Loading...

2018-12-12

活用公有雲技術 強化創新力 邁向轉型之路

現今各產業均面臨數位創新或轉型上的艱鉅挑戰,所以創新與轉型要從企業的策略方針開始,以各種IT 技術來驅動商業模式,且預先具備各種人才,才能滿足企業轉型所需。 在2018年11月9日的CIO價值學院第五堂課中,銓鍇資深業務經理分享如何利用雲微服務,撐起一片天。 銓鍇國際資深業務經理駱蕭豪說,在雲端蓬勃發展的趨勢下,無伺服器計算已成為世界主流,且有眾多難以取代的優點,如可隨時依照營運需求建立和執行應用程式與服務,可免去維護實體伺服器的成本支出。 活用公有雲技術 可口可樂提升專案效率 可口可樂是全球知名飲料公司,其飲料產品在世界各地均獲得消費者歡迎,為讓消費者隨時取得所愛的產品,在各地安置不需要人工服務的自動販賣機。而在行動支付成為主流時代,該公司也著手開發可搭配販賣機使用的行動支付系統,在降低開發成本與加速專案執行速度下,可口可樂選擇使用AWS EC2服務,讓開發團隊在無後顧之憂的前提下,寫程式時間比例從以往39%提升到68%。 至於專注於無線監控和控制服務的 Centratech Systems,需要一個可管理電力與水資源管理的物聯網平台。在考量營運成本與回應市場速度下,該公司選擇引進AWS IoT平台,並且在該平台上運行監控和控制系統,進而為客戶提供更簡單、成本更低的設備。AWS IoT 平台提供強化的安全性服務,可降低該公司管理設備的時間成本,讓現場技術人員的生產率提高50%,同時把培訓時間從6小時縮短為1小時。 銓鍇國際資深業務經理駱蕭豪說,長久以來伺服器在企業發展過程中,扮演非常重要且難以取代的地位,但其實也成為拖累公司發展的包袱。在雲端蓬勃發展的趨勢下,無伺服器運算(Serverless)已成為世界主流,且有眾多難以取代的優點,如可隨時依照營運需求建立和執行應用程式與服務,可免去維護實體伺服器的成本支出,並且可快速佈建、擴展和管理任何虛擬伺服器。 免去設備維護工作專注創新專案 備受全球客戶歡迎的 Amazon Web Services,提供各式各樣的全球雲端產品,包含運算、儲存、資料庫、分析、網路、行動、開發人員工具、管理工具、IoT、安全和企業應用程式。這些服務能協助組織更快速地運作、降低IT成本及擴展。目前最大型企業和最熱門的新創公司,都信任AWS為各種工作負載提供技術支援,包括Web和行動應用程式、遊戲開發、資料處理和倉儲、儲存、存檔等等。 駱蕭豪說,公有雲服務會受到企業歡迎的主因,在於實體伺服器硬體規格、作業系統很複雜,資訊人員很容易陷入該選何種伺服器規格、該選擇何種作業系統才適合伺服器運作、新程式碼該如何佈署到我的伺服器、該如何橫向與垂直擴展、現有實體伺服器還剩多少資源等問題。正因如此,反而會拖累企業投入創新專案的速度,自然帶動企業將應用系統轉移到公有雲服務的意願。   From: CIO經理人月刊  2018年12月號 No.90  

