优势?
John Roese:多云的战略不是要增加更多的云,而是编排这些云使得它们都能提供相同的计算服务,但是它们不会让你所有的边缘还有数据等都各自为政。坦率地讲,如果这样的话只是多个云的环境非常的昂贵,这就是我们的客户必须要采取的一步,这点其实并不容易实现。但2023年基本上所有边缘平台、零信任、安全、共同的存储架构都开始可以使用了,所以我相信接下来的这一年,我们将会有更好的工具来高效地组织多个云的环境,把它转变为一个真正意义的高效多云架构,这对我们的客户是好的,因为最好的结果就是能获得所有这些不同的云他们不同的计算能力。但同时,又不用去重复你的数据安全和边缘等等,让他们各自分立,我觉得我们已经接近于实现这一点。
Q:量子计算是下一个改变整个IT行业的新兴技术吗?
John Roese:关于量子计算,我们是7年之前开始的研究,使用量子技术的理念是非常真实的,但挑战在于要解决三大问题:
第一,我们必须要开发真正的量子处理器,建立一个真正的量子计算机。
第二,让量子计算的架构真正能够在现实中得以奏效,也就是说你只是有上亿美元的计算设备,并不能在现实中用起来。
第三,找到一种方法使得量子和其他的IT系统能融入进来。这和传统的计算很不相同,同时需要和这些传统计算进行合作,这就是三大问题。
Q:量子计算有技术的优势,同时也带来了安全的问题,对企业而言,如何平衡量子计算带来的机遇和挑战?
John Roese:问题在于,当量子计算成为现实的时候,它可以进行某些数学计算,是传统计算机做不到的,我之前也谈到一个量子计算机可能有这些算法,能够对质数立刻进行分解,传统只能是迭代的,需要很多的时间,量子计算机一个合适的量级的立刻就能算出来,这是非常重要的,因为某些协议基本上是一种不对称密钥管理。他们为什么安全?因为他们相信需要很多的时间才能够把质数进行分解,但量子直接立刻解决。
几年前戴尔就意识到如果说量子计算能使得某些算法变得过时,我们就要创造新的算法了,这个算法对一个量子计算机解密是非常困难的。现实是,一些算法是量子计算机不能打破的,可能他们就会做更好的量子计算机去解密了,所以其中一个建议3a的是有关于应对新的威胁,也就是说现在使用的这个加密技术,在未来的某个时间有可能是完全解密的,用一个合适的量子计算机就能做到,所以第一步是什么,也就是说今天想保护这个数据,那么你可以用对于量子计算解密非常困难的算法,你就不用去担心它了,今天你就这样做了,未来就不用担心了,在2023年就可以决定究竟在什么地方的数据需要用这种方式来进行保护加密。
但还有另外的一个方面,就是应对一个后量子的世界,也就是说有很多的东西是现在未知的,因此要保证一个敏捷性,拿一个安全的子系统在你的架构中变成模块化可以随时部署。2023、2024年我们还会看到更多架构的迁移,就是你可以非常容易去改变你的加密的协议,而不需要去颠覆你的系统的环境。有这样一个能力我们就能改变算法,如果我们发现这个算法是量子计算的,以为量子计算的安全不安全了,这种情况下我们就可以灵活地部署不同的安全模块,即便是对于现在看来,对量子安全的算法,未来的量子计算机也会被开发出来克服他们。
在近期,我们可以去部署这样一些对量子有用的算法,但另外一方面我们需要在长期用模块化的方式建立加密的敏捷性,即便在未来我们都可以随时改变加密协议,长期来说对我们是一个优势,可以应对来自于量子技术这样的一些风险。
Q:在国内依然处于起步的阶段,零信任如何能够在企业用户中实现更高效的部署,戴尔可以提供哪些服务和产品?
