技巧

Part 1：如何讓存儲廠商用上大容量磁盤？

過去近十幾年以來，磁盤容量從十幾GB爬升到了二十多個TB。

撇開閃存不說，當你仔細看磁盤存儲系統的時候，總能發現存儲系統廠商在使用最大容量的磁盤時，往往有一些滯后。

這是為什么呢？

有人說了，這是因為大容量磁盤的容量太大，萬一容量磁盤壞了，Raid重構的時候需要的時間就更長了。

恢復一塊10TB的盤數據，跟恢復一塊20TB的盤，工作量能一樣嗎？

小容量磁盤的重構時間短，對性能壓力小，對業務連續性更有好處。

對業務人員的血壓有好處，對存儲管理員的人身安全有好處。

為了幫存儲廠商安心用上大容量磁盤，還得從技術上解決大容量磁盤重構的難題。

為此，硬盤大廠希捷搞了一個叫ADR（自動容量重生）的硬盤技術，配合ADAPT技術，可將系統重構所需的大幅縮短，最多能縮短95%的時間。

傳統RAID技術下，壞一塊盤需要五十多個小時重構，而現在需要幾個小時甚至幾十分鐘即可。

重構時間縮短，好處多多：系統性能更穩定，對性能影響更小，還能減少恢復過程中可能帶來的二次損壞，比如，恢復過程中又有別的盤壞了。

能縮短95%就很誘人吧，但是，聽著很簡單的技術原理，實際用起來還比較有挑戰。

目前，希捷自家的Exos CORVAULT存儲系統支持，其他存儲廠商，想要用上這一良心技術，還得需要投入一些人力物力才行。

想了解，希捷Exos CORVAULT的神奇之處的話，可以接著往下看。（看完整版視頻）

Part 2：為什么希捷Exos CORVAULT能讓存儲系統用上大容量磁盤？

Exos CORVAULT是希捷的一塊高性能塊存儲系統，雙活架構，5個9的可靠性，還有頗具行業突破性的硬盤故障自愈技術。

4U的空間，裝硬盤之前，空蕩蕩的跟被打劫了一樣。說一個人腿長，脖子以下全是腿。說一個存儲系統容量大，除了風扇全是硬盤。

一個人想插滿硬盤，得需要大概兩個小時，塞硬盤的人嫌時間過的慢，旁邊圍觀的，總忍不住想來幫忙。但凡多一個人，裝盤的過程都會快得多。

插滿之后，2.12PB，容量高到嚇人。106塊的20TB的大容量磁盤滿滿當當擠在一起，壯觀，我是頭一次見到。

這這這，全都是硬盤，這么多磁盤這么高的密度放在一起沒問題吧。

嗯，好問題。

防止因為硬盤發熱，硬盤轉動振動對性能以及穩定性的影響，Exos CORVAUL從控制器到機箱都進行了特別的設計。

硬盤怕噪音的震動，特別是噪音大戶的風扇，這次也被特別針對，希捷開發了一種叫Acoustic Shield的技術，給硬盤提供了非常安心的工作環境。

106塊硬盤老老實實的擺在這里，滿滿的，強迫癥朋友說了，那個角上的是啥？

是控制器啊，本以為這又是基于英特爾至強的控制器。

仔細一看，原來是希捷自己搞的ASIC芯片，ASIC芯片的成本低，性能呢，做的好的話，性能也挺高的。

上圖顯示，順序讀性能是14GB/s，順序寫性能是12GB/s，額外查了一下資料，最高IOPS為17680，磁盤存儲的重點不是IOPS。

今天，性能不是重點，控制器配合ADAPT和ADR縮短磁盤構建時間才是重點。接下來簡單介紹一下。

如圖所示，左面是一張圖片，代表用戶要存的數據。右邊是一堆磁盤，代表CORVAULT存儲系統。

在計算機的視角里，圖片被切成了很多個碎片Shards。右側的硬盤會組成ADAPT池，什么是ADAPT？

ADAPT全稱叫Advanced Distributed Autonomic Protection Technology (ADAPT)，直譯為自動分布式分配保護技術，一種希捷專有的替代傳統Raid的技術。

ADAPT池里有一堆硬盤，負責存數據，存什么數據呢？

一種是用戶的碎片Shards數據，一種是CORVAULT的ASIC控制器為用戶數據生成的奇偶校驗（Parity）。

奇偶校驗是干啥的？保護數據用的，硬盤壞了，數據丟了靠它就能找回來。

系統中，奇偶校驗會和數據碎片一起均勻地散布到ADAPT池中的硬盤里。

值得注意的是，數據均勻散布到ADAPT池中的硬盤里的操作，其實就是ADAPT技術（分布式自動保護技術）得名的由來。

眾所周知，磁盤出問題，一般都是劃痕什么的，傷到磁頭或者盤片，出問題時，CORVAULT的控制器能分析磁盤產生的日志，根據日志找出是哪個磁盤的哪個盤片出了問題。

CORVAULT控制器發現問題后，先把壞掉的硬盤放一邊，依靠奇偶校驗數據從其他硬盤中，很快就恢復一份Rebuild Data，也就是壞了的硬盤里的數據。

這些剛恢復來的數據存放在哪呢？也繼續散布到其他硬盤里。

接下來，就輪到ADR上場了。

剛才不是找出了出問題的盤片或者磁頭了嗎，CORVAULT控制器就跟硬盤配合，屏蔽掉出問題的盤片或者盤片對應的磁頭，此時的硬盤容量會縮減。

現在一塊磁盤最多有20個磁頭和對應的盤片，壞了一個之后，就剩下95%了。

磁盤重生后，控制器就跟別的磁盤打聲招呼說，這塊盤又活過來了，把他該存的數據扔給他吧。

于是，一聲令下，一群硬盤都快速把數據還給了它。最后，它又把原來屬于它的數據存起來了，一切又恢復了事故之前的狀況。

問題來了，為什么它的恢復速度快95%那么多呢？

因為，ADAPT技術把奇偶校驗和數據碎片散布到其他硬盤里，恢復的時候，實際是由多個硬盤共同完成操作，而不是靠原來一塊盤干活。

換句話說，一個ADAPT池里的磁盤越多，恢復速度就越快。

頗有韓信點兵，多多益善的意思。

結束語

如此一番操作，地球上就少了一塊壞的硬盤，少了一塊電子垃圾，用戶少買一些硬盤，存儲管理員少開一次機箱蓋子，少拔出來一塊硬盤。

對了，不知道大家注意到了沒有，這場硬盤故障前后，所有操作都是在一臺CORVAULT里完成的，完全不需要外部網絡。

如上圖所示，希捷CORVAULT的集群里，完全沒有因為系統重建時的流量造成網絡的擁堵，系統的性能表現會更高和更穩定。

以上就是存儲廠商在大容量磁盤使用方面的技術挑戰，而希捷能讓存儲系統用上大硬盤這一話題的全部內容。

相關閱讀：

為什么說，希捷的磁盤是“綠色”的？

ChatGPT火爆全球，元宇宙方興未艾，大數據、5G、區塊鏈等技術快速發展，洶涌而來的數字化浪潮，給企業發展帶來了新的機遇和挑戰。同時，社會和經濟發展的不確定性，也考驗著企業的生存力、發展力。在這樣的背景之下，企業該如何持續推進數字化轉型？如何進行有效的創新？數字化又為社會發展帶來哪些新問題？企業該怎樣履行社會責任，促進數字包容？

2023年2月28日，全球知名軟件及技術咨詢公司思特沃克（Thoughtworks）在北京成功舉辦了第八屆“Thoughtworks Live”大會，與全球知名企業高管、技術專家、媒體人士等齊聚一堂，以“和衷共濟，領航創新”為主題，圍繞上述問題，展開了一場精彩紛呈的探討。

在新形勢下，數字經濟與實體經濟不斷深入融合，企業數字化轉型已進入深水區。創新和合作是企業提升競爭力，抓住發展機遇的關鍵。思特沃克（Thoughtworks）中國區總經理張松在致辭中表示：“在快速變化的社會環境之下，各種挑戰接踵而至，各個組織需要不斷通過融合技術、產品和服務來響應新的需求，去開拓新空間、創造新價值。新的價值不僅僅體現在商業成效上，還在于更有責任感地使用科技，在運用數字化技術的過程中避免引入社會問題，促進積極的社會發展。因此，企業需要比以往任何時候更加關注合作的重要性。我們希望與更多合作伙伴一起攜手，融合優勢，推動創新，直面時代的挑戰?！?/p>

融合新模式、新技術，推動數字化轉型深入

“唯一不變的是變化本身”，在這個大變局時代，面對數字化帶來的挑戰，不少企業因缺乏適應性，正在面臨生存和發展的障礙。為了幫更多企業突出重圍，思特沃克（Thoughtworks）全球創新技術總經理肖然攜手思特沃克（Thoughtworks）全球數字化合作伙伴Gary O’brien 帶來了《進化型組織客戶為中心的運營模式》的主題分享。

肖然談到：“數字化轉型已成為越來越多的企業共識，但是不少企業并沒有想好“轉”什么，怎樣“轉”。我們分析了很多企業的數字化轉型案例，大多數并未觸及核心業務，其效果自然不理想。真正做好數字化轉型，需要對企業母體進行改造，這其中改變企業的自身運營模式就至關重要?！?/p>

基于這一現狀，思特沃克（Thoughtworks）提出了客戶為中心的運營模式。Gary O’brien介紹了這一運營模式，并指出：“ 思特沃克（Thoughtworks）客戶為中心的運營模式以客戶為關注點，具備有五個關鍵點：客戶決定成效，成效決定度量，度量決定工作，工作決定技能，技能決定團隊，能有效簡化整個組織的運營機制，用精益切片的方式戰勝組織慣性，幫助企業構建更有彈性的‘進化型’組織，實現面向現代數字化業務的持續演進?！?/p>

提到數字化轉型，就無法回避近年來涌現的新技術，人工智能就是其中之一。ChatGPT的出現，又一次掀起人工智能的熱潮。企業該怎樣利用人工智能引領業務發展？如何構建負責任的人工智能解決方案？

思特沃克（Thoughtworks）首席咨詢顧問Barton Friedland 博士與思特沃克（Thoughtworks）數據與人工智能業務線解決方案負責人、首席咨詢顧問張晶白就《人工智能將如何助力現代決策方法》這一主題進行了闡述。Barton Friedland 博士強調說：“在這個復雜且瞬息萬變的世界中，高管們必須能夠以更快的速度審查和調整他們的戰略，并不斷進行微調。將人類領域的專業知識與人工智能（AI）和機器學習（ML）相結合，我們能夠為被忽視的企業戰略可能性開拓出廣泛的搜索空間?！睆埦О讋t分享了思特沃克（Thoughtworks）幫助機場、威士忌品牌等利用人工智能增強運營、創造、自動化的實踐案例，給更多企業客戶以參考和啟迪。

