Joseph Sibony
目前的商业领域充溢着各种时髦术语和“趋势”,但它们往往都是昙花一现。所以,当我们听到某个新生事物会“统治整个商业领域”时,我们总是持怀疑态度。但是,并非所有趋势都是一时的流行,有些经证实,已经成为业内组织的重要转型力量。
尽管涉及各种领域(从安全到日常运营,再到所管理的服务等),但它们都属于“企业 IT”的范畴。这听起来也像是时髦术语,但如果你深入研究,就会发现许多技术、服务和趋势已经产生了重大影响,并且未来还会继续发挥其作用。鉴于这样的情况,在不久的将来,企业 IT 会如何发展?
永远的“一切即服务”
企业 IT 的卖点是通过软件解决方案,帮助公司处理真正的业务问题。比如艾特莱森(项目管理、票务)、谷歌(电子邮件、存储和通信)、Salesforce(客户关系管理、潜在客户管理)等公司提供有针对性的技术,促进工作开展,而不会产生高昂的基础设施开销和维护成本。
总之,越来越多的组织开始采用基于云的一切即服务 (XaaS) 模式。2021 年德勤的调查发现,在 600 名 IT 专业人士中,75% 的受访者表示他们的组织将至少 51% 的企业 IT 用作服务。到 2025 年,这一数字预计会增至 87%。
但问题是:这种快速增长的驱动因素是什么?让我们来看看 XaaS 迁移的几个主要驱动因素。2020 年以前,转变主要是受效率影响。当时最大的驱动因素就是:降低本地基础设施(服务器、主机、物理备份和回退)配置相关的开销,并简化基于云的系统访问。
加之过去两年,大多数员工都或多或少地远程办公过,这样就能很容易地理解,为什么会重提“将一切转到云端”。
未来的方向
未来几年,几乎所有组织基本都会走上 XaaS 之路。德勤的那项调查还询问了对于组织的成功,XaaS 会发挥怎样的关键作用。其中 22% 的受访者认为目前已经起着关键性作用,50% 的受访者相信未来两年才会。
业内大多数企业基本上已经完全或大部分都采用了基于云的服务。从微软到谷歌,他们的产品都配套了完整的业务流程,大多数安全工具都已经实现了云优化,大部分日常任务都能在“即服务”或其他解决方案中找到。
真正会改变的是组织构建其多平台系统的方式和原因。Productiv 的一项研究发现,大多数组织都拥有 SaaS 产品组合,其中包括 242 个针对小业务的应用程序,而企业级组织超过 360 个。这个数字非常惊人,影响也很深远。首先,这建立了数千个连接应用程序和用户的接触点。IT 团队和安全产品必须考虑这些接触点,所以安全态势管理会发挥关键性作用。此外,监管合规的需求越来越高,应用程序的数量管理及其政策对组织的重要性也越来越显著。
边缘计算和快速访问的需求
要想轻松访问云基础设施,就必须能够以更快捷的速度获取数据。听起来似乎很夸张,但数据访问需要达到毫秒级。比如,在高频交易中,毫秒内就可能获得或损失数千(数百万)美元(如国际清算银行的报告所示)。
即使在金融领域以外,随着物联网设备的扩展,以及组织间远程技术应用的增加,越来越多的开发、研究和其他人员,都需要以更快的速度访问关键数据及其存储。在线直播游戏中,缩短用户访问其重要游戏资产的时间,可以实现流畅的游戏体验,避免用户因延迟滞后而结束会话。
边缘计算,就是在最接近所需数据或终端用户的位置处进行计算。它关注的是缩短数据传输的距离,从而减少响应时间,节省带宽。它更注重的是选择可以减少时延的地理位置,同时优先考虑网络边缘(而不是集中存储),以改善用户及其所需数据之间的通信。它还可以通过数据分布,降低故障风险。
这就是为什么近期边缘计算已经成为一个主要趋势——找到减少数据传输时间的方法,可以有效确保某处的数据中断不会使整个服务瘫痪。
未来的方向
随着物联网市场真正腾飞,边缘计算崭露头角,现在已经远远超出了其最初的范围。如今大多数技术运行所需的数据量,都要求组织仔细思考如何分配其数据中心和存储设施。把一切放在单个云上,可能会更便宜,但效率可能太低。事实上,高德纳预测,到 2025 年,约 75% 的企业生成数据都不会在集中数据中心内处理。