John Roese:从戴尔的角度来讲,我们把这种复杂性纳入到自己,然后让我们整个的生态系统来进行合作,戴尔开发参考架构,甚至是即服务的产品,使得我们可以向客户来提供零信任,而用不着他们自己去做。为什么这点非常重要?因为可以说在零信任方面一个巨大的挑战是什么,是一个巨大的范式改变,所有一切都是要进行身份的验证,政策的改变,威胁管理也发生了改变,这是巨大的改变。
我们看到在一个多云的世界中,我们有一个工具,这个工具是非常强大的,是采取了零信任,这个工具叫做应用迁移。当我们有公有云、私有云的时候,他们都是可以使用的。
我们预计,在零信任发生的情况,大部分的客户在一个多云的环境中,他们将会最终建立新的零信任的私有云、公有云的用例,他们将会把应用从他们的现有环境中移到零信任的环境中,这是美国政府计划做的事,大部分的银行业计划这样做。他们并不拿旧的架构进行改造变成零信任,事实上他们创造了另外一个云,把它迁移,这些关键的应用转到零信任上面,改进它的安全性。
我们任何时候都在做迁移,从私有云迁到公有云,从公有云迁到公有云,从公有云迁到边缘,从私有云迁到边缘,这是一个有价值的资源。如何判断这些有价值的应用把它们转向安全的环境,就可以创造这样一个公有、私有的系统,用不着把现有的系统进行重新的架构。客户是没有办法自己建这些算法的,应该由我们来提供这样的一些算法,以即服务的方式来提供。
以下内容为John Roese当天的演讲:
第一个建议,是一个非常简单的建议,在我上云之前无论是公有云、私有云、边缘云,我先要去理解上云的长期成本,这听起来是显而易见的。但是我们知道的是,在过去数年时间当中,很多客户特别是那些采用了公有云基础架构的客户,他们因为预算超支而感到意外。一旦你使用了一个服务式的环境,公有云就是一个服务化的环境,实际上你要面临的是各种各样的可变成本。问题在于IT部门一般是分配了固定的预算,如果他们不为预算做好规划的话,无论他们使用了什么样的云都有可能出现预算超支的情况,或者是不得不推迟其他的重要项目。
在过去一年中我和很多的CIO进行了许多次的对话,他们很多人都提到,他们上云之后因为预算超支而感到意外,我的建议并不是说不要上云,我的建议是当我们的客户步入2023年的时候,他们要下一个决心,也就是将来当他们要为某一个数据处理或者是开发某个应用,或者是任何一个应用任务去上云的话,他们在做这样的决定的时候不光要考虑技术,也不光要去考虑做市场营销的时候有一个好名声,他们在做这样的决策的时候也要能够充分地理解使用这样的服务有多少初始成本,特别是这个服务有多少长期的运营成本。这样在他们可选的公有、私有、边缘云当中能获得最优的结果。
给大家举一个例子,比方说当客户实施人工智能项目的时候,AI加机器学习的项目的时候,这些项目一般是分成三个彼此不同的任务:
1、要开发出AI的算法。我们知道在很多情况下开发AI算法的最快、最便宜、最好的地方就是公有云,因为公有云中有非常好的工具,非常容易起步,而且使用这些云环境来做算法的初期开发也不用耗费太多。
2、一旦有了这样的算法,你也知道要创建什么样的模型以后,必须要训练这个模型,在传统的AI架构当中进行训练。训练AI架构和开发AI算法又是一个不同的任务,在这个任务当中,公有云是一个非常好的场所,因为公有云具有弹性和巨大的规模,能对你的模型进行训练,不用的时候可以把它关掉,这是一个非常好的技术上的决策和经济上的决策,对自己来说是最合适的。
3、在AI项目中一旦有了算法且已经对模型进行了训练之后,要把这样的AI算法投入到实用当中了。比方说要进行推理。现实是这样的,当你把AI运用到实际世界的数据当中,几乎在所有的情况下这样的数据在公有云当中并不存在,这样的一个数据往往在工厂、医院、汽车或者是交通运输的其他环节中,由于这样一个现象的存在,最好的技术上和经济上的决策,也就是你的推理应该放在什么样的环境当中决策,在大部分的情况下都不应该是公有云,不应该是和模型的开发和训练同一个环境,而是应该放在边缘当中。