攜手探索與創新，助力數字化轉型成功

當下，新能源快速發展，造車新勢力不斷興起，汽車行業競爭持續加劇。汽車品牌要想突出重圍，除了在產品力上下足功夫，也要特別關注出行體驗。針對如何做好《面向未來的出行體驗設計》這一話題，思特沃克（Thoughtworks）中國區客戶體驗與產品設計總監馬彥青與長安汽車全球設計用戶體驗負責人、設計策略平臺經理丁瑋，從長安汽車的實踐案例著手，給出了深入的思考。

在分享中，馬彥青特別介紹了思特沃克（Thoughtworks）在出行體驗方面所進行的有益探索。他說：“技術正以前所未有的速度進入大眾視野，為了適應市場變化，整個車企要從產品為中心到客戶為中心轉變，這就需要脫離信息繭房，不斷探索。為此，我們成立了思特沃克（Thoughtworks）未來實驗室，通過技術+體驗雙驅，系統性推測可能場景，保持對新趨勢和新場景的敏銳度，同時，采用冰山模型深度洞察用戶需求，從而為車企提供整車體驗策略解決方案，幫助企業在取悅用戶和研發產品之間找到平衡點，實現新的突破?！?/p>

作為業界一流的數字化轉型服務商，思特沃克（Thoughtworks）幫助眾多企業進行數字化頂層設計，開啟流暢數字化之路。在本次大會上，思特沃克（Thoughtworks）首席咨詢師、企業架構咨詢總監王健，首創環保集團企業管理中心副總經理曲曉川做了題為《業務與場景驅動的數字化頂層設計》的分享，講述了首創環保集團的數字化轉型故事。

首創環保集團是環保領域的領軍企業，思特沃克（Thoughtworks）從全局出發，結合集團的戰略方向、業務布局、核心能力、核心資源等，秉承以業務為中心的理念，與集團企管中心共同繪制數字化建設的頂層藍圖，幫助集團穩步推進數字化轉型。這其中所蘊含的現代數字化頂層規劃方法論，也能幫助更多企業通過數字化技術對企業管理及業務從支持服務、融合共創到引領再造，最終實現數字化轉型成功，推動企業的高質量發展。

關注數字化下的社會，實現包容發展

掃碼支付、手機點餐、線上掛號……數字技術正在以前所未有的速度改變我們與周邊、與世界的關系，而數字技術的發展到底是增強了社會的公平正義，還是加劇了其中的諸多不平等？ 中國社科院新聞與傳播研究所副研究員孫萍圍繞這一議題，基于豐富的調查研究和田野故事，在分享中給出了不一樣的洞察和思考。她指出：“企業在促進社會公益、健康發展中起到了關鍵作用。我們共同期待，企業能夠樹立守正創新、共益互利的技術理念，在發展中超越短期主義和唯利主義，讓開放、包容、可持續成為未來‘人—技’關系的奠基之路?！?/p>

“數字化”在不斷重構生產力、影響企業底層邏輯，也催生了數目龐大的“數字勞動者”，比如外賣騎手、快遞員、數據標注員等。Thoughtworks Live大會的主題創新工作坊今年重點關注“數字勞動者的生存變革”這一議題，來自思特沃克（Thoughtworks）社會影響力和用戶體驗團隊的咨詢師們， 通過沉浸式互動結合思特沃克（Thoughtworks）提出的“變革設計”方法，與現場嘉賓、企業高管等，一起推演若技術只是瞄準利潤所帶來的可怕未來，共同探討企業以“負責任的技術思想”來干預未來的方法與舉措。

Thoughtworks Live大會的主題創新工作坊現場

結語

當前，數字化轉型已納入國家戰略，黨的二十大對推進數字技術創新、深化數字化轉型、建設數字中國提出了更高要求。數字化轉型已成為企業的必修課，眾多企業也已經踏上了數字化轉型之路，但是從頂層設計到部門協同再到實際落地過程中，依舊面臨著不少難題，只有積極擁抱新技術，運用新模式，通過人力、技術與社會各界的力量創新聚合，持續推進業務發展，才能化挑戰為機遇，實現企業的新發展。致力于為企業提供數字化轉型咨詢和高端軟件定制開發服務的思特沃克（Thoughtworks），將繼續以前瞻性的視角，結合對用戶深度的洞察，豐富的數字化經驗，幫助更多客戶一起和衷共濟，乘風破浪，開啟數字時代的創新之路。

12月28日，釘釘7.0產品發布會在杭州召開。會上，釘釘正式發布7.0版本，推出了面向企業間協同的“群2.0”產品。同時，釘釘全面升級了文檔、會議、低代碼、酷應用等核心產品矩陣。

釘釘總裁葉軍宣布，截止到2022年9月30日，釘釘用戶數破6億，企業組織數超過2300萬，付費DAU突破1500萬。

葉軍表示，中國企業的數字化轉型分為三個階段：第一階段是組織在線，從傳統的工作方式進化到在線辦公；第二個階段是從組織的數字化進化到業務的數字化；第三階段則以企業間的數字化協同為標志，產業互聯時代已來。

中國企業數字化進入產業鏈大協同階段

從2014年1.0版本面世至今，釘釘誕生8年來經歷了七次大版本的迭代。釘釘1.0到5.0版本，見證并推動了中小企業從紙質辦公，跨越到以云和移動為特征的數字化辦公時代。

阿里巴巴“云釘一體”戰略后，釘釘宣布升級為協同辦公和應用開發平臺，并推出6.0版本。

現在，中國企業的數字化正在進入第三個階段，即企業與企業間的數字化協同，連點成線，聚線成面，最終將實現整個產業鏈的數字化大協同。這將帶來三個重要變革：

首先是組織協同方式發生變革，從企業內的協同，走向組織間、產業鏈的大協同。

其次，軟件開發和使用方式發生變革。釘釘引領的低代碼變革了軟件的開發方式，未來人人都將是開發者，80%的業務應用將由一線業務人員通過低代碼開發；釘釘開創的酷應用改變了軟件的使用方式，將業務流穿透到群聊等高頻辦公場景，讓過去低頻的業務應用“活”了起來。

第三，企業獲取服務的方式也在發生變革。釘釘堅持PaaS化，帶來了生態的繁榮，企業用戶告別了過去離散式的購買服務的方式，在釘釘上可以一站式購齊所需服務。企業也不必再購買功能繁冗的大軟件，轉變成按需購買服務。

“釘釘所有的迭代都在做一件事，就是不斷降低中國企業數字化的門檻。讓數字化工具人人可用，讓數字化應用人人可開發”，葉軍說。釘釘7.0，代表了釘釘從過去關注個體效率、單個組織效率，到關注企業之間乃至整個產業鏈協同效率，是一款標志性產品。

釘釘群2.0：讓上下游之間如同一家公司一樣協同

如何通過數字化工具實現企業與企業之間的連接？釘釘此次重磅推出的群2.0產品，通過建群使不同的企業之間、上下游伙伴之間像一家公司一樣無縫協同。

通過洞察千行百業的工作方式，釘釘發現群聊是企業內部和企業之間最高頻的協作場景，也是中國工作者最廣泛接受的協作方式。但普通群聊消息沒有組織性和結構化，在群聊中無法處理業務。

釘釘群1.0以溝通和組織內協同為核心，提供Ding、已讀、文檔協同、項目管理、日程、待辦等功能，解決了信息的透明和觸達效率問題。

釘釘群2.0的特點是跨組織的高效協同，通過審批、低代碼和酷應用將業務流穿透到了群聊中，大幅降低企業與企業間溝通、協同與業務合作的門檻，推動產業互聯。

通過釘釘群2.0，不同的企業可以在一個群內展開合作，包括編輯云文檔、發布應用、處理流程、審批合同等等；群也升級為溝通、協作與應用融合的產品形態，推動企業間的業務應用共享與數據集成，支撐企業沉淀數據、利用數據指導生產經營。

目前釘釘會議、文檔、項目等協作產品，已全面支持跨組織的使用；低代碼、酷應用、審批等產品也進一步支持跨組織共享的能力，企業搭建的低代碼應用、第三方應用和企業的自建系統，通過跨組織的應用共享，實現企業與企業間的業務協同。

一汽大眾作為汽車制造領域的先行者，借助釘釘的組織連接能力，將供應商納入了上游組織，實現了與供應商之間關鍵數據的打通。針對上游零部件供應商使用的系統多，市面上的MES系統昂貴等問題，一汽大眾把數字化經驗沉淀后用宜搭低代碼搭建簡易MES，幫助上千家供應商低門檻數字化。

釘選：企業服務、toB營銷的第一入口

Gartner在近期發布的2023年需要探索的十大技術趨勢中，超級應用是一個集應用、平臺和生態系統功能于一身的應用程序，它最終能夠整合并取代多個應用。Gartner預測，到2027年，全球50%以上的人口將成為多個超級應用的日活躍用戶。

釘釘總裁葉軍表示，釘釘已經具備超級應用的特征，擁有開放的底座能力，豐富的應用和功能，以及繁榮的生態體系。目前中國市場具備這一特質的只有微信與釘釘，釘釘已經從一個處理消息的IM系統變成一個處理數據的智能系統。

目前，釘釘上已有500萬個低代碼應用，預計在一年左右，包括低代碼開發和全代碼開發在內，在釘釘上產生的數字化應用會超過1000萬個?？釕玫男略龀始铀仝厔?，從今年3月到9月，半年之內酷應用數已超1萬；9月至今不到3個月時間中又翻一倍，達到2萬?？釕眠€帶起了企業在釘釘上使用SaaS的風潮，在釘釘開通使用三方SaaS的組織中，從酷應用市場開通應用的組織占35%，在所有渠道中位居首位。

通過釘釘，很多數字化服務可以高效、方便地觸達用戶界面，并且用極低的成本就能實現適配。這也讓釘釘成為一站式企業服務平臺。

本次發布會上，釘釘推出了 “釘選”企業服務聚合平臺，聚合了釘釘上超過1500款SaaS應用，及釘釘聯合合作伙伴推出企業差旅、企業采購、企業辦公租賃、智能招聘、智能合同、客戶管理等近10種企業服務，企業可一站式購齊所需服務。目前，攜程、智聯招聘、高德打車、人人租等不同種類的企業服務提供商已加入釘選，面向釘釘用戶提供服務。

