中国数据存储服务平台

钉钉宣布用户破6亿,全新7.0版本化解产业链协同难题

谢 世诚

12月28日,钉钉7.0产品发布会在杭州召开。会上,钉钉正式发布7.0版本,推出了面向企业间协同的“群2.0”产品。同时,钉钉全面升级了文档、会议、低代码、酷应用等核心产品矩阵。

钉钉总裁叶军

钉钉总裁叶军宣布,截止到2022年9月30日,钉钉用户数破6亿,企业组织数超过2300万,付费DAU突破1500万。

叶军表示,中国企业的数字化转型分为三个阶段:第一阶段是组织在线,从传统的工作方式进化到在线办公;第二个阶段是从组织的数字化进化到业务的数字化;第三阶段则以企业间的数字化协同为标志,产业互联时代已来。

中国企业数字化进入产业链大协同阶段

从2014年1.0版本面世至今,钉钉诞生8年来经历了七次大版本的迭代。钉钉1.0到5.0版本,见证并推动了中小企业从纸质办公,跨越到以云和移动为特征的数字化办公时代。

阿里巴巴“云钉一体”战略后,钉钉宣布升级为协同办公和应用开发平台,并推出6.0版本。

现在,中国企业的数字化正在进入第三个阶段,即企业与企业间的数字化协同,连点成线,聚线成面,最终将实现整个产业链的数字化大协同。这将带来三个重要变革:

首先是组织协同方式发生变革,从企业内的协同,走向组织间、产业链的大协同。

其次,软件开发和使用方式发生变革。钉钉引领的低代码变革了软件的开发方式,未来人人都将是开发者,80%的业务应用将由一线业务人员通过低代码开发;钉钉开创的酷应用改变了软件的使用方式,将业务流穿透到群聊等高频办公场景,让过去低频的业务应用“活”了起来。

第三,企业获取服务的方式也在发生变革。钉钉坚持PaaS化,带来了生态的繁荣,企业用户告别了过去离散式的购买服务的方式,在钉钉上可以一站式购齐所需服务。企业也不必再购买功能繁冗的大软件,转变成按需购买服务。

“钉钉所有的迭代都在做一件事,就是不断降低中国企业数字化的门槛。让数字化工具人人可用,让数字化应用人人可开发”,叶军说。钉钉7.0,代表了钉钉从过去关注个体效率、单个组织效率,到关注企业之间乃至整个产业链协同效率,是一款标志性产品。

钉钉群2.0:让上下游之间如同一家公司一样协同

如何通过数字化工具实现企业与企业之间的连接?钉钉此次重磅推出的群2.0产品,通过建群使不同的企业之间、上下游伙伴之间像一家公司一样无缝协同。

通过洞察千行百业的工作方式,钉钉发现群聊是企业内部和企业之间最高频的协作场景,也是中国工作者最广泛接受的协作方式。但普通群聊消息没有组织性和结构化,在群聊中无法处理业务。

钉钉群1.0以沟通和组织内协同为核心,提供Ding、已读、文档协同、项目管理、日程、待办等功能,解决了信息的透明和触达效率问题。

钉钉群2.0的特点是跨组织的高效协同,通过审批、低代码和酷应用将业务流穿透到了群聊中,大幅降低企业与企业间沟通、协同与业务合作的门槛,推动产业互联。

通过钉钉群2.0,不同的企业可以在一个群内展开合作,包括编辑云文档、发布应用、处理流程、审批合同等等;群也升级为沟通、协作与应用融合的产品形态,推动企业间的业务应用共享与数据集成,支撑企业沉淀数据、利用数据指导生产经营。

目前钉钉会议、文档、项目等协作产品,已全面支持跨组织的使用;低代码、酷应用、审批等产品也进一步支持跨组织共享的能力,企业搭建的低代码应用、第三方应用和企业的自建系统,通过跨组织的应用共享,实现企业与企业间的业务协同。