我想用这个例子来说明,如果你不能真正地理解多云环节的能力的时候,不知道哪个任务放在哪个云当中最合适的时候,你就不可避免地会把所有的AI的任务都放到开发算法的最早使用的那个云环境当中。这样在大部分的情况下推理功能会完成得很差,因为你需要远距离迁移数据,而且在一次任务当中要数次付费,所以第一个建议非常简单,我们在客户在上云的时候不光要考虑技术以及名声,也要充分地理解使用这个云环境的短期的、长期的成本,如果能做到这点的话,一旦上云之后,他们就不会出现预算超支的情况。
第二个建议是和安全有关的。现在来到IT安全环境的是一个新的技术架构或安全架构,我们称之为零信任。零信任它不是一个新的概念,但是并没有得到广泛的实施。如果对于零信任不是很熟悉的话,零信任是代表着三个范式的变化,三个安全的巨大变化:
第一,传统的安全是能够让我们不熟悉的实体进入到你的基础架构当中,它并不会要求每一个设备应用和数据都得到验证和变得已知,正是由于这样的情况存在,在我们的旧架构中有很多不知名、不认识的实体让我们很难去保护技术架构。第一个零信任的支柱就是一切都必须要得到验证,而且必须得到持续不断的授权,无论是设备、数据还是用户,这样就能够大大地提升用户的安全态势。
第二,策略。在安全世界中存在三样东西,已知好的、已知坏的和未知。今天的安全架构主要是聚焦于预防已知的坏的事物进入到你的系统中,把它们阻挡在外面,在零信任当中我们现在来到了另外一个极端,也就是说我们先会来描述一下已知的好的事物,也就是在某一个技术层级我们被允许做什么事情。我们在这个层面上只允许这个事情去做,其他所有的事情不能去做,就是只允许已知的好的事物发生,其他都不可以发生,这是一个非常重要的范式的转变,非常难做到的范式的转变。
第三,从威胁管理和威胁探测的角度来说,今天的威胁探测的工具是在基础架构之外的,他们是从外面来看待我们的基础架构的,并且从外面来找到不好的行为,这是很难做到的。但是在零信任当中如果一切都必须得到验证,如果仅有已知的好的行为才能发生的话,你就能够把你的威胁管理和探测系统的植入到基础架构中,因为这些工具所需要寻找的是一切没有得到验证的东西,就是不被允许的,这样就可以更具有实时性地来应对潜在的异常现象和威胁。
听起来简单,零信任的挑战在于对于基础架构的安全带来了巨大的转变,但我们现在看到,有关国家政府还有一些企业,还有各行各业,他们在认识到即使实施零信任有难度,仍然必须要这样做。几个月前戴尔也宣布了要帮助我们的客户加速采纳零信任,通过几个任务像咨询服务、帮助组织机构、整个生态系统来加固和简化我们的产品组合甚至是交付参考架构,所有这些在接下来的几年中会进一步的发展和深化。
第二个建议很简单,是这样说的,我将去界定我的未来的零信任控制平面。在零信任当中,我们有基础架构,基础架构中有你使用的各种各样的云,在此之上是一个共同的安全控制平面,包括身份、策略和威胁管理工具。无论你使用了哪个云环境,应该同样是一个得到验证的个人或者是得到验证的应用。政策、策略不应该随着云环境的不同而不同,如果你是一个工程师,你在一个私有云当中可以去做一些事情的话,同样的任务在公有云当中也应该被允许完成。而从威胁管理的角度来说,你应该能看到所有的云环境都能理解在当中发生的操作是不是正当的。所以,控制是至关重要的,没有一个通用的控制平面就无法打造一个零信任的架构,今天大部分的客户并没有一个清晰的控制平面,他们有多个身份管理工具,多个策略管理的框架,很多威胁管理的工具,我们的建议是考虑到零信任正在到来,政府和各行各业都会提出零信任的要求,所以2023年是一个非常合适的时机来界定我们的多云安全控制平面,选择你们所需要的身份管理框架、策略管理框架和威胁管理工具,来跨越你们的各个云平台、云环境加以管理。如果你做了一个简单的决定,有了一个非常清晰的控制平面的话,采用零信任原则就会变得非常简单,速度也更快。所以,第二个建议也非常简单,也就是走向零信任旅程的起步的第一步就是去界定你的控制平面,你的身份政策和威胁管理工具,即使没有零信任的话,有一个清晰的安全的控制平面,即使在传统的安全环境当中也具有极高的价值。