與此同時，企業也正在釘釘上開辟to B服務的新場景，找到了新的增長機會?；卺斸斏蟭o B人群，原本主要面向C端的企業，找到了面向B端企業提供服務的新場景，找到了第二增長曲線；tob企業也通過釘釘視頻號帶來新商機。

發布會上，亞組委廣播電視和信息技術部副部長張鴿、杭州市學軍小學教育集團總校長張軍林、艾為電子CEO婁聲波等參會嘉賓分享了如何用釘釘實現組織間協同的經驗。亞組委張鴿表示：“在全力推進杭州亞運的建設過程中，依托亞運釘這樣的先進工具實現了傳統工作方式的優化升級，這就是對本次釘釘發布會的 ‘大協同’ 的一次生動實踐?！?/p>

最近全國各地疫情提速，多個城市均出現了醫院就診量暴增的場景，部分熱門科室7天內的號源瞬間被預訂一空。迫于“一號難求”的壓力，人們不得不從“黃?！笔种匈I號，幾十元的專家號倒賣到患者手中動輒兩三百元甚至上千元，就醫成本大幅上漲，加劇了普通百姓的看病難。

其實“黃?！睋屘柌⒉皇鞘裁聪∑媸?，先壟斷醫院號源，再高價賣出，是常規操作。只是隨著互聯網醫療時代的到來，如今的黃?！皳屘枴币巡辉偈枪腿伺抨牭膫鹘y模式，而是利用手機掛號APP、114掛號平臺發展出全新“線上業務”。不僅搶號手段信息化程度日漸提高，“黃?！敝幸膊环夹g人員，其專業化程度之高、組織運作鏈條之完整令人咋舌。他們會在上游利用自動化攻擊手段竊取和篡改用戶信息、數據，或對系統發起漏洞攻擊、DDoS攻擊、網頁篡改、撞庫等方式入侵醫院應用系統，下游則通過搶號、刷單、倒賣數據等各種方式牟利。

為了防止“黃?！睋屘?，許多醫院相繼采取了“實名認證”的對策，大部分醫院線上預約掛號的實名認證都需要填寫就診人姓名、身份證號及手機號進行綁定，有的醫院甚至在掛號系統中加入人臉識別技術來確?；颊呱矸莸恼鎸嵭?。

但即便如此，依然攔不住“黃?！崩米约洪_發的搶號軟件“鎖住”號源，將就診人的個人信息索要來進行填寫，完成線上預約。面對人臉識別的考驗，“黃?！币矔尵驮\人先錄一段視頻，然后在頁面錄制和回滾，通過腳本的方式劫持掛號頁面、獲取號源。

“黃?！睋屘栐俑邇r轉賣不僅嚴重擾亂了醫療市場秩序，其惡意攻擊也造成了醫院無法正常掛號、醫患信息批量泄露并被二次利用等一系列嚴重后果。那么，醫院該如何打擊這些利用自動化工具搶號的“黃?！?？

打擊“黃?！必叫栊掳踩夹g

在效率優先的現代社會，不法之徒早已邁過了“拼手速”的遠古時代。當“黃?！遍_始采用更加先進的技術進行攻擊時，醫院也亟需與時俱進提升自己的安全防護技術。

一方面，“黃?！睍槍W上預約頁面定制機器人程序，自動化的實現“約號”流程。普通用戶需要2-5分鐘才能完成的流程，機器人程序2-3秒就可以完成多人“約號”，快人一步。這也形成了預約號剛放出來，隨即被預約完畢的怪異現象。

同時，為了以合法形式掩蓋非法目的，“黃?！备嗖扇M人攻擊，會通過真實身份的模擬來進行欺詐或攻擊行為，也會通過程序來模擬真人行為，包括模擬正常人使用程序以及網絡操作等。

另一方面，傳統安全技術已落后于新興威脅。盡管許多企業已經部署了防火墻、IDS/IPS、WAF等安全設備，但面對自動化、擬人化的攻擊，這些基于特定規則、特征庫進行防護的傳統安全設備，根本無法識別出新興的威脅行為，防御手段幾乎完全失效，只能被動“挨打”。

不難看到，隨著“黃?！辈粩鄬I化、組織化、規?；?，醫院現有的安全防護體系很難再發揮優勢。那么，該如何識別并杜絕“黃?！崩脵C器人程序“擬人”的搶號行為呢？

瑞數動態安全技術精準打擊“號販子”

在傳統攻防規則中，攻擊很容易，防守非常難?！皠討B安全”技術的出現，徹底改變了傳統游戲規則，通過“先發制人，掌握先機”的防護哲學，顛覆了攻防態勢，詮釋出“進攻是最好的防守”的網絡安全理念。

所謂“動態安全”技術，是由自動化bots攻擊防御領域的絕對領導者——瑞數信息獨創，通過隱藏漏洞、變換自身、驗證真偽等多種方式提高攻擊成本，倒逼攻擊者放棄攻擊?；谶@種主動防護理念，動態安全技術不再依靠攻擊特征庫、異常特征庫的匹配來識別攻擊，同時也無需依賴攻擊頻率和工具特征來識別攻擊，實現更加主動和有效的主動防護，能夠有效打擊搶號、刷單等業務欺詐行為。

具體而言，瑞數信息“動態安全”技術可以從幾個方面精準打擊“號販子”：

• 人機識別：動態令牌和動態驗證是最能體現瑞數動態安全理念的兩大技術。其中，動態令牌可以對合法請求授予一次性動態令牌，并為每個客戶端生成不依賴于設備特征的唯一標識。令牌的動態變換，加上客戶端唯一標識，就如同身份證一樣難以偽造，可以阻攔沒有令牌的非法請求。動態驗證可以對客戶端進行人機識別，同時識別腳本、程序等自動化工具，還可以對運行環境驗證，從而有效甄別“人”還是“工具”，打擊自動化工具發起的攻擊。

• 動態干擾：利用動態封裝和動態混淆兩大瑞數創新技術，對攻擊者實施動態干擾。靈活運用Web代碼混淆、JS混淆、前端反調試、Cookie混淆、中間人檢測等多種動態干擾功能，對頁面邏輯、代碼、內容關鍵元素等進行混淆封裝，能夠采用不基于任何特征、規則的方式進行有效防護，對人工代碼分析進行動態干擾，防止業務被逆向分析。

• 按需攔截：利用可編程對抗技術，通過客戶端采集到的超過300個信息字段進行規則編程，可以針對設備特征、輸入事件、訪問行為等場景進行攻防對抗微秒級實施響應，并且可以提供軟攔截能力，靈活配置各種動態響應策略，如攔截、重定向、延時、發起挑戰等，讓攻擊者無懈可擊。

• 高危文件精細化管理：對于腳本文件猜解用戶提前發現并攔截，攔截不允許文件類型請求操作。針對不同站點設置常見木馬類型進行攔截，同時還可以針對不同站點設置請求文件類型進行攔截。

• 威脅透視：利用瑞數獨有的全程式業務威脅感知和智能分析技術，以及內置的通用自動化威脅模型，準確透視細粒度的機器人行為，為精準判定自動化攻擊提供有效威脅數據。

通過瑞數動態安全技術，可以大幅削減自動化工具的攻擊效率，提升攻擊成本。當“黃?！币胩颖軇討B安全技術的防守，就需要不斷更換IP，或花錢購買定制不同的工具，付出更多的時間成本，最終導致攻擊成本過高，倒逼“黃?！狈艞墶皳屘枴?。同時，面對“黃?！弊詣踊ぞ叩母叨葦M人操作，瑞數動態安全技術能夠進行實時識別和攔截，在安全防護方面將更主動和靈活。

相比與傳統安全廠商，瑞數信息的數據采集點更加豐富，可同時覆蓋Web、H5、APP、小程序、API等多種業務渠道，實現線上業務全渠道以及客戶端、數據傳輸、服務器端全方位的數據關聯。通過對數據的全量采集，補充安全威脅數據與人機識別數據，并融合AI算法模型，瑞數信息能夠為醫院提供更加全面、精準的自動化攻擊防御能力，從而有效打擊“號販子”。

結語

疫情時期，打擊“黃?！备邇r預約、整治醫院搶號亂象刻不容緩。瑞數信息動態安全技術能夠阻擋95%以上的機器人“搶號”行為，扭轉普通老百姓搶不到號的不利局面，助力醫院維持交易公平以及現有應用服務器的穩定性，為打擊“黃?！碧峁┤碌募夹g方案。

2022年的云科技春晚，亞馬遜云科技的re：Invent 2022開始了。

北京時間11月29號上午11點半，我個人最關注的主題內容，繼續由亞馬遜云科技高級副總裁Peter DeSantis帶來。

Peter DeSantis的演講內容分四個“靚仔”，分別是硬件、網絡、科學和軟件。其中，科學部分指的是AI/ML方面的創新，軟件指的是應用軟件運行。

首先，看硬件方面的創新

首先登場的依然是最令人期待的AWS Nitro，回顧歷史，Nitro被分成了四個版本來介紹，每一代都會有一些明顯的進步和提升，這次發布的就是Nitro V5。

與上代相比，Nitro V5采用的晶體管數量翻倍，內存速度提高了50%，PCIe帶寬也實現了翻倍。反映到性能方面，PPS網絡性能提高60%，延遲降低30%，此外，能耗比也將提升大約30%。

首發采用Nitro V5的就是這款叫C7gn的EC2實例，它采用的處理器是Graviton3，作為一款網絡優化型實例，帶寬提升到了200Gbps，各項參數相較于上代的C6gn有不小提升。

第二位重磅登場的其實是新一代的Arm處理器Graviton3E。

Graviton2相較于Graviton1提升很大，Graviton3相較于Graviton2有25%的性能優勢，今年，很多人期待的是Graviton4，但這次只有Graviton3E。

Graviton3E是Graviton3的一個變種，主要優化了在浮點運算和向量運算場景中的表現，這種都是高性能計算領域特別強調的能力。

圖中展示的性能提升僅限于在高性能計算領域，比如有分子動力學GROMACS、金融期權定價FINANCIAL OPTIONS PRICING等等場景。

為Graviton3E首發護航的就是HPC7g實例，它同時還采用了Nitro V5。對了，這就說明Nitro V5是專門給所有7代主機準備的。

第二，看網絡創新方面的創新

網絡部分，Peter重點介紹了SRD（Scalable Reliable Datagram）的重要性，并表示，EFA、EBS和ENA都用上了自家的SRD。

EFA是亞馬遜云科技的高性能網卡，主要面向HPC和AI集群場景，它依靠Nitro來Offload，繞過內核，以此來提供更高的穩定性，更高的吞吐帶寬和更低的延遲。

EFA優勢很明顯，但由于跟TCP有一些不同，所以，真正用的時候，只有少數對延遲特別敏感的應用才有可能來適配它，為了能讓人用上EFA，亞馬遜云科技也對接了HPC生態。