2018-11-23

AWS WAF 與安全開發

隨著資訊安全觀念的加深,以及層出不窮的資訊安全事件,程式開發不再只是資考慮效能及功能面,Security as Code 成為了現今開發人員必須優先考量的第一 要件。但伴隨著快速的軟體開發模式,以及許多新興技術的加入,不論是雲端運算、容器技術 (Container)、大量使用 API 介接及開發框架,都使得資訊安全問題變得越加複雜。 新技術所面臨的挑戰: 隨著雲技術的快速發展,開發及部署的速度變得越來越快,確保雲服務安全成為安全人員的新課題:在部署雲服務的同時,必須同時兼顧安全控制並且盡可能的自動化,即是所謂的 Security as Code 的觀念。 在DevOps環境中所使用的DevOps工具方面我們可以針對幾個方向來來做探討: 1. 存儲和管理代碼的DevOps工具:以Jenkins用於整合GitHub為例,使用者須知如何管理權限、Jenkins可調用的日誌及了解代碼掃描程序,確保代碼中不包含加密密鑰或密碼。 2. 部署編排工具:使用者需熟悉工具配置模板和策略評估模板,使其符合互聯網安全規範及其他建議最佳作法。 3. 存儲和訪問登入憑證和密鑰的DevOps工具:使用者應確保資安人員能獨立稽核訪問並發送日誌至遠端日誌記錄庫。 然而 Security as Code 雖然是確保雲服務最有效的方法,我們仍要注意防範未知的網路攻擊。以 OWASP TOP 10 為例,在 2017 年,OWASP Top 10 除了過去常見的問 題:Injection(注入攻擊)、無效身分認證和 Session管理 (Broken Authentication and Session Management) ,以及跨站腳本攻擊 (Cross-Site Scripting, XSS) 之外,更是大動作的新增三項全新的資安風險:針對各平臺常 見的 XML 外部處理器漏洞(XML External Entity, XXE)、Java、PHP 或 Node.js 等平臺常見的不安全的反序列化漏洞 (Insecure Deserialization),以及 「紀錄與監控不 足風險」(Insufficient Logging & Monitoring)。由此證明,網路 世界中時刻面臨著各種瞬息萬變的資訊安全威脅與挑戰。 隨著雲端技術及微服務的大量應用,導致軟體開發人員面臨的問題越來越多樣化。其中「紀錄與監控不足風險」的問題,更使得許多資訊安全事件在爆發初期無法即時的處理,導致企業的損害擴大。以資料外洩為例,使用者往往要超過半年以上才有可能察覺外洩事件的發生。   透過 MSP 強化企業安全體系: 然而,Security as Code 並非一朝一夕可以實現,快速開發及安全一直以來都是個難解的問題,如何兼顧企業安全並使開發人員專注、安心的開發程式是銓鍇國際 (Ckmates) 身為 AWS 認證的 MSP 服務託管商一直以來所重視的。 在傳統的機房架構中,使用者需要先期規劃 IPS/IDS、WAF 等防禦措施,且後 續仍須針對設備規則進行調校及維護,更別提後續建立SOC 部門分析預判攻 擊資訊,對於一般中小型企業體的使用者而言,這將會面臨相當大的技術與成 本門檻。然而,在透過銓鍇國際 MSP托管方案加值資訊安全服務的協助下, 客戶可在 AWS 上通過雲的特性快速佈建 AWS WAF 在每個服務節點上,搭 配 AWS Shield 進行第 3 與 4 層 (Layer 3, Layer 4) 的 DDoS 攻擊防護,以 及針對應用程式的第 7 層 (Layer 7) 攻擊防護。依照客戶需求,更可搭配Amazon GuardDuty 與 Amazon Inspector 對雲端環境的安全,以及應用程式進 行自動的安全評估。此外,亦可啟用 Amazon Macie 透過機器學習自動探索、 分類與保護使用者在 AWS 雲上的敏感資訊,以落實 Security as Code。如同初 期建置規劃一般完美地與架構重合,使用者也可隨時依照需求選擇更換各家第 三方資訊安全廠商的 WAF Rules,並在銓鍇國際的協助下,確保自己的前端防禦資訊永遠在第一線。 圖例中展示一個真實的客戶案例,銓鍇國際 MSP 透過加值資訊安全服務成功 幫某家大型的電子商務平台導入防禦架構:前端套用 AWS WAF 與 AWS Shield 防禦方案,後端主機使用 AWS ALB (Application Load Balancer) 負載均 衡擴展,將 AWS WAF Log 透過 Kinesis Data Firehose 收進 Amazon S3 以及 將相關的 Web Service Log(如: Apache Log 及 Application Log)也收進 Amazon S3 進行保存,並同步備份至銓鍇國際的 SIEM 平台進行即時分析與監 控。一旦發現異常時,先由銓鍇國際的 7x24 NOC 網路監控團隊進行初步判斷,過濾掉誤判狀態,隨即將異常狀態進行通報,過程將依照標準預先決定的 處置流程 (Standard Operation Procedure, SOP) 進行,並協助客戶進行資訊安全狀況排除。危機解除後,所有資訊安全事件過程紀錄與處置的資料,將在後續由專業的資訊安全團隊接手進行 Log 分析、協助客戶調整 WAF 防禦規則及 撰寫相關的事件報告與調整建議交給客戶。   銓鍇國際托管方案 (MSP) 是您最佳雲端服務安全後盾: 銓鍇國際資訊安全團隊結合過去實體機房管理經驗,除針對過去常見網路攻擊 進行防禦,讓使用者有足夠的時間發現漏洞並修補,並規劃了完整的紀錄及監 控模式,確保使用者即便面對未知的新興攻擊(0-day),仍可及時地發現並採取 相對應的防禦措施。此外,銓鍇國際也秉持著循環式品質管理 (Plan-Do-Check- Act, PDCA) 的精神,透過不斷的與客戶溝通,持續改進並調整監控流程,以作 為您上雲的最佳資訊安全後盾。