第三个新年建议是分成AB两部分,都是有关于量子计算的。A是有关于量子安全的,今天实际上并不是以非常具体的方式让量子系统来去进行加密,但在未来,在大量的量子计算机存在的情况下,他们所运行的这些工作或者说算法,能够有效地打破或侵入现有的加密技术。我想说的是最终有大量的量子计算机将会侵入,解密今天的加密技术。今天本来是一个非常安全的加密技术,在未来阻挡不了量子计算机的解密,我们还不知道什么时候会到来这一天,但我们知道是不可避免的。
还有是有关于今天的问题的,也就是说他们有了这样的数据就可以对将来的数据进行解密,在世界上很多的地方都在发生这样的情况。大家也知道这样的袭击的威胁是存在着的,我们如何来应对这样的威胁呢?那就是我们要有一种后量子加密法,这是一种与众不同的算法,在美国已经有了4种量子算法,欧洲会做自己的界定,中国会做出自己的界定,我们知道这些算法都会到来,而且很多的算法明年会陆续的推出,我们会利用这样的算法再增加一道加密的防线或者是密钥管理来管理好我们的数据。
现在的问题在于大部分的客户他们并不理解他们在哪儿进行加密,他们的风险,这种量子安全的协议应该放置在何处。接下来我们要做出一个决定,就是在哪个环节首先要来部署量子加密法,也就是说今天我的数据面临着什么样的威胁,今天我的哪些加密数据被别人来瞄准,准备将来来解密,这样,客户应该采取三个步骤:
第一,是要对于自己的整个企业的加密资源做一个盘点,做一个清点,也就是说现在在整个企业资源中,数据中心,云计算接口中有哪些环节是加密的,如果现在都不知道哪些环节加密了,你也就不知道后量子算法将来要用在什么样的地方。
第二,这些坏人来盗窃和解密你的数据,这样的一个威胁只有在公共接口上才会存在,比方说在私有云和公有云之间进行数据交接的时候有可能会发生这样的威胁。我们的客户要完成的第一个任务是对所有的加密资源要做一个清点和盘点。第二是要看一看你的哪些数据是在高优先级的公共接口上移动,要搞清楚这样的现状,也就是说哪些数据会在高优先级的接口上移动。一旦明年后量子算法开始成为现实的时候,就知道在哪些领域部署后量子算法,比如说高优先级的公共接口,因为这些公共接口是暴露在第三方的面前的,第三个建议中的3a就是量子加密来保护好自己的数据。
B也是和量子有关的。今年我们看到实际上对量子创新来说是非常积极活跃的一年,像超算几周前刚刚开了一次超算的大会,IBM刚刚宣布了他们超算能力新的突破。我们看到有很多量子计算的架构层出不穷,我们现在可以看到在各行各业中,人们现在也都是在思考他们将来如何来用量子计算,这个“将来”不是遥远的将来而是未来的几年中来做好药物研发、材料研究、电池研发这些领域。中国已经在量子计算方面做了很多的工作,像美国、欧洲、新加坡也都做了很多的工作,各国在量子计算方面都非常的活跃。所以建议3b是这样的,如果还没有开始开展量子方面的研究,各个企业应该建立起这样的技能,尽快地早用上量子方面的技术和技能。如果你是一家公司的CIO,无论在哪个行业,应该在你的企业中去找到一个部门,这个部门或者是开发量子算法,或者是开始懂得量子计算的一些道理,并且要看到量子计算和企业有什么样的关系,或者是数据科学或者是材料科学等等。如果一家美国企业在步入2023年的时候,没有一个人肩负着要来理解量子计算和自己的业务之间的关系这样一个任务的话,这样的一家企业就已经落后了。
有各种各样的工具来帮助我们做到这一点,像戴尔很多公司都推出了很多的系统包括混合系统来帮助大家弥补这样的不足。我们也推出了量子模拟方面的能力,让大家在不拥有自己的量子计算机的条件下也可以步入量子计算的世界。也就是从现在开始,从明年开始,世界上的每一个企业都要去指定找到他的企业中有哪些人员、哪些部门要能够站出来理解量子计算、量子算法,帮助他们的企业打造竞争力。如果不这样做,随着量子方面的能力不断地增加,明年就有可能会翻倍,量子计算架构会变得越来越接近。这样一个量子计算的架构能跑一些特殊的算法,这样一些特殊的算法,比方说在电池研发领域会让一种电池在竞争当中胜出,在材料科学当中让一种材料能够在众多的材料中胜出,在药物研发中让一种药物率先得到研发的成功。我们的客户要找到自己的公司中哪个部门包括哪些人员能够着手做好量子计算方面的工作。