SRD在降低EBS寫延遲方面效果顯著，如上圖所示，它能將極少數（P99.999）會出現的35ms延遲降低五倍，并且能將整體的延遲水平降到一個全新的水平。

SRD除了可以幫EBS降低延遲，還能提高吞吐帶寬，如上圖，采用了SRD的io2，其IOPS和帶寬提升了四倍。

Peter還表示，此后新發布的EBS io2都會支持SRD，并且，不會給用戶帶來額外成本，應用本身無感知，用就行了。

與EFA不同，ENA（Elastic Network Adapter）才是大多數人要用的網絡服務，亞馬遜云科技把SRD裝了進去ENA之后，發布了一個叫ENA Express的新東西。

其主要價值也是降低延遲和提升帶寬，其中，帶寬直接從原來的5GB/s提升到了25GB/s。

對于用戶來說，也是只管用就行了，應用方面不需要單獨作出調整。

第三部分，機器學習方面的創新。

這部分，Peter重點介紹了如何提高機器學習訓練效率的問題。

如上圖所示的是機器學習模型精度對訓練時間的影響，16位計算精度的訓練速度快（也省顯存），但損失函數的值收斂不夠，也就是說，訓練出來的模型會很不準。

32位計算精度可以，但比較費時間，浪費時間就意味著會更費資源，更費錢，為了保證精度的同時能縮短訓練時間，人們搞出了混合精度的做法。

為了進一步減少訓練時間，還有了叫STOCHASTIC ROUNDING的做法，這個具體是什么，我實在是聽不懂，有點超綱了，大概知道這是一個優化訓練過程的思路。（懂的大佬能用白話解釋一下嗎？）

不過，提高訓練效率的另外一個思路是橫向擴展，用多臺服務器來一起做訓練。雖然集群運算的效率高，但集群信息交換同步的問題也很大，因為信息交換同步本身就會消耗很多時間。

Peter介紹了一個叫Ring of Rings（環中環？）的技術來解決信息交換同步效率差的問題。

相較于傳統的Single Ring的方案，能提高信息交換同步的效率，能把集群規模做的更大。

目前，Ring of Rings技術支持開源的機器學習模型PyTorch，能把PyTorch的信息同步交換速度提高75%。

這么好的技術，怎么才能用上呢？

于是Peter就介紹了新推出的Trn1n實例，它的芯片自然是去年發布的Trainium芯片，網絡部分采用的是增強的1600 Gbps的EFA網絡，這種實例更適合用分布式集群來訓練超大模型。

第四部分，軟件運行方面的創新。

這部分主要談的是亞馬遜云科技引以為傲的Serverless服務Lambda，具體說是減少Lambda運行軟件應用時的冷啟動時間。

此前發布的Firecracker其實也做了一些優化，而今天又再進一步，這就是新發布的AWS Lambda SnapStart，它能把冷啟動的時間縮短90%。

至于具體的技術實現的話，大致原理就是用了Snapshot快照技術來加快或者說繞開運行時環境初始化的時間。

關于Peter介紹的主要內容就先記錄到這里。

以下是這兩天的主要日程，喜歡熬夜的朋友可以蹲一下，我就不熬夜了。

我個人關注的會是CEO和CTO的演講，渠道方面的不感興趣，機器學習部分會酌情看一下，主要是預計我能聽懂的不多orz。

最后，順手貼一個注冊觀看鏈接：https://www.awsevents.cn/reInvent2022/registerSignUp.aspx?s=7982&smid=15580

又到了一年一度的雙十一購物季，各大平臺營銷活動紛紛上線，紅包、優惠券、秒殺……這些優惠你搶到了嗎？

為了拉新促活，一家知名保險公司近期投入上百萬的營銷費用，在自家APP、微信小程序上線了一個“抽獎得紅包”的用戶活動。然而，這些紅包真正被用戶搶到了嗎？恐怕很難。經過瑞數信息的后臺診斷分析，大部分紅包并沒有按計劃被發放至終端用戶手上，而是被大量“羊毛黨”薅走了。

通過日志分析，瑞數信息發現了大量的高級自動化行為和批量接口調用等可疑情況：僅8天時間， 簡單腳本攻擊就超過140萬次，高級自動化工具使用了2萬+次，重訪攻擊逼近1.5萬次，令牌篡改請求也突破了6000次。

換句話說，黑產團伙早就盯上了這個活動，通過系統化的技術手段和數以萬計的賬號，利用自動化的腳本程序，來批量參與保險線上平臺的營銷活動，以此獲取高額利潤。除此之外，由于黑產的大量“進攻”，營銷活動頁面經?？D，后端服務器難以支撐，嚴重影響了真實用戶參與活動的體驗。

那么問題來了，

為什么部署了大量安全設備的保險公司沒有發現黑產團伙的行為？

瑞數信息又是如何發現并打擊黑產的呢？

為什么用戶無法發現黑產“薅羊毛”？

事實上，保險公司的遭遇并不是個例。由于黑產分工明確、合作流程成熟，并且逐漸向隱蔽、專業、精準方向發展，已經越來越難以被消滅。據《數字金融反欺詐白皮書》顯示，目前羊毛黨已形成15余工種、160余萬從業人員、產業規模不低于1000億元人民幣的產業鏈。

從黑產自身來看，“薅羊毛”的技術正在不斷精進。相比于過去人肉作假，現在黑產更多采用Bots自動化工具，批量參與營銷活動，進一步提升了“薅羊毛”效率。同時，黑產攻擊手法更加擬人化，大面積地使用虛擬機、改碼設備、批量養號等各種高科技造假手段，足以模擬正常用戶的行為、設備、身份等系列特征，作案手法更加隱蔽。

從外部環境看，隨著數字化業務快速增長，APP、微信、小程序、H5等多種業務接入渠道產生，API接口大量被調用，帶來了巨大的敞口風險。

一方面，小程序這類新興線上渠道被攻擊者逆向難度很低，只要調取代碼就可以直接獲取微信用戶身份認證信息，完成登錄、下單、查詢等用戶行為。另一方面，API接口承載著大量客戶信息、業務和交易數據、認證信息等關鍵數據，經常面臨接口越權、未授權訪問等安全威脅。黑產不僅可以利用應用漏洞進行攻擊，還通過各類擬人化Bots模擬業務操作，實現業務攻擊，對數字化業務的影響也在快速攀升。

內外交困之下，傳統的業務安全/風控產品也疲態盡顯。

傳統業務安全/風控產品的關注點在于賬號、IP、設備信譽以及固定規則，需要頻繁地更新數據庫和規則來應對黑產攻擊。但如今的黑產已經可以通過豐富IP、使用肉雞、設備root、手機群控等手段，讓傳統的業務安全/風控系統疲于應對，甚至無法察覺黑產的存在。

瑞數信息解決的保險公司“薅羊毛”這一案例中，保險公司之所以攔不住黑產，很大原因也在于該公司部署的WAF產品，只能基于固定規則和簽名對異常行為進行判定，因此感知不到模擬真人的黑產攻擊行為。

三步發現黑產“薅羊毛”

針對傳統安全/風控產品的弊端，瑞數信息利用獨創的“動態安全+AI”技術，三步精準定位黑產“薅羊毛”行為，有效打擊各類網絡欺詐，包括偽裝成正常交易的業務作弊、利用合法賬號竊取敏感數據、假冒終端應用等。

1. 批量調取接口行為分析（重放、腳本自動化）

以上述保險公司案例為例，通過單獨分析抽獎路徑，瑞數信息發現：20%的請求操作行為字段為空值，可以判斷這一部分是使用的簡單腳本進行攻擊；30%的輸入操作記錄為0，說明可能是通過高級自動化攻擊發起的請求，或者是使用重放工具發起的請求。

正常的抽獎邏輯需要先訪問抽獎頁面，然后通過該頁面發起抽獎的接口請求。但瑞數信息從接口調用的referer發現：其中20%的請求沒有前置頁面請求，referer值為空，說明這些請求是直接自動化調用的抽獎接口，沒有按照正常的抽獎邏輯進行抽獎。

• 高級Bots工具

通過日志分析，瑞數信息發現了不少高級自動化工具。這類工具的訪問日志中操作行為字段為空，沒有人為的輸入、滑動等行為，所有請求都是腳本驅動瀏覽器完成。

• 黑產批量調取接口行為分析（代理池）

通過瑞數信息的cookie id（每個用戶不會重復，具備唯一性），以及提取到的頁面輸入行為進行聚類分析，發現黑產團伙進行接口批量調用，直接參與抽獎行為。

以上種種分析，都指向了黑產團伙的行為路徑：使用簡單腳本，定時抓取活動頁面，獲取活動信息；使用高級自動化工具和重放攻擊，模擬真人訪問，自動化參與抽獎。

四招分層解決“薅羊毛”

在清晰洞察了黑產行為之后，瑞數信息采用四招分層解決黑產“薅羊毛”問題。

招式一：針對簡單腳本攻擊和高級Bots工具

瑞數信息的“動態令牌”“動態驗證”技術，能夠確保運行環境，進行人機識別，對抗瀏覽器模擬化以及自動化攻擊；同時，防止重放攻擊和越權，確保業務邏輯正常進行。

招式二：針對黑產團伙

通過業務威脅感知、群控模型、聚類分析指紋和IP對應關系、分析頁面輸入行為、定制可編程對抗策略等方式，瑞數信息能夠實時識別和攔截模擬合法操作的異常行為，并梳理出黑產名單。

同時通過瑞數信息的“動態安全+AI”技術，大幅削減了自動化工具的攻擊效率，攔截了大量的“薅羊毛”行為，也為客戶服務器減輕了很大的壓力。

不僅如此，考慮到黑產一般在活動發起前就開始進行諸多準備，如掃描系統漏洞、爬取用戶信息、分析活動頁面信息等，瑞數信息在活動發起前就對業務做好防護，讓業務“風險前置”。

招式三：漏洞防掃描

通過動態安全技術，使得漏洞掃描或漏洞利用工具無法發起有效自動化掃描探測，無法發現可利用的漏洞及網頁目錄結構。同時，在網站/APP等應用未打補丁或補丁空窗期，提供有效安全防護。