2018-10-04

Serverless崛起 掀開運算新革命

  在2014年,AWS首推Lambda無伺服器運算(Serverless)服務,標榜一旦運用此項技術,開發過程便無需管理底層伺服器資源,當時即引起各方為之震撼;迄至今日,環顧各項原生雲端相關議題, Serverless已稱得上新顯學之一。   銓鍇國際主任雲端架構師李明政說,回顧過去20年來的運算架構革命歷程,始於虛擬化技術,幫助企業整併許多x86伺服器,造成資料中心的伺服器走向軟體化(虛擬機器);在虛擬化崛起的5年後,吹起雲端運算的風潮,AWS開始提供IaaS服務,讓企業在雲端上運行虛擬機器;2013年Docker容器(Container)技術問世,為一種作業系統層級的虛擬化技術,每個容器不需附帶OS,較虛擬機器更精簡,啟動速度也由以往分鐘等級急遽縮減至秒級,因而獲得愈來愈人青睞。   但即便有了容器,仍存在著軟體伺服器的部署與維運需求,意即使用者必須執行相關的部署、調度、管理與資安等作業。對開發者來說,若能夠完全不會任何伺服器管理事宜,才是最完美的,遂使得Serverless概念興起,觸發一場新革命。   李明政指出,現今多數系統依然是以「單體式架構」進行開發,即是把所有功能打包運行在同一進程,固然此舉易於開發、部署、測試與水平擴展,但也不乏缺點,包括功能及程式碼愈多,維護成本高且交付週期;模組資源衝突時,擴展很困難;技術模式的可變性低;耦合性太高導致可靠性低等等。隨著企業業務的複雜度增加,單憑此類架構,已經無法完成敏捷性開發需求。   在此情況下,使得「微服務」思維逐漸興起,它不再如同過去開發一個巨大的單體式應用,而將應用分解為小的、互相連線(透過REST API溝通)的微服務,不僅讓應用的部署更加容易,且模組可重複利用,有助加快應用開發進程。   只不過,使用微服務開發架構,仍需仰賴許多工具的協助,譬如Web伺服器、資料庫、Web服務/應用程式架構、部署模式、 CI/CD、容器,乃至所有類似的工具…等等,依然有其進入門檻。為此AWS基於微服務提供各式服務,例如容器雲端服務(Container as a Service)便是其中之一,但這些工具與創新技術仍需依賴「伺服器」。   按理說,雲端計算本應猶如水電插座,需求者僅需插上就可用,不必自己蓋電廠,更無需理會電力是怎麼提供的;直到Serverless的出現,才讓你我距離「運算資源如水電」的願景更加接近。     李明政解釋,Serverless具有三大主要特色,分別是「全託管」:不需佈建、完全不需管理且具高可用性;「開發人員生產力」:可專注在重要的商業邏輯程式碼,同時拜高重複使用性所賜,得以縮短上市時間、快速創新;「持續擴展」:自動化依使用狀況擴展或縮減規模。現今AWS已提供眾多無需佈建、無需安裝、隨時Ready、雲端上確保高可用性的無伺服器選項,其中無伺服器、事件驅動的運算服務 AWS Lambda,便是頗具代表性的項目之一。   換言之,AWS Lambda 使用者在執行程式時,完全無需再思考伺服器,繼而自選諸如Alexa、S3…等等事件來源,執行事件驅動,最終僅需按「處理的請求數」及執行程式所需「運算時間」付費。談及Lambda的使用效益,除了如前述不用伺服器、不用管理、自動化、持續擴展、即用即付費、不再需要為閒置設施付錢外,更重要的一點則來自「Lambda@Edge」,它能讓Lambda執行環境更靠近資料端,大幅提升反應速度,加上AWS已在台灣設有網路節點,便於企業就近執行Lambda函數,對多數企業而言確實甚具誘因。   李明政補充, Lambda並非只能靠事件驅動,也可搭配 API Gateway,在符合SOA開發架構下、用最簡單的方式建構Serverless。至於Lambda的最佳實務,則以符合「使用量在每個月1千萬次以下」(可節省將近99%成本)、「非複雜的運算」、「限制Function的規模」(例如需費時啟動JVM的Java應用便不適合)等條件的應用情境為宜,並不是所有應用都適合在Serverless環境開發。   From: March 9, 2018  CIO價值學院第一堂課:企業雲端原生架構