也就是说,虽然大型的集中式数据仍然很重要,但更多的组织开始想办法,将关键数据移至分布式网络中,便于其更接近网络;同时还在寻找构建其基础设施的特殊方法。
然而,边缘计算并非完美。行业内最典型的一个趋势就是:组织如何处理在其自身网络中采用这一模式所引发的安全问题。边缘计算的性质(分散性和分布性)决定了攻击者会发现更多的入侵点。但即便如此,边缘仍将占据主导地位,尤其是我们需要更快的访问速度和更流畅的在线体验。
不断增加的监管成本和“合规即代码”
对组织来说,符合安全、隐私和数据法规变更越来越重要,而这些政策也增加了违规成本。寻找符合新政策(内部政策和政府/行业政策)的方法,也会增加业务成本。这意味着,公司必须以更高效的方式,处理这个问题。
“合规即代码”是公司内部进行程序化合规管理的企业 IT 实践。它自动确保服务器、数据库、网络设备或应用程序配置,符合公司和法律规定的合规标准。不过,除了技术,它还能确保技术和日常运营相关的业务流程也遵守合规规则。它还有助于保护客户信息,帮助公司免于因个人数据使用不当而承担任何处罚或罚款。
未来的方向
组织使用的 XaaS 应用程序(见上文)数量越多,合规问题就越复杂。“即服务”模式的最大缺点之一就是:每个产品和平台都有自己的政策,并不能始终符合组合的具体要求。真正的问题是组织如何规范处理。
目前新出现的一种办法是利用 SaaS 安全态势管理 (SSPM) 等工具,使 IT 团队(甚至更小的团队)设置跨平台的统一安全合规政策,不必逐一设置政策。它还可以合规性融入部署/实施流程,以降低成本和管理开销。随着监管环境变得越来越严苛,自动化流程可能会逐渐成为开发人员流程和组织流程的核心。
DevSecOps 和内置安全
DevOps 已经成为多个行业之间发布和管理产品的常用模式,其中理由也很充分。相比重新启动整个代码库来修复主要补丁,增量变更和更新容易得多。但是,对于许多组织来说,这个流程并未考虑安全性。要么是在事后考虑安全,要么是采取额外的措施保证安全。
DevSecOps 已经成为一种新的流程组合方式,它在考虑安全的前提下,将两个流程组合在一起,缩短开发周期。这种考虑安全的“左移”思维方式大幅加快了开发流程,尤其是在安全漏洞和违规行为变得更加公开,破坏性更大,形式更多样的情况下。Log4Shell 等直接源自代码漏洞的漏洞利用(其中极受欢迎的是 Log4j API)突出了在开发周期内(而非代码写成后)考虑安全的重要性。
加大对 DevSecOps 的关注,以提高整个开发流程的安全性,还导致工具融入日常运营的需求增加。仅仅讨论 DevSecOps 的价值还不够,组织必须要有合适的应用程序来充分利用它们。
未来的方向
过去几年里,有着无数的数据违规行为和网络攻击,它们教会开发人员和应用程序制作者一件事:必须强调安全性。最明显的表现就是,DevSecOps 专家的需求增加了。
正如本文所强调的那样,DevSecOps 实际从业人数与岗位需求人数还存在着巨大的差距。这也说明,对于大多数开发团队来说,安全流程自动化是首要任务,这也是团队正在积极解决的问题。此外,团队还强烈期望强化基础设施,以保护代码库和应用程序免受攻击。
未来几年里,DevSecOps 工具的市场会大幅扩张。2021 年 8 月的报告预测,到 2026 年,全球 DevSecOps 市场将价值 170 亿美元。随着对安全应用程序的需求越来越高,我们使用的安全工具的价值也会上升。我们都知道,短时间内攻击的数量不会减少,开发人员不得不紧跟步伐,做好应变。
在基于云的世界里发展
企业 IT 是一个广义术语,但其所蕴含的技术、范式和理念却非常现实。未来基于云的应用会越来越多,各行各业的组织要想获得成功,就不得不紧随时代发展。从管理庞大的 SaaS 应用程序组合,到开发周期的每一步,找到保护数据和代码库的方法,公司不得不重新思考公司在未来几年(甚至更早一些,在今年)的运营方式。听起来是老生常谈,但我们所在的世界就是这么奇怪,组织很快就会发现,事情变得不再跟原来一样,跟我们预期的未来也不一样。发展才是成功的唯一道路。