招式四：用戶信息防泄露

針對用戶信息惡意爬取，瑞數信息利用“動態混淆”技術，將黑產每一次獲取的信息都動態加密，讓黑產無法獲取真實信息；利用“動態封裝”技術，將業務關鍵邏輯動態變化，防止攻擊者分析網站代碼。

總體而言，瑞數信息之所以能很好地解決黑產“薅羊毛”問題，一方面在于“動態安全+AI技術”具有自動化攻擊防御、人機識別等獨特優勢；另一方面也在于能同時覆蓋Web、H5、APP、小程序、API等多種業務渠道，數據采集點更加豐富，通過全量數據融合AI算法，使得防御能力更加精準，實現業務風控前置。

在黑產作案方式逐漸專業化、隱蔽化、團伙化的今天，線上營銷需要新的安全技術方案才能更好地“應戰”。瑞數信息作為Gartner、IDC等國際知名咨詢機構推薦的在線反欺詐領域代表廠商，將持續發揮自身技術優勢，為業務安全保駕護航。

“話說天下大勢，分久必合，合久必分。周末七國分爭，并入于秦。及秦滅之后，楚、漢分爭，又并入于漢。漢朝自高祖斬白蛇而起義，一統天下，后來光武中興，傳至獻帝，遂分為三國?！边@是 “分久必合，合久必分”典故的出處。

天下大勢如此， 數據信息產業的發展也概莫能外。但是大家也有一個疑問：現在的技術發展是三足鼎立呢？還是分久必合的趨勢？

在2022中國數據與存儲峰會上，來自英特爾的三位技術專家英特爾數據中心事業部 云解決方案架構師高偉、英特爾中國政企事務部及全球OEM解決方案經理吳國安、英特爾網絡與邊緣計算事業部云計算軟件開發工程師裴迪分別從CSAL/WSR、持久內存存儲和IPU SPDK存儲卸載加速/優化的角度對數據存儲的問題給出了解讀。這些技術各有特色，依托各自強大的優勢鼎立支持英特爾的技術發展

同時他們也具備一個共性，就是要解決爆炸式數據增長所帶來的數據處理方面的問題。如Cloud Storage Accelerate Layer——CSAL（此前叫WSR），是利用QLC和傲騰構建云存儲方面的價值，在提高性能和SLA的同時，提高存儲密度，降低數據處理合存儲的成本；傲騰持久內存存儲模式優化，主要解決外部數據存儲IO性能瓶頸的問題；相比，SPDK結合英特爾IPU對存儲相關協議進行卸載和優化，則是充分利用IPU等異構計算來解決高性能和擴展性的問題。

讓我們一起深入了解，這些技術是如何操作和實現的。

CSAL（WSR）助力阿里云打造更具競爭優勢的云存儲

隨著CPU性能的不斷提升，以及PCIe 4.0時代的來臨，原本基于磁盤的存儲方案越發捉襟見肘。磁盤存儲容量有所提升，但單位容量的性能卻不斷降低，從而使得SLA下降。

以阿里云的一個實踐案例來看，阿里云旗下大數據計算密集型實例規格族D2C采用的是磁盤的配置，在采用了CSAL和QLC加傲騰的技術組合后，阿里云推出了新的D3C實例。

新的D3C實例不僅存儲性能和SLA有所提升，而且，整體密度增加3倍，RACK級別實現了3倍節省，減少了機架的空間占用，令阿里云受益良多。

D3C實例需要使用最新的QLC存儲介質，但是QLC在耐久性上和寫性能方面有許多問題，特別是在處理小IO的時候，其性能并沒有比磁盤高多少，甚至在小數據塊的順序寫場景中，其性能還不如磁盤。

在分享中高偉詳細分析了造成此現象的原因：簡單用QLC閃存盤替換磁盤的做法是行不通的。

阿里云旗下有I系列和D系列兩類提供EBS本地存儲的ECS實例，I系列強調低延遲和高性能，主要用于數據庫場景，D系列強調低成本和大容量，主要用于大數據分析場景，新推出的D3C實例在性能上有大幅提升。

在構建實例的過程中，為了解決QLC在耐久性和性能方面的問題，英特爾和合作伙伴在過去一年里開展了一個叫CSAL的項目，而CSAL的作用主要有四個方面：

1，可根據用戶工作負載需求自由調整的NAND存儲性能和容量；

2，使用性能和耐久性都很高的傲騰來彌補QLC性能和耐久性不足的問題；

3，提供英特爾至強原生的高性能存儲；

4，多租戶下有更穩定的QoS表現，機架級別實現了三倍節??；

新的D3C實例采用了新一代的代號為Ice Lake的英特爾至強可擴展處理器，搭配CSAL技術和傲騰加QLC的技術組合，在計算和存儲性能方面都有了大幅提升。

與此前的D2C相比，原來一臺服務器只能提供一個大規格的虛擬機，而現在，一臺服務器可以提供兩個大規格的虛擬機。

并且，從TPCx-HS和TPC-DS兩個跑分測試數據來看，新的D3C的性能表現都比原來的D2C有所提升。

此外，高偉還介紹了CSAL架構方面的更多細節，以及CSAL在新一代ZNS閃存盤上的一些性能數據，如何未來發揮更多作用。

英特爾?傲騰?持久內存存儲模式的優化，值得期待

英特爾?傲騰?技術的研發始于2012年，2019年英特爾?傲騰?持久內存100系列與第二代英特爾?至強?可擴展處理器共同發布，隨后，隨著第三代英特爾?至強?可擴展處理器的發布，又發布了第二代的英特爾?傲騰?持久內存200系列，而第三代英特爾?傲騰?持久內存也將在明年年初與第四代英特爾?至強?可擴展處理器一道發布。

從英特爾技術專家吳國安的介紹中了解到，第三代英特爾?傲騰?持久內存的性能相比于200系列還會有大幅地提升。令人遺憾的是，由于一些原因，英特爾不再開發第四代傲騰持久內存產品，但后續將依靠至強平臺支持的CXL協議來擴展內存的容量及帶寬。

吳國安分享的重點是持久內存SNIA編程模型的優化問題，如圖可見，編程模式分兩種，一種是右側的內存編程模式，另一種是左側是存儲編程模式，左側是此次關注的重點。

與內存編程模式不同，存儲編程模式不需要修改代碼，并且，可以像操作普通磁盤和固態盤那樣把傲騰當做塊設備來使用，之所以能做到這點，很重要一方面就是因為有一個叫BTT的核心算法。BTT核心算法可以將字節訪問的持久內存設備，映射成為Block原子性的塊設備，從而將持久內存設備視為是快速且低延時的SSD。也因此，它具有了和SSD一樣的編程模型，這意味著它可以利用現有的SSD的生態，使用傳統的讀寫接口，在所有現有的文件系統下正常工作。

在這種模式之下，傲騰持久內存可以像普通SSD一樣，作為緩存來加速存儲性能。

最近，Linux內核方面有兩個優化，這兩個優化可以大大提升這種模式下的性能表現。分享中詳細介紹了持久內存存儲編程核心算法-BTT的更多細節，介紹了兩種優化存儲模式的方法，一種是算法優化，將BTT算法在持久內存中的16字節的bflog操作邏輯變為內存中的操作，減少寫操作的開銷。

另一種是動態控制deepflush，利用英特爾平臺的ADR功能而無需使用deepflush指令從而獲得非常好的性能提升。

最后，讓我們再看持久內存存儲編程模式可能的發展方向。新一代的英特爾至強可擴展處理器將內置DSA的加速器，它可以卸載CPU的數據搬遷工作，從而節省CPU的資源，又比如CXL技術將來可以和持久內存存一起來獲得更優的存儲性能。

詳細的技術細節也可以參考：持久內存BTT實現及優化（一）及持久內存BTT實現及優化（二）。

相關的代碼可以參考：[PATCH] BTT: Use dram freelist and remove bflog to otpimize perf以及[PATCH] ACPI/NFIT: Add no_deepflush param to dynamic control flush operation?！?/p>

SPDK在英特爾IPU的存儲卸載中有重要作用

SPDK（Storage Performance Development Kit）提供了一系列的工具和類庫來創建高性能、可擴展的、用戶態的存儲應用，能用于構建超高性能的存儲應用。

去年，英特爾正式發布了兩款IPU（Infrastructure Processing Unit），一個叫Big Spring Canyon(BSC)，另一個叫Mount Evans，兩款IPU都能對存儲進行卸載，并利用SPDK來提高性能。

英特爾技術專家裴迪介紹了IPU推出的背景和IPU的諸多價值。IPU不僅可以減少CPU資源的浪費，讓CPU得到更充分利用，還能提升性能和降低延遲，此外，通過軟硬件的結合，從而為云基礎設施帶來更高的靈活性。

Big Spring Canyon(BSC)是由英特爾?至強?D系列處理器和FPGA智能網卡來構建的，其優勢在于可以利用英特爾?至強?強大的軟件生態，性能強大，功能強大，還可以應對未來新的需求和定制化的需求。

Big Spring Canyon(BSC)卡的使用場景可以分為虛擬化模式和裸金屬模式兩種，裴迪結合兩種典型的使用場景在技術層面上做了一些具體的介紹。

裴迪介紹了SPDK軟件結合Big Spring Canyon(BSC)來支持存儲卸載和彈性塊設備的技術細節，讓我們看到了SPDK軟件在Big Spring Canyon(BSC)卡的存儲卸載方面有重要作用，之所以使用SPDK來完成存儲卸載工作，是因為SPDK具有強大的優勢：

一方面，因為SPDK是一個用戶態的軟件，使用了Polling mode避免了內核態IO處理頻繁上下文切換帶來的性能開銷，SPDK的數據面零拷貝和無鎖的特性也極大提高了性能。另一方面，SPDK目前已經比較成熟，支持多種遠端存儲。

Mount Evans是一款基于ASIC芯片和ARM CPU打造的IPU，提供2 x 100G的網絡能力，它是由英特爾和谷歌合作開發設計的。

Mount Evans繼承了以往多款基于FPGA的智能網卡和IPU的開發經驗，可應對各種真實的工作負載。它不僅擁有強大的性能，而且，在安全性和隔離性上面也具有更高水平的實現，從設計之初就將安全性和隔離性視為重中之重。

Mount Evans在硬件層面有許多技術創新，比如，它具有業內一流的可編程的包處理引擎，它擁有從英特爾傲騰拓展而來的NVME存儲接口，它支持下一代可靠傳輸技術，它還帶有先進的解壓縮加速器。