2018-09-25

次世代的運算平台核心Kubernetes and Docker

圖、運算進化史 隨著時代的進步,運算的單位及定義不斷地進化。我們過去從的實體機房進化到了虛擬化,最後新的趨勢出現了未來的容器化跟無伺服器化。這些技術的發展,從商業的角度來看非常簡單,目標就是為了提高管理跟開發效率。容器化跟無伺服器化提供開發及維運工程師一個抽象的標準介面來做溝通,避免了過去常出現的在開發人員的環境能用,但是在生產環境卻不能用的窘境。在現今實踐軟體開發方法時,為了增加開發人員 (Developer) 與維運人員 (Operation) 協作,容器化跟無伺服器化無疑是實踐DevOps的重要技術。 圖、Docker的Container架構 來源: https://docs.docker.com/get-started/#containers-and-virtual-machines 容器 (Container) 與虛擬機對比減少了Guest OS這層虛擬層,因此大幅增加機器使用效率,此外,開發及維運人員能更容易地快速測試及打包各個元件供生產環境使用,而不必重複安裝虛擬機。 圖、Container 市占率 來源: : https://sysdig.com/blog/2018-docker-usage-report 圖、常見使用Container的應用 來源: https://sysdig.com/blog/2018-docker-usage-report 根據Sysdig.com調查,在容器 (Container) 市場中,Docker將近81%的市占率已成為現今標準,企業已經將許多常見的應用容器化增加管理及開發效率。 圖、容器管理工具市場 來源: https://sysdig.com/blog/2018-docker-usage-report 雖然容器的標準漸漸統一,但真正的關鍵在容器管理工具,有了容器管理工具才代表著「運算」這件事可以被分配及管理,就像真正的關鍵不是虛擬化技術本身而是虛擬化技術的管理工具。VMware之所以能在虛擬化技術上獲得商業上的成功,就是因為他提出企業級的管理解決方案,而容器管理工具中Kubernetes目前有著51%的市占率,隱隱有著當年VMware的態勢,正在擴大他的市占率,形成市場標準。   圖、Kubernetes整合Jenkins X實現CI/CD交付軟體 來源: https://blog.octo.com/en/jenkinsx-new-kubernetes-dream-part-1/   Kubernetes生態系中有各種整合工具讓DevOps過程中更為順利,容器化後讓原本傳統的交付複雜度下降,不論是監控、開發、測試、部屬都有對應的工具。在2018年,從過去傳統的交付虛擬機器,到下個世代的交付容器。 圖、Container 管理工具市場 來源: https://blog.yugabyte.com/docker-kubernetes-and-the-rise-of-cloud-native-databases-8b09968e2851   雖然Kubernetes統一了溝通標準,但是管理Kubernetes非常複雜,因此通常建議人員不足或是核心業務不是維運的廠商,使用雲端託管廠商提供的Kubernetes服務,以免除公司IT架構需要維護的複雜度。如: EKS Master Node中的Etcd、CoreDNS、API等元件的複雜度。   Docker及Kubernetes雖為未來運算的趨勢,但是要導入企業級的環境仍需要通盤的考量及人員的教育訓練。銓鍇國際 (Ckmates) 作為AWS認證的MSP服務託管商,提供在雲上的DevOps顧問解決方案,協助客戶容器化、部屬流程、維運及監控能順利轉移到次世代的運算架構。 圖、微服務的拆分方法 圖、容器化的CI/CD   銓鍇國際Ckmates 協助容器化流程範例,先識別服務種類,協助拆分不同服務至不同容器,整合測試,最後達到容器化及部屬自動化,實現容器化的DevOps。  