第四个建议,是围绕着边缘的建议。简而言之,我们要决定多云边缘架构如何来设置。这个问题是非常重要的,因为大部分客户他们并没有一个多云环境中的边缘架构。他们有的是什么?他们有的只是一个云扩展模式,也就是说他们用了某个公有云服务的话,就会在边缘上来支持这个公有云向边缘的延伸,一个客户往往有3到4个公有云,这样会为每一个公有云来创建一个边缘环境,我们将看到一个边缘的泛滥化,也就是说如果有很多的物理和逻辑地边缘来适应公有云,既昂贵也不好用,而且僵硬、不灵活,这是世界上今天大部分人在做的,这是今天的现状。
但是今年从现在开始我们看到了一个新的现象,叫做“边缘平台”,特别是多云“边缘平台”。戴尔宣布了Project Frontier,这是一个月前宣布的,而且此前做了多年的研究。我们在打造一个通用的平台,这样的平台在一个平台之上能够支持任何软件定义的边缘,无论是云、物联网还是其他的环境,在我们的实验室当中,像ARC、EKS、Anthos各种各样的公有云的边缘环境都能支持。也就是说如果我们能把一个平台和各种边缘服务来分开的话,这样你就能够无论是在工厂还是在医院中,可以在你的环境中能动态地部署不同的云边缘,就是把它作为一个你所需要的软件功能一样加以部署,不需要的时候就把它给卸载掉就可以了。核心平台不需要去发生改变,这已经不再是一个理论了。通过戴尔的工作,从明年开始Project Frontier的产品就可以开始交付了。而且不光是戴尔在这样做,电信企业也在这样做,他们在推出一个横向的平台能够运行多云边缘的环境,多云边缘的平台。
有了这样的创新之后我们的客户就有了选择,他们可以选择多个针对云,围绕着云来做延伸,也可以去选择一个共同的边缘平台,在这样一个边缘平台上能够运行各种各样的软件定义的边缘环境。2023会陆续推出,所以今天我们的客户必须要知道这样最新的发展并且做出选择,要选择哪个方向,两个方向都可以选择。当然了,我们是更加偏向于边缘平台这样的一个选择的,但大部分的客户今天没有这样的选择,他们还没有在架构上做出一个决断,因为边缘是一个快速增长的领域,所以我们的第四个建议是今天的客户很快要做一个决定,他们的多云边缘要选择什么样的架构,不能没有计划,但今天大部分的客户恰恰是处在没有计划的状态,这就是我们的第四个建议。
我给大家提了四个建议,事实上也可以把它扩展成五个建议。这几个建议的方向,也是戴尔一直致力于在做的,我们也在不断地推动多云边缘的发展。我们不光推动多云的科技,也在不断地推动多云的经济性的不断改善,而且我们也非常注重安全,因为IT系统的安全是至关重要的。我们知道零信任是正确的答案,做到零信任是有难度的,但戴尔将帮助我们的客户达到零信任的水平,客户现在可以迈出的第一步,在他们完全采纳零信任之前,那就是能够打造一个共同的管理平台,跨越他们的多云环境,只要有这样的共同管理平面,零信任就已经不再那么困难或者是遥远了,而量子计算已经不再停留在理论层面了,现在已经在很大程度成为现实,而且有实实在在的来自量子计算的安全威胁,我们必须要用后量子算法来保护好自己的数据。
在量子计算方面也有很多的机会,我们已经帮助我们的客户界定了数以百计的用例,每一个客户都必须要开发相应的技能,把量子作为他们的整个架构的组成部分。第四部分就是这样。
现在随着多云世界的发展和演进,接下来我们要做决定的一个领域就是边缘环境,边缘架构。今天大部分的客户就此还没有一个成熟的战略,而我们建议来到2023年的时候,他们要有一个自己的边缘战略,他们将把边缘当做一个单独的平台还是把边缘当做一个云的延伸,以及如何对待边缘环境和整个多云环境之间的关系。戴尔一直在这些方面发力,2023年我们也会有诸多的发布。
我们给大家提出的一些选项也是大家的选项,但我认为,世界上所有的CIO从明年1月1日开始或者是尽早对这几个建议都要做出一个决断,做出计划,如果他们这样做了,他们就能抓住2023年技术创新的浪潮和趋势。
评论前必须登录!
立即登录 注册