在軟件生態方面，Mount Evans經由軟件開發人員、硬件開發人員和加速器開發人員共同設計開發，有更好的軟硬協同。它支持Barefoot P4 Studio，可以為開發者提供更好的可編程性。另外，卡上運行的Linux操作系統能夠充分利用DPDK、SPDK以及IPDK等軟件生態。

在Mount Evans的CPU上也運行著SPDK存儲服務，可以提供存儲卸載和加速，SPDK在不同形態的IPU產品上都可以快速的匹配對應的硬件，同時提供高性能、高可擴展性，可對接到不同的存儲服務中，為IPU加速產品化提供存儲生態上的支持。

裴迪介紹了Mount Evans用SPDK卸載存儲的技術細節和一些典型的使用場景，在技術實現上，重點提到了一個叫vDPA的技術，vDPA技術增加了更多硬件實現的功能，從而帶來性能加速效果。

同時在IPU結合SPDK的使用場景中，也有涉及到最近比較熱門的FaaS (Function as a Service)云原生相關的支持。

以上是三位專家演講內容的概要，如果想了解更多演講具體內容，歡迎查看視頻回放。

2022中國數據與存儲峰會第二天的“CXL大內存論壇”上，CXL大內存論壇出品人、MemVerge聯合創始人兼CEO范承工發表了題為《CXL: 大內存的曙光》的主旨演講，在CXL成為熱點話題的背景下，對CXL的發展前景做出非常樂觀的預期。

以下內容根據現場速記整理：

CXL是一個新興的內存接口，它對于整個數據中心架構會產生非常深遠的影響。

今天有幸請到了幾位業內的專家，，既有硬件也有軟件方面，他們分別來自英特爾、三星、瀾起和MemVerge，給大家全方位解讀CXL技術以及它的應用場景。

接下來，我簡單介紹一下CXL，為什么會有CXL，它主要想解決哪些問題，它的基本定義是什么，基本的技術構成是什么，它潛在的應用場景是什么。

隨后，英特爾和三星的專家會做更詳細的介紹，瀾起科技是做CXL控制器的廠商，MemVerge是做大內存軟件的廠商，也會做更詳細的介紹。

首先來看，CXL要解決的挑戰是內存墻和IO墻問題，內存墻和IO墻又是什么？

隨著需要訪問的數據越來越多，內存墻和IO墻成為兩個不可逾越的瓶頸，阻礙應用的性能表現。

上圖是去年Meta在OCP全球峰會上發表的，圖中指出一個有趣的現象：過去10年，CPU的內核數有著非?？焖俚纳仙?，10年里內核數提升了大概三倍，但CPU內核到內存的帶寬反而下降了。

也就是說，每顆CPU核心能夠享用的內存帶寬是在下降的，每顆核心之間能交換的數據量是減少的。不幸的是，應用要訪問的數據是越來越多，所以說，內存和計算之間的接口就成為一個主要的瓶頸，這就是內存墻。

值得單獨說一句的是：內存墻的其實就是常說的“馮諾·依曼”架構的瓶頸。

IO墻是什么呢？

上圖來自英特爾，圖中以AI為例，AI模型的大小基本上每兩年上升一個數量級，數據如果放在內存里可以很快訪問到，但如果內存里放不下的話，就需要放在外部存儲里，用網絡IO來訪問數據。

IO方式的訪問會使得訪問速度下降幾個數量級，當內存容量不夠大時，IO也不可避免地會成為應用的瓶頸，這既是IO墻。內存墻和IO墻是影響新一代的應用性能的兩個障礙，如何打破這些障礙呢？這就要依靠CXL了。

廣受關注的CXL到底是什么？

CXL聯盟由業界200多家公司合作建立，CXL定義了一個標準，既支持各種各樣的存儲器，也支持各種異構的計算、芯片，包括CPU、GPU、DPU、各種AI加速器，甚至各種FPGA加速器。

CXL也支持各種各樣的內存，包括DRAM、新興的內存，甚至NAND閃存。CXL可以提高從計算到內存的訪問的一致性，所以使得不同的XPU可以同時訪問同一塊芯片。

在過去幾年里，CXL逐漸成熟，到現在已經發表了1.1、2.0、3.0三個不同的版本。CXL的定義之下，它有三種不同的設備。

第一種設備是加速器，指的是計算設備，可以是CPU，也可以是各種AI加速器；

CPU里自帶 Cache，CXL可以保持CPU Cache的一致性；

第三種設備是內存，CXL可以連接各種各樣的內存；

中間的第二種設備實際上是第一種和第三種的結合體，它可以既有計算，也有內存，兩種可以同時掛載到CXL。

CXL發展簡史：1.1、2.0、3.0

在2019年，CXL的第一個版本CXL 1.1問世了。它主要定義的標準是如何直接連接計算器件和內存器件，主要指的是在一臺服務器里面能夠直接把他們連在一起。它主要的場景是對內存的容量和帶寬進行擴展，叫Memory Expansion。

傳統服務器的內存插在DDR4 DIMM接口，該接口有一定的帶寬的限制，內存帶寬對CPU的利用率不是太高，不如PCIe總線對CPU的利用率高。

而CXL正是建立在PCIe的基礎之上的，在PCIe 5.0及以上標準來跑CXL的標準。這個帶寬就在DDR帶寬的基礎上再加上PCIe的帶寬，PCIe 5.0每一個通道的帶寬就有4個GB/s，16個通道就能達到64個GB/s，如果有128個通道，就可以增加500 GB/s多的帶寬。

所以，它可以很有效的對內存的帶寬進行擴展，也可以對內存的容量進行擴展。既能擴大帶寬，也能擴大容量，從某種意義上說，就是在解決內存墻和IO墻的瓶頸。

CXL 1.1解決的還是單機設備的問題，在一臺服務器里對內存進行擴展，而CXL 2.0就超出了單機的范疇。

上面的H1到H4到Hn指的是不同Host，它可以通過CXL Switch連接多個設備，底下的D1、D2、D3、D4指的是不同的內存，也是通CXL Switch連到上層的主機里。

在這套框架之下，它就使得Memory Polling成為可能，你可以跨系統設備實現共享內存池，這就增加了很多的靈活性。

比如，如果有機器內存不夠的時，就可以靈活的從這個池子里來找內存，如果這臺機器不需要這些內存了還可以隨時還回來。

這無疑將大大提高內存的使用率，或者降低內存的使用成本?？紤]到效率提高，自然也會降低對于環境的影響，有助于減少碳排放。

CXL 3.0是2022年8月份發布的新標準，在CXL 2.0基礎上增加了一些重要功能，它可以使得多個Switch互相連接，可以使得上百個服務器互聯并共享內存。

除了多層交互以外，CXL 3.0還多了一些功能，比如Memory sharing的能力，這種能力突破了某一個物理內存只能屬于某一臺服務器的限制，在硬件上實現了多機共同訪問同樣內存地址的能力。

Memory sharing需要實現很強的內存一致性，而此前的CXL 2.0只能通過軟件實現，CXL 3.0開始，它可以在硬件層面來實現。

上圖是CXL功能的演進變化，不少公司都宣布將支持CXL，包括AMD、英特爾下一代的服務器的芯片。內存廠商部分，三星、海力士、美光也都宣布了支持CXL的內存產品，真正的產品可能就要到明年了。

2024年上半年，CXL 1.1和CXL 2.0的產品可能會有落地產品，CXL 3.0的落地還需要更長時間?，F階段，合作伙伴可以聯系這些廠商找一些工程樣品搭建環境進行開發測試。

以史為鑒，CXL將引起一場技術與商業變革

CXL在業界造成了非常大的影響，堪稱是一場變革。上世紀90年代，存儲也經歷了一場類似的變革。

上世紀90年代之前，存儲指的就是硬盤，在一臺服務器里用硬盤來做存儲，但是在90年代初，一個叫Fiber  Channel的網絡出現了，它使存儲從服務器里走了出來，變成一個獨立的、與計算分離的、可以獨立擴展、獨立管理的系統。

這種系統就是人們熟知的SAN系統，隨后又逐漸出現了各種各樣的網絡共享存儲，這場技術革命，使得存儲從一個簡單的器件行業變成了一個軟件和系統行業。

1990年的存儲只是服務器的一部分，當時并沒有存儲軟件的概念。而1995年，集合了軟件和硬件的SAN系統開始出現，2000年左右，第一代NAS開始落地。從2010年以來，經過多年發展后，存儲軟件和存儲設備成為了一個500億美元以上的市場。

過程中也涌現了一大批成功的領導者公司，包括EMC、NetApp、Veritas、PureStorage等等。也有很多依靠通用硬件，在軟件上做創新的存儲公司獲得了不錯的市場成績。存儲軟件其實很重要，500億美元的存儲市場中，主要價值都是在軟件上。

現在的內存和30年前的硬盤存儲極為相似。

內存是一個重要的硬件器件，但是現在并沒有內存軟件或者內存系統這一市場。這是因為，現在的內存只是服務器里的一個設備，而并不是在一個網絡上可以獨立擴展，獨立管理的系統。

隨著CXL的出現，內存可以和計算進行分離，就像90年代存儲和計算分離一樣，這意味著，內存可以變成獨立的，可以擴展，可以管理，可以增加新功能的系統。

我相信，未來10年，20年里，同樣也會有新的百億美元大內存市場，一個包含軟件和系統的大內存市場，在此期間，會涌現出一批新的技術公司。

這是一個對比，CXL某種程度上就像是30年前的存儲網絡，使得內存從服務器里解放出來。

CXL落地：既需要硬件，也需要軟件，還需要生態

典型的CXL方案中，需要一批內存硬件來構成內存池，主機內部有內存，主機之外也有內存，相互間通過CXL交換機連接，中間還需要一個軟件系統來進行管理。

系統軟件算是一個Fabric manager，它負責管理內存資源的分配，可以動態的把內存分配給任何一個Host或者也可以從任何一個Host拿回內存，另外，系統軟件還會提供一些數據服務。

隨著CXL 3.0標準對于多個Switch的支持，集群規?？梢赃M一步擴大，從10臺20臺服務器擴展到百臺甚至千臺的服務器規模的共享內存資源池。

大內存時代，將會把軟件對于內存的重要性提高到了非常高的階段。

這是因為，當大內存的系統架構有一定的復雜性、共享性需求后，簡單的操作系統已經無法滿足應用對于內存的需求，都需要軟件來實現更復雜的功能。

比如，在服務器里，系統軟件需要考慮如何合理使用內存，而不需要去修改應用程序，比如，通過自動分層技術來完成操作。此外，當內存容量越來越大，就需要進行一些保護手段，就像如今的存儲系統需要數據保護一樣，比如說快照這種功能。