一汽大众作为汽车制造领域的先行者,借助钉钉的组织连接能力,将供应商纳入了上游组织,实现了与供应商之间关键数据的打通。针对上游零部件供应商使用的系统多,市面上的MES系统昂贵等问题,一汽大众把数字化经验沉淀后用宜搭低代码搭建简易MES,帮助上千家供应商低门槛数字化。

钉选:企业服务、toB营销的第一入口

Gartner在近期发布的2023年需要探索的十大技术趋势中,超级应用是一个集应用、平台和生态系统功能于一身的应用程序,它最终能够整合并取代多个应用。Gartner预测,到2027年,全球50%以上的人口将成为多个超级应用的日活跃用户。

钉钉总裁叶军表示,钉钉已经具备超级应用的特征,拥有开放的底座能力,丰富的应用和功能,以及繁荣的生态体系。目前中国市场具备这一特质的只有微信与钉钉,钉钉已经从一个处理消息的IM系统变成一个处理数据的智能系统。

目前,钉钉上已有500万个低代码应用,预计在一年左右,包括低代码开发和全代码开发在内,在钉钉上产生的数字化应用会超过1000万个。酷应用的新增呈加速趋势,从今年3月到9月,半年之内酷应用数已超1万;9月至今不到3个月时间中又翻一倍,达到2万。酷应用还带起了企业在钉钉上使用SaaS的风潮,在钉钉开通使用三方SaaS的组织中,从酷应用市场开通应用的组织占35%,在所有渠道中位居首位。

通过钉钉,很多数字化服务可以高效、方便地触达用户界面,并且用极低的成本就能实现适配。这也让钉钉成为一站式企业服务平台。

亚组委广播电视和信息技术部副部长张鸽

本次发布会上,钉钉推出了 “钉选”企业服务聚合平台,聚合了钉钉上超过1500款SaaS应用,及钉钉联合合作伙伴推出企业差旅、企业采购、企业办公租赁、智能招聘、智能合同、客户管理等近10种企业服务,企业可一站式购齐所需服务。目前,携程、智联招聘、高德打车、人人租等不同种类的企业服务提供商已加入钉选,面向钉钉用户提供服务。

杭州市学军小学教育集团总校长张军林

与此同时,企业也正在钉钉上开辟to B服务的新场景,找到了新的增长机会。基于钉钉上to B人群,原本主要面向C端的企业,找到了面向B端企业提供服务的新场景,找到了第二增长曲线;tob企业也通过钉钉视频号带来新商机。

艾为电子CEO娄声波

发布会上,亚组委广播电视和信息技术部副部长张鸽、杭州市学军小学教育集团总校长张军林、艾为电子CEO娄声波等参会嘉宾分享了如何用钉钉实现组织间协同的经验。亚组委张鸽表示:“在全力推进杭州亚运的建设过程中,依托亚运钉这样的先进工具实现了传统工作方式的优化升级,这就是对本次钉钉发布会的 ‘大协同’ 的一次生动实践。”



疫情高峰期,“黄牛”抢号卷土重来,医院如何利用技术打击“号贩子”?

朱 朋博

最近全国各地疫情提速,多个城市均出现了医院就诊量暴增的场景,部分热门科室7天内的号源瞬间被预订一空。迫于“一号难求”的压力,人们不得不从“黄牛”手中买号,几十元的专家号倒卖到患者手中动辄两三百元甚至上千元,就医成本大幅上涨,加剧了普通百姓的看病难。

其实“黄牛”抢号并不是什么稀奇事,先垄断医院号源,再高价卖出,是常规操作。只是随着互联网医疗时代的到来,如今的黄牛“抢号”已不再是雇人排队的传统模式,而是利用手机挂号APP、114挂号平台发展出全新“线上业务”。不仅抢号手段信息化程度日渐提高,“黄牛”之中也不乏技术人员,其专业化程度之高、组织运作链条之完整令人咋舌。他们会在上游利用自动化攻击手段窃取和篡改用户信息、数据,或对系统发起漏洞攻击、DDoS攻击、网页篡改、撞库等方式入侵医院应用系统,下游则通过抢号、刷单、倒卖数据等各种方式牟利。