2018-08-13

使用AWS組建出您的 IoT 應用

隨著工業 4.0 的概念興起,物聯網 (Internet of Things, IoT) 的議題越來越熱門。近年不斷聽到各行業,包含: 企業界、產業界、醫界、學界,甚至連政治界都在開始喊出推廣 IoT 的口號,那麼到底 IoT 有什麼魔力,能夠讓各行各業都為之瘋狂呢?其實 IoT 就是 Internet of Thing 的縮寫,顧名思義就是「讓什麼東西都上網」,所以中文命名是「物聯網」。物聯網的設技概念是透過安裝一個感應器與連結晶片,將所有物件互相溝通,形成一個物件對物件(Machine to Machine, M2M)的網絡,再連上網際網路將資料上雲端架構,因此使用者將可以獲得即時且實用的資訊,搭配雲端運算的同時做出判斷和決策。 隨著 IoT 引領顛覆性創新啟動產業革命,根據 Hitachi Vantara 在2018 發表的報告指出,已有大量的廠商透過 IoT 的引入成功的達到了良好的收益,並且大多都使用了第三方的 IoT 平台層所提供的服務。在此巨大的 IoT 的商機下,做為雲端服務龍頭的AWS,同樣也端出自己的 IoT 平台層服務 「AWS IoT」。 AWS IoT 是一種讓您能夠將裝置連接至 AWS 服務和其他裝置、保護資料和互動安全、處理和對裝置資料採取動作,以及即使離線也能讓應用程式與裝置互動的平台。     有完整服務規劃的 AWS IoT Core: 在 2017 年底,AWS宣布 6 個物聯網(IoT)雲端服務,都是針對連網設備而來的應用。其中,AWS IoT Core 服務讓裝置可以安全可靠、輕易的與平台服務進行互動,並且提供快速的訊息處理與訊息傳遞服務,讓使用者可以隨時得透過 AWS IoT Core 追蹤、管理自己的設備狀態;而 AWS IoT Core 亦可讓使用者使用 AWS 重要的應用服務,包含 AWS Lambda、S3、DynamoDB、Kinesis 等服務,讓使用者能夠擴展自行使用、開發的 IoT 應用。 圖、AWS IoT Core 的運作架構 友善的入門環境: 而對於有興趣的開發者,AWS 也提供一系列的入門開發套件,包含眾多合作的硬體廠商,及眾多語言的 AWS IoT 開發套件,讓對於不熟悉 IoT 的使用者也可以快速的進入 IoT 領域。 圖、AWS 提供的開發語言與文件 更進一步的裝置強化服務 Greengrass : 因應近期邊緣運算 ( Edge Computing ) 的興起,AWS 也推出了Greengrass 服務,具有快速佈署功能,能夠同時、快速的佈署功能到裝置上;並且透過 AWS Lambda 在地化的服務,加強 IoT 裝置的運算、訊息處理能力,讓使用者更進一步強化 IoT 的應用服務。 圖、AWS Greengrass 的運作方式 AWS 做為主要的雲端服務提供商,擁有豐富的自家資源下,開發 IoT 的服務會更加快速許多。AWS IoT Core 提供最彈性的服務架構,只要依照使用者需求,串接 AWS 既有的資源,即可打造出一套成本低廉的 IoT 服務。此外,在裝置的環境狀態不穩定的條件下,AWS IoT Core 提供 Shadows 服務提高裝置的可靠度,且在進行重要的邊緣計算能力上,AWS 亦提供 Greengrass 服務來達成現今的 IoT 趨勢。 因此,您可以選擇雲端服務最齊全的 AWS,快速佈建屬於您的 IoT 商業應用,並且高度整合其它您在 AWS 上的資源與服務,組建出專屬您的獨一無二且高可用性的客製化 IoT 應用。   透過 MSP 獲得 IoT 的長期成功 彈性靈活又安全的雲能夠實現 IoT 產品和服務的全部價值,非常適合成為任何 IoT 解決方案的支柱,但是如果您的 IoT 設備管理不當,不但有安全的問題,且成本也隨之增加。 銓鍇國際 (CKmates) 做為 AWS 認證的 MSP 服務託管商,在 Machine Learning、AI、IoT 等領域提供相關應用技術與 AWS 技術支援,同時致力於混合雲應用。針對炙手可熱的趨勢-物聯網 (IoT) 銓鍇國際給予適當的架構建議,讓您能更精準地加快 IoT 佈局。 此外,我們亦提供服務託管方案,透過 DevOps、監控等幫助您降低佈署的難度和管理 IoT 的成本來實現 IoT 的承諾,從而更快實現更高的投資報酬。