使用過程中，還需要對內存的使用狀況進行監視，對于內存上的應用進行Profiling，查看內存訪問的模式。

大內存時代下，可在服務器上通過軟件實現一定的Sharing（共享）和緩存一致性功能，使多機來共享同一個內存地址，使得共享內存成為高帶寬、低延遲的溝通手段。在此基礎上，將可以開發出新一代的應用程序。

這只是Host（服務器）上的功能，而內存池里還有更多功能需要實現。

內存池方面，需要管理軟件來管理不同物理內存的內存地址，哪一塊內存映射到哪一個Host；還可以對內存進行容量優化，比如壓縮和重復數據刪除功能，提升內存的可使用空間；此外，還有數據保護、安全、全局洞察等功能。

由此可見，軟件上可以做的工作非常多。

如今，在存儲還是網絡領域都非常流行軟件定義的概念，當內存網絡出現后，軟件定義內存的概念就會出現，通過軟件來實現內存的動態分配，以及內存之上的各種數據服務。

整個硬件加軟件的生態環境里，已經涌現了一大批公司。

包括英特爾、AMD、NVIDIA、ARM等計算芯片公司，同時還有一大批內存公司，比如三星、海力士、美光，也有一些相關芯片公司，比如瀾起科技。

此外，市場上會出現新一代的服務器和操作系統，也會出現軟硬一體的解決方案，這些企業都將成為生態中的重要組成部分。

云服務商也非常關注CXL，如今也成了CXL領域的先行者，在CXL上進行了一些研發，在應用上，內存池化可以對他們的技術架構帶來非常多的好處，某用戶在使用CXL技術方案后每年可以節省數億美元的費用。

此外，我們還看到一些新興的軟件公司在CXL架構上優化他們的應用，很多業內公司在推動CXL的落地和使用。

CXL的典型使用場景

最后，來看一下CXL可能的一些應用場景。

第一個領域是金融行業（FSI）。

金融行業里可能是CXL最早落地的行業之一。因為金融行業對于數據的性能要求很高，越來越多的應用成了在內存中的應用。金融行業對于新技術也一直非常敏感，非常具有前瞻性，會比較早的嘗試落地新興技術。

在金融行業里，共享內存可以實現低延遲、高帶寬的系統，可以使一個節點能快速穩定地向多個節點傳發信息。比如，股市交易信息就可以很快的從一點轉發到各地。在信息處理的過程中，因為有大內存的存在，它還可以防止內存的溢出。

金融行業的內存數據庫越來越多，數據分析的需求也越來越多，而大內存可以使得更多數據放在內存里。傳統的關系型數據庫場景中，可共享的大內存可以使得關系數據庫的緩存更加高效，這意味著將出現新一代的關系型數據庫。

第二個是在AI和 機器學習領域。

CXL有更好的擴展性和更高帶寬的內存，它可以將更多模型放到內存里，更高的帶寬可以縮減訓練的時間，提高AI應用的速度。

第三個，在云服務商領域，它可以通過可組合的基礎架構（Composable infrastucture）把更多的內存放在池子里，如此一來，閑置的內存就會減少，整體的內存利用率得以提升。

第四個，在高性能計算領域。

高性能計算領域，通過內存池中的Snapshot功能實現斷點續算，提升整體的運算速度，也可以在多個節點中通過API的形式來共享內存。

以上是CXL可能最先落地的一些訓練場景。

今年3月份的一篇文章里提到了一個對云廠商做的內部調查，調查發現，在微軟Azure，有高達25%的內存都是閑置的，有50%的虛擬機使用的內存占比僅為50%，大約有一半的內存沒有被用上。

在采用了CXL共享內存后，整體的利用率提升了10%，這意味著每年能減少數億美金的成本，對于整個成本節省非常重要。

另外一份白皮書中，谷歌也在做類似的事情，谷歌服務器集群中DRAM內存平均利用率約為40%，可見，其內存的利用率有很大可提升空間，池化之后可以明顯提高內存的利用率。

剛才說的是CXL技術和它最初的應用場景。

CXL支持以內存為中心的數據中心

接下來總結一下CXL最主要的優點：

第一，它提高了內存帶寬，打破了內存墻，它可以提高3倍的內存帶寬；

第二，它可以動態提高內存的容量，可以有效的避免存儲和網絡里的IO墻；

第三，它能夠降低總成本。通過靈活的調配，可以提高整個內存的使用率，降低整個內存的使用成本；

第四，通過更靈活的CXL架構，它可以使得整個異構計算的架構更上一層樓，使得任何一個服務器可以訪問任何一種內存；

在以上種種條件的作用下，它可以使得數據中心變成以內存為中心的新架構，使得各種各樣的運算能夠更快的進行，能夠為終端客戶帶來更高的價值。

這就是CXL獲得大家關注的原因，希望能和各位朋友一起把CXL真正的落地到數據中心。

上文介紹了戴爾大談零信任架構的原因，也提到了現代安全的三大要素，分別為：信任的基礎、簡化的零信任采納和網絡恢復計劃。事實上，戴爾作為全球大型IT基礎設施提供商，能提供多種網絡安全能力來構建現代安全，幫企業提高業務彈性。

比如，數據保護能力、檢測和響應能力、自動化能力、業務連續性方案、網絡恢復方案以及安全專家服務團隊，這些都能幫企業提高業務彈性。

可以說，戴爾在安全方面頗有積累，不僅如此，戴爾做安全的優勢也很明顯。

戴爾做安全的優勢

戴爾是全球范圍內最大的IT供應商之一，而且是少數擁有從核心到邊緣、到云的多種基礎架構的供應商，這種依靠豐富的產品類型和超強的市場覆蓋造就的影響力非常難得。

所以，能以此來為企業提供端到端的整體安全性，就是戴爾做安全最大的優勢。

戴爾基于這種優勢提出了整體安全愿景，覆蓋基礎架構、云、應用到設備四個層次。

基礎架構層面。戴爾提供可信賴的基礎架構，并且可以跨終端、跨服務器、跨存儲、跨網絡等多種安全控制點來執行安全策略。對用戶而言，戴爾遍布全球的企業用戶可以享受到一致性為安全管理帶來的種種便利。

在多云架構層面。企業需要的是統一的云安全策略，安全需要企業內部職能領域之間分擔責任，過程通常有些復雜。戴爾及其合作伙伴提供的平臺，可為網絡功能和威脅管理提供統一的策略，從而有助于統一多云環境中的安全管理。

在應用開發層面。戴爾和合作伙伴合作提供了一種一致的操作層，企業用戶可以在這里開發、托管和管理應用程序。通過戴爾與VMware的合作，企業用戶可以通過單點登錄在統一的數字工作空間中發布一系列應用。

在設備管理層面。戴爾利用跨多種設備集成的能力，為數字工作場所提供安全能力。隨著企業的物聯網設備越來越多，高效的安全管理也顯得越來越重要，企業可以使用戴爾的端點安全技術進行保護和管理，并且不需要考慮設備的品牌。

戴爾解決安全問題，推動現代安全轉型

戴爾指出了如今安全領域存在的三大問題，也是業內普遍關注的問題。

首先，如今的安全程序基本都是在應用開發完成后加入進來的，通常在應用程序和流程設計完成之后才考慮安全部分，然后，努力讓安全適合現有的操作。

同時，如今的安全過于零碎和分散，由于安全通常是由一個個開發團隊來定義的，每個開發團隊關注的重點都不盡相同，因此，從整體視角來看，就是一幅各自為政的局面，不利于整體。 

第三，如今的安全策略缺乏與業務的關聯。由于安全通常只考慮安全本身，并沒有考慮業務本身的需求。這就會出現，因為要處理安全問題而影響業務的局面，可能會對關鍵的運營職能產生影響，甚至中斷業務。

與業內的呼聲一致，戴爾認為，安全必須做出轉變，向現代安全轉變。

首先，安全性必須是內在的。這里所強調的是，安全能力應該在應用程序開發、固件開發和設備系統開發之初就融入進去，要和被保護的架構天生就融在一起，也就是常說的“安全左移”。

同時，信息安全團隊要和其他開發團隊進行統一，包括與DevOps、基礎架構/云團隊等進行統一，如何統一呢？比如，可以共享通用的工具和一致的策略，也就是常說的“DevSecOps”。

最后，對于安全策略和業務關聯的問題。應該根據業務來做安全規劃，既要與IT團隊集成，還必須與業務戰略集成，從而讓應用程序和基礎架構更好地關聯，從而減少對業務的影響。

戴爾認為，現代安全必須是內置的、統一的、情景關聯的。換句話說，安全策略和技術必須與體系結構、應用負載以及業務目標相統一。

戴爾的安全實踐：以NIST網絡安全框架來保護數據和系統

現代安全所涉及的轉變非常之大，那么，在具體的實施層面，要從何下手呢？

戴爾的做法是遵循安全業內普遍遵循的NIST網絡安全框架，NIST框架有五個關鍵支柱：

識別，以確保用戶了解業務中的所有資產、風險和組件；

保護，確保用戶保護業務中的人員、供應鏈、產品和所有資產；

檢測，專注于持續監控事件和異常；

響應，確保用戶有適當的流程和計劃來處理檢測到的任何事情；

恢復，確保用戶在發生重大問題時可以恢復；

對應的五個關鍵支柱里，戴爾在端點、網絡、多云、服務器/HCI、存儲和數據保護五大類產品方案中都埋布了安全控制點。

如圖所見，戴爾的安全設計非常全面，內容也比較多。

為了直觀地呈現戴爾在安全做的工作，我找到了這份《Dell EMC PowerEdge服務器的網絡彈性安全》白皮書，看一看企業用戶都熟悉的PowerEdge服務器是怎么做的。

白皮書中介紹的是14代和15代PowerEdge內置的安全功能，這些功能主要由戴爾遠程訪問控制器（iDRAC9）來實現。按照NIST框架來組織的話，這些功能主要分成了保護、檢測和恢復三部分：

保護：“保護”功能是NIST網絡安全框架的關鍵組成部分，也是白皮書最長的章節?！氨Ｗo”功能強調在生命周期的各個方面保護服務器，包括BIOS、固件、數據和物理硬件。

檢測：檢測強調能夠對服務器系統內的配置、健康狀態和更改事件的完整可見性。檢測惡意網絡攻擊和未經批準的更改，主動引起 IT 管理員的關注，盡快發現問題。

恢復：“恢復”要強調的是要快速?？焖賹IOS、固件和操作系統恢復到已知良好的狀態；安全地停用服務器或重新調整服務器的用途。

PowerEdge歷來重視安全。比如，在保護階段，系統引導過程中使用了加密的信任根認證BIOS和固件，這使得任何對硬件的非授權改動（哪怕換個沒有戴爾數字簽名的風扇）都會導致系統無法正常開機使用。全是為了防止有人對硬件做手腳。