为了防止“黄牛”抢号,许多医院相继采取了“实名认证”的对策,大部分医院线上预约挂号的实名认证都需要填写就诊人姓名、身份证号及手机号进行绑定,有的医院甚至在挂号系统中加入人脸识别技术来确保患者身份的真实性。

但即便如此,依然拦不住“黄牛”利用自己开发的抢号软件“锁住”号源,将就诊人的个人信息索要来进行填写,完成线上预约。面对人脸识别的考验,“黄牛”也会让就诊人先录一段视频,然后在页面录制和回滚,通过脚本的方式劫持挂号页面、获取号源。

“黄牛”抢号再高价转卖不仅严重扰乱了医疗市场秩序,其恶意攻击也造成了医院无法正常挂号、医患信息批量泄露并被二次利用等一系列严重后果。那么,医院该如何打击这些利用自动化工具抢号的“黄牛”?

打击“黄牛”亟需新安全技术

在效率优先的现代社会,不法之徒早已迈过了“拼手速”的远古时代。当“黄牛”开始采用更加先进的技术进行攻击时,医院也亟需与时俱进提升自己的安全防护技术。

一方面,“黄牛”会针对网上预约页面定制机器人程序,自动化的实现“约号”流程。普通用户需要2-5分钟才能完成的流程,机器人程序2-3秒就可以完成多人“约号”,快人一步。这也形成了预约号刚放出来,随即被预约完毕的怪异现象。

同时,为了以合法形式掩盖非法目的,“黄牛”更多采取拟人攻击,会通过真实身份的模拟来进行欺诈或攻击行为,也会通过程序来模拟真人行为,包括模拟正常人使用程序以及网络操作等。

另一方面,传统安全技术已落后于新兴威胁。尽管许多企业已经部署了防火墙、IDS/IPS、WAF等安全设备,但面对自动化、拟人化的攻击,这些基于特定规则、特征库进行防护的传统安全设备,根本无法识别出新兴的威胁行为,防御手段几乎完全失效,只能被动“挨打”。

不难看到,随着“黄牛”不断专业化、组织化、规模化,医院现有的安全防护体系很难再发挥优势。那么,该如何识别并杜绝“黄牛”利用机器人程序“拟人”的抢号行为呢?

瑞数动态安全技术精准打击“号贩子”

在传统攻防规则中,攻击很容易,防守非常难。“动态安全”技术的出现,彻底改变了传统游戏规则,通过“先发制人,掌握先机”的防护哲学,颠覆了攻防态势,诠释出“进攻是最好的防守”的网络安全理念。

所谓“动态安全”技术,是由自动化bots攻击防御领域的绝对领导者——瑞数信息独创,通过隐藏漏洞、变换自身、验证真伪等多种方式提高攻击成本,倒逼攻击者放弃攻击。基于这种主动防护理念,动态安全技术不再依靠攻击特征库、异常特征库的匹配来识别攻击,同时也无需依赖攻击频率和工具特征来识别攻击,实现更加主动和有效的主动防护,能够有效打击抢号、刷单等业务欺诈行为。

具体而言,瑞数信息“动态安全”技术可以从几个方面精准打击“号贩子”:

  • 人机识别:动态令牌和动态验证是最能体现瑞数动态安全理念的两大技术。其中,动态令牌可以对合法请求授予一次性动态令牌,并为每个客户端生成不依赖于设备特征的唯一标识。令牌的动态变换,加上客户端唯一标识,就如同身份证一样难以伪造,可以阻拦没有令牌的非法请求。动态验证可以对客户端进行人机识别,同时识别脚本、程序等自动化工具,还可以对运行环境验证,从而有效甄别“人”还是“工具”,打击自动化工具发起的攻击。
  • 动态干扰:利用动态封装和动态混淆两大瑞数创新技术,对攻击者实施动态干扰。灵活运用Web代码混淆、JS混淆、前端反调试、Cookie混淆、中间人检测等多种动态干扰功能,对页面逻辑、代码、内容关键元素等进行混淆封装,能够采用不基于任何特征、规则的方式进行有效防护,对人工代码分析进行动态干扰,防止业务被逆向分析。
  • 按需拦截:利用可编程对抗技术,通过客户端采集到的超过300个信息字段进行规则编程,可以针对设备特征、输入事件、访问行为等场景进行攻防对抗微秒级实施响应,并且可以提供软拦截能力,灵活配置各种动态响应策略,如拦截、重定向、延时、发起挑战等,让攻击者无懈可击。
  • 高危文件精细化管理:对于脚本文件猜解用户提前发现并拦截,拦截不允许文件类型请求操作。针对不同站点设置常见木马类型进行拦截,同时还可以针对不同站点设置请求文件类型进行拦截。
  • 威胁透视:利用瑞数独有的全程式业务威胁感知和智能分析技术,以及内置的通用自动化威胁模型,准确透视细粒度的机器人行为,为精准判定自动化攻击提供有效威胁数据。

通过瑞数动态安全技术,可以大幅削减自动化工具的攻击效率,提升攻击成本。当“黄牛”要想逃避动态安全技术的防守,就需要不断更换IP,或花钱购买定制不同的工具,付出更多的时间成本,最终导致攻击成本过高,倒逼“黄牛”放弃“抢号”。同时,面对“黄牛”自动化工具的高度拟人操作,瑞数动态安全技术能够进行实时识别和拦截,在安全防护方面将更主动和灵活。

相比与传统安全厂商,瑞数信息的数据采集点更加丰富,可同时覆盖Web、H5、APP、小程序、API等多种业务渠道,实现线上业务全渠道以及客户端、数据传输、服务器端全方位的数据关联。通过对数据的全量采集,补充安全威胁数据与人机识别数据,并融合AI算法模型,瑞数信息能够为医院提供更加全面、精准的自动化攻击防御能力,从而有效打击“号贩子”。

结语

疫情时期,打击“黄牛”高价预约、整治医院抢号乱象刻不容缓。瑞数信息动态安全技术能够阻挡95%以上的机器人“抢号”行为,扭转普通老百姓抢不到号的不利局面,助力医院维持交易公平以及现有应用服务器的稳定性,为打击“黄牛”提供全新的技术方案。

re:Invent 2022:亚马逊云科技发布新Nitro卡和Graviton3E处理器

朱 朋博

2022年的云科技春晚,亚马逊云科技的re:Invent 2022开始了。

北京时间11月29号上午11点半,我个人最关注的主题内容,继续由亚马逊云科技高级副总裁Peter DeSantis带来。

Peter DeSantis的演讲内容分四个“靓仔”,分别是硬件、网络、科学和软件。其中,科学部分指的是AI/ML方面的创新,软件指的是应用软件运行。

首先,看硬件方面的创新

首先登场的依然是最令人期待的AWS Nitro,回顾历史,Nitro被分成了四个版本来介绍,每一代都会有一些明显的进步和提升,这次发布的就是Nitro V5。

与上代相比,Nitro V5采用的晶体管数量翻倍,内存速度提高了50%,PCIe带宽也实现了翻倍。反映到性能方面,PPS网络性能提高60%,延迟降低30%,此外,能耗比也将提升大约30%。

首发采用Nitro V5的就是这款叫C7gn的EC2实例,它采用的处理器是Graviton3,作为一款网络优化型实例,带宽提升到了200Gbps,各项参数相较于上代的C6gn有不小提升。

第二位重磅登场的其实是新一代的Arm处理器Graviton3E。

Graviton2相较于Graviton1提升很大,Graviton3相较于Graviton2有25%的性能优势,今年,很多人期待的是Graviton4,但这次只有Graviton3E。