2018-03-02

Next-Generation MSP

What is Next-Generation MSP? 有別於傳統的代管服務:  1. 遵循IT Infrastructure Library ITIL的準則監控、自動化、以及自主服務等工具 協助執行日常的 AWS 基礎建設維運管理作業 遵從 ITIL 的準則 記錄基礎建設與應用系統的事件與回應機制 提供監控、自動化、以及自主服務等工具 協助企業用戶管理 AWS 平台的服務 2. 遵從 AWS 架構最佳實例建議  標準化的部署作業與技術支援服務 遵從 AWS 架構最佳實例建議打造的系統架構 符合企業用戶內部的資訊安全政策 3. 提供高度自動化的代管服務 高度自動化的代管作業 整合 CI/CD 流程 將基礎建設視同程式碼   DevOps時代的監控 今天,有效的軟體監控不僅要關注維護正常運行時間。並且DevOps以及隨之而來的技術和實踐,如容器和微服務,則帶來了新的目標和監控要求。所以需要考慮以下幾點: ·優化成本在許多許多企業開來,與優化性能同樣重要。雲,無伺服器計算使得今天可擴展的基礎設施比過去更容易,企業只消耗他們需要的,避免支付更多的費用。因此,監控工具的一部分目的是幫助確定未充分利用的資源,以節省資金。 ·在容器化的微服務環境中,只要需求減少,容器和伺服器就可相應減少。這使得專注於監控容器或伺服器停機。你的重點需要轉移到監控微伺服器本身,而不是託管它們的基礎設施。 ·容器和微伺服器也意味著要監控的更多。十年前,即使是複雜的應用程式部署,通常只涉及幾台伺服器。今天,容器化環境可能包含數十個容器,分布在數十個物理或虛擬伺服器上,更不用說軟體定義的存儲和網絡。這種額外的複雜性會大大增加必須監視對象的數量。 ·監控不再僅僅是IT部門的工作。由於DevOps強調靈活的角色,加上法規遵從性越來越重要,因此能夠以適當的方式在整個企業中共享監控數據至關重要。 監控的改變對MSP意味著什麼 基本上,他們的監測方法需要比以往更靈活,更複雜和更全面。無論是監控客戶的基礎架構,作為其服務計劃的一部分,還是僅監控使用的內部基礎設施,需要考慮的不僅僅是正常運行時間和停機時間。今天,還要考慮成本優化,信息的可達性,合規性等等。   AWS MSP 要求