戴爾在硬件層構建了網絡彈性架構，除了PowerEdge服務器，PowerMax高端存儲的安全設計也遵循了NIST安全框架。

《Dell PowerMax網絡安全》白皮書介紹了高端存儲PowerMax中用于網絡檢測、保護和恢復的各種功能，雖然沒有嚴格按照NIST的分類進行分類，但是還是列舉了一些主要的功能點。

比如，新發布的PowerMax 2500/8500陣列使用一個不可變的、基于芯片的硬件信任根（HWRoT）以加密方式確認 BIOS 和 BMC 固件的完整性。這部分明顯屬于NIST框架里“保護”的部分。

CloudIQ使用安全的戴爾科技集團網絡，并托管在安全的戴爾IT云中，從客戶的數據中心和邊緣位置的戴爾存儲和服務器上，收集、存儲和評估安全配置信息。支持包括PowerEdge服務器和存儲多個產品。它能為PowerMax做監控和故障排除，能為用戶的不當配置做一些糾正建議，也可以用機器學習和預測分析來識別異常。

文檔中提到CloudIQ有兩種異常檢測，一種是檢測延遲異常，能分析工作負載對延遲的影響，另一種與安全相關，叫“數據縮減異常檢測”，如果檢測到異常，則可能是有可疑活動或出現了潛在的勒索軟件威脅。

如今勒索軟件非常猖獗，見諸報道的就有很多新聞，比如，2022年，英偉達、征信巨頭TransUnion、印度航空公司SpiceJet、哥斯達黎加政府、美國出版業巨頭Macmillan等都有一些報道。所以，PowerMax新增的安全功能還是非常有針對性的。

戴爾提出加強現代安全

從勒索軟件事件來看，盡管許多組織有較強的安全防御能力，但安全防線還是被屢屢突破并被勒索，可見安全形勢的嚴峻，這也是包括戴爾在內的許多業內大廠關注現代安全，遵循NIST框架提升現代安全的根本原因。

加強現代安全分為三個方面，首先就是用零信任架構、NIST框架的做好對數據和系統的防護，企業可以利用整個IT生態系統中的整體存在的硬件和流程中的內在功能，實現安全方法的現代化。

沒有萬無一失的防護，當防護手段被突破，必須要考慮如何進行恢復，這是NIST框架的最后一個環節，也是提升現代安全的第二個方面——提升網絡彈性，最后，加強安全的第三個方面是降低安全的復雜性。

到底如何提升網絡彈性和降低安全復雜性，且聽下回分解。

相關閱讀：

作為硬件大廠，戴爾為什么要談零信任？

企業如何提高安全方面的投資回報率？

提起零信任，原本很難跟戴爾聯系到一起，然而，現在戴爾也開始大談零信任了，這是為什么呢？

首先，零信任是什么？

零信任，英文原文是“Zero Trust”，字面意思就是相互間沒有信任。讓人想起網絡熱梗：“人跟人之間沒有信任了嗎？”，“你能傷害的都是信任你的人！”

這里并不是勸人躺平，做一位“孤家寡人”。恰恰相反，正是因為沒了信任，所以才特別需要建立信任，通過不斷驗證權限來建立信任。通過不斷驗證來提升安全就是零信任的核心思想。

NIST官網對零信任有一番比較細致的介紹（看不太明白，也沒關系）：

“零信任（Zero trust，ZT）是一組不斷發展的網絡安全范例的術語，這些范例將防御從靜態的、基于網絡的邊界轉移到關注用戶、資產和資源。零信任架構使用零信任原則來規劃工業和企業基礎設施和工作流?！?/p>

“零信任是對企業網絡趨勢的回應，趨勢包括遠程用戶、自帶設備（BYOD）以及不在企業擁有網絡邊界內的基于云的資產。零信任側重于保護資源（資產、服務、工作流、網絡帳戶等），而不是網絡段，因為網絡位置不再被視為資源安全態勢的主要組成部分?！?/p>

為什么現在需要零信任呢？

零信任的概念最早可追溯到上世紀90年代，現在為什么談零信任呢？說到底，這是IT架構體系變遷所致。

在以前，企業在自家機房購置服務器、存儲和網絡等硬件，以此支撐企業信息系統。如果說，這一時期的機房是一棟自建的獨棟別墅，那么，安全方案就是別墅的圍墻。

安全問題如影隨形，而“圍墻”不僅做不到密不透風，而且還經常需要修修補補，漏洞經常有，一旦碰到了安全漏洞，就需要對應一套解決方案，在墻上打個補丁。

這套由自己搭建，自己打理的別墅見證了企業的成長壯大，圍墻上的補丁也見證了歷史變遷，而現在，環境發生了變化——云計算時代來了，企業的多云架構來了。

在多云時代背景下，企業自己的獨棟別墅雖然很重要，但經常需要租用/訂閱外部資源，此時的安全邊界發生了變化，自建的圍墻已經不能覆蓋所有資產了。

于是，就需要零信任架構用新的原則重新解決安全的問題。

零信任解決安全問題的原則有三個

首先，所有設備和用戶都得是已知的，都得面部清晰有名有姓，還要有明確的權限范圍。就好比，你走進一家公司，保安允許你進入，但并不代表你被信任了。如果你要打開財務部的門，你得證明你有權限，否則，從保衛科門里出來的人就來找你了。

第二，傳統做法是阻攔有害的行為，而零信任是只能做被允許的事。人只允許做已知的、好的事情，設備只能運行可以運行的應用，而未經允許的、未知的操作都做不了。如此一來，風險管理變得很簡單了。

第三，經認證的人和設備在做的事情會被記錄和監控，如果有反?；顒?，比如，研發的人經常訪問財務人員該訪問的內容，這種行為就會被記錄和上報。這樣就更容易發現問題，威脅管理也變得簡單了。

從觀感來看，零信任有過于”不近人情“的嚴苛。

從落地層面看，零信任帶來的變化太大，感覺會很麻煩，像一團亂麻。

零信任的構成需要三層架構緊密協作

其實，零信任架構有相對清晰的三層架構：業務控制層、通用控制平面和基礎架構三層。而且，實施的順序是從最上層的業務控制層開始、到通用控制平面，最后才是基礎架構層。

三層的職責各不相同：

業務控制層管理著業務層的安全，比如，研發人員能夠訪問實驗室，非研發人員不能訪問實驗室，這是業務層要管的。又比如，數據只能本地化，核心數據不得出境，也是業務要管的。

落到實現層面，由于業務控制層需要梳理業務邏輯，所以，會需要德勤、埃森哲和凱捷這樣的咨詢公司來參與。

通用控制平面負責用技術執行業務控制的內容，本身是一系列的技術實現。它會幫系統搞清楚它是誰，定義它可以做什么，記錄并識別它做了什么，這三個問題。

具體的實現層面，需要微軟的Active Directory、Rapid7、戴爾的SecureWorks和SentinelOne等軟件方案來實現。

零信任環境的第三層是基礎架構，它應該由控制平面來控制。但由于硬件層缺少合適的協議，沒有正確的策略模型，所以，控制平面很難對基礎架構進行控制。

從具體的實現來講，如果基礎架構面向控制平面進行設計，就可以執行來自業務控制層面和通用控制層面上定義的安全策略，而上層也可以通過來自基礎架構的遙測數據獲知更多細節。

戴爾在零信任中的角色是什么，為什么要談零信任？

零信任架構體系包含以上三個層面，而且還需要很好的集成，但由于沒有標準、沒有明確的職責劃分、沒有零信任基礎架構API等等，目前企業要承擔絕大部分集成的負擔，導致零信任實現起來非常困難。

戴爾可以簡化零信任的部署。戴爾可以提供包括存儲、網絡、服務器、終端設備在內的各種基礎架構，并與控制平面更好地整合，用完整的三個層面來構建零信任架構體系。推動零信任架構的更快落地。

所以，這里解釋文章一開始的問題，為什么戴爾要大談零信任？

戴爾作為全球范圍內的大型IT基礎架構提供商，在全球范圍內提供了大約三分之一的存儲，大約五分之一的服務器，以及數不清的終端設備。

戴爾有產業號召力和生態標準化方面的影響力。在零信任的問題上，戴爾正在推動整個業界實現零信任的集成，讓零信任更簡單地被采納，減輕企業集成的負擔。

零信任與現代安全三大要素

以上，談到了零信任的概念、作用和構成，能提升多云架構時代下的企業安全水平。零信任安全架構對安全體系帶來了較大變化，也為企業打造現代安全奠定了基礎。

現代安全有三大要素，而戴爾能支撐企業構建現代安全：

首先，戴爾作為基礎設施提供商，可以提供信任的基礎。

戴爾作為國際大廠，不僅有較高的品牌信譽。而且，戴爾能提供安全的交付過程，用戶能清楚地知道所使用的戴爾的產品，在哪里設計和生產，從用戶下訂單到收獲部署期間有沒有被動過手腳，以確保安全。

零信任是戴爾基礎架構不可或缺的一部分，貫穿全生命周期。戴爾從產品設計和開發開始，就考慮零信任，在制造和交付環節，在部署和運維以及停用階段，都實現了零信任的保障措施。制造和交付環節涉及的安全問題值得重視，業內出現了一些在交付環節零部件被動手腳，從而引發安全事件的先例。

第二，戴爾作為基礎設施提供商，可以簡化零信任的采用。

零信任架構集成的負擔太沉重，戴爾通過專為零信任架構而設計基礎架構，實現跟控制平面的集成，與身份管理、策略管理、威脅管理的集成。這意味著，戴爾的用戶更容易跟現有的安全解決方案集成在一起，簡化了零信任的采納。

最后，戴爾作為基礎設施提供商，還可以提供網絡恢復計劃。

說到底，零信任是用來防御安全威脅的，盡管可以提升網絡防御能力，但是，世界上沒有絕對的安全，萬一防御措施失效，后續就只能硬著陸了嗎？戴爾的實踐證明，用戶需要一個網絡恢復計劃，使業務快速恢復。

戴爾提供的這三方面能力正是現代企業安全的三大要素。如何加強現代化安全呢？且聽下文分解。

相關閱讀：

與專業安全廠商相比，戴爾做安全的優勢是什么？

企業如何提高安全方面的投資回報率？