Graviton3E是Graviton3的一个变种,主要优化了在浮点运算和向量运算场景中的表现,这种都是高性能计算领域特别强调的能力。

图中展示的性能提升仅限于在高性能计算领域,比如有分子动力学GROMACS、金融期权定价FINANCIAL OPTIONS PRICING等等场景。

为Graviton3E首发护航的就是HPC7g实例,它同时还采用了Nitro V5。对了,这就说明Nitro V5是专门给所有7代主机准备的。

第二,看网络创新方面的创新

网络部分,Peter重点介绍了SRD(Scalable Reliable Datagram)的重要性,并表示,EFA、EBS和ENA都用上了自家的SRD。

EFA是亚马逊云科技的高性能网卡,主要面向HPC和AI集群场景,它依靠Nitro来Offload,绕过内核,以此来提供更高的稳定性,更高的吞吐带宽和更低的延迟。

EFA优势很明显,但由于跟TCP有一些不同,所以,真正用的时候,只有少数对延迟特别敏感的应用才有可能来适配它,为了能让人用上EFA,亚马逊云科技也对接了HPC生态。

SRD在降低EBS写延迟方面效果显著,如上图所示,它能将极少数(P99.999)会出现的35ms延迟降低五倍,并且能将整体的延迟水平降到一个全新的水平。

SRD除了可以帮EBS降低延迟,还能提高吞吐带宽,如上图,采用了SRD的io2,其IOPS和带宽提升了四倍。

Peter还表示,此后新发布的EBS io2都会支持SRD,并且,不会给用户带来额外成本,应用本身无感知,用就行了。

与EFA不同,ENA(Elastic Network Adapter)才是大多数人要用的网络服务,亚马逊云科技把SRD装了进去ENA之后,发布了一个叫ENA Express的新东西。

其主要价值也是降低延迟和提升带宽,其中,带宽直接从原来的5GB/s提升到了25GB/s。

对于用户来说,也是只管用就行了,应用方面不需要单独作出调整。

第三部分,机器学习方面的创新。

这部分,Peter重点介绍了如何提高机器学习训练效率的问题。

如上图所示的是机器学习模型精度对训练时间的影响,16位计算精度的训练速度快(也省显存),但损失函数的值收敛不够,也就是说,训练出来的模型会很不准。

32位计算精度可以,但比较费时间,浪费时间就意味着会更费资源,更费钱,为了保证精度的同时能缩短训练时间,人们搞出了混合精度的做法。

为了进一步减少训练时间,还有了叫STOCHASTIC ROUNDING的做法,这个具体是什么,我实在是听不懂,有点超纲了,大概知道这是一个优化训练过程的思路。(懂的大佬能用白话解释一下吗?)

不过,提高训练效率的另外一个思路是横向扩展,用多台服务器来一起做训练。虽然集群运算的效率高,但集群信息交换同步的问题也很大,因为信息交换同步本身就会消耗很多时间。

Peter介绍了一个叫Ring of Rings(环中环?)的技术来解决信息交换同步效率差的问题。

相较于传统的Single Ring的方案,能提高信息交换同步的效率,能把集群规模做的更大。

目前,Ring of Rings技术支持开源的机器学习模型PyTorch,能把PyTorch的信息同步交换速度提高75%。

这么好的技术,怎么才能用上呢?

于是Peter就介绍了新推出的Trn1n实例,它的芯片自然是去年发布的Trainium芯片,网络部分采用的是增强的1600 Gbps的EFA网络,这种实例更适合用分布式集群来训练超大模型。

第四部分,软件运行方面的创新。

这部分主要谈的是亚马逊云科技引以为傲的Serverless服务Lambda,具体说是减少Lambda运行软件应用时的冷启动时间。

此前发布的Firecracker其实也做了一些优化,而今天又再进一步,这就是新发布的AWS Lambda SnapStart,它能把冷启动的时间缩短90%。

至于具体的技术实现的话,大致原理就是用了Snapshot快照技术来加快或者说绕开运行时环境初始化的时间。

关于Peter介绍的主要内容就先记录到这里。

以下是这两天的主要日程,喜欢熬夜的朋友可以蹲一下,我就不熬夜了。

我个人关注的会是CEO和CTO的演讲,渠道方面的不感兴趣,机器学习部分会酌情看一下,主要是预计我能听懂的不多orz。

最后,顺手贴一个注册观看链接:https://www.awsevents.cn/reInvent2022/registerSignUp.aspx?s=7982&smid=15580

百万用户福利被黑产套现,线上营销如何防“刷奖”?

朱 朋博

又到了一年一度的双十一购物季,各大平台营销活动纷纷上线,红包、优惠券、秒杀……这些优惠你抢到了吗?

为了拉新促活,一家知名保险公司近期投入上百万的营销费用,在自家APP、微信小程序上线了一个“抽奖得红包”的用户活动。然而,这些红包真正被用户抢到了吗?恐怕很难。经过瑞数信息的后台诊断分析,大部分红包并没有按计划被发放至终端用户手上,而是被大量“羊毛党”薅走了。

通过日志分析,瑞数信息发现了大量的高级自动化行为和批量接口调用等可疑情况:仅8天时间, 简单脚本攻击就超过140万次,高级自动化工具使用了2万+次,重访攻击逼近1.5万次,令牌篡改请求也突破了6000次。

换句话说,黑产团伙早就盯上了这个活动,通过系统化的技术手段和数以万计的账号,利用自动化的脚本程序,来批量参与保险线上平台的营销活动,以此获取高额利润。除此之外,由于黑产的大量“进攻”,营销活动页面经常卡顿,后端服务器难以支撑,严重影响了真实用户参与活动的体验。

那么问题来了,

为什么部署了大量安全设备的保险公司没有发现黑产团伙的行为?

瑞数信息又是如何发现并打击黑产的呢?

为什么用户无法发现黑产“薅羊毛”?

事实上,保险公司的遭遇并不是个例。由于黑产分工明确、合作流程成熟,并且逐渐向隐蔽、专业、精准方向发展,已经越来越难以被消灭。据《数字金融反欺诈白皮书》显示,目前羊毛党已形成15余工种、160余万从业人员、产业规模不低于1000亿元人民币的产业链。

从黑产自身来看,“薅羊毛”的技术正在不断精进。相比于过去人肉作假,现在黑产更多采用Bots自动化工具,批量参与营销活动,进一步提升了“薅羊毛”效率。同时,黑产攻击手法更加拟人化,大面积地使用虚拟机、改码设备、批量养号等各种高科技造假手段,足以模拟正常用户的行为、设备、身份等系列特征,作案手法更加隐蔽。

从外部环境看,随着数字化业务快速增长,APP、微信、小程序、H5等多种业务接入渠道产生,API接口大量被调用,带来了巨大的敞口风险。

一方面,小程序这类新兴线上渠道被攻击者逆向难度很低,只要调取代码就可以直接获取微信用户身份认证信息,完成登录、下单、查询等用户行为。另一方面,API接口承载着大量客户信息、业务和交易数据、认证信息等关键数据,经常面临接口越权、未授权访问等安全威胁。黑产不仅可以利用应用漏洞进行攻击,还通过各类拟人化Bots模拟业务操作,实现业务攻击,对数字化业务的影响也在快速攀升。

内外交困之下,传统的业务安全/风控产品也疲态尽显。

传统业务安全/风控产品的关注点在于账号、IP、设备信誉以及固定规则,需要频繁地更新数据库和规则来应对黑产攻击。但如今的黑产已经可以通过丰富IP、使用肉鸡、设备root、手机群控等手段,让传统的业务安全/风控系统疲于应对,甚至无法察觉黑产的存在。

瑞数信息解决的保险公司“薅羊毛”这一案例中,保险公司之所以拦不住黑产,很大原因也在于该公司部署的WAF产品,只能基于固定规则和签名对异常行为进行判定,因此感知不到模拟真人的黑产攻击行为。

三步发现黑产“薅羊毛”

针对传统安全/风控产品的弊端,瑞数信息利用独创的“动态安全+AI”技术,三步精准定位黑产“薅羊毛”行为,有效打击各类网络欺诈,包括伪装成正常交易的业务作弊、利用合法账号窃取敏感数据、假冒终端应用等。

  1. 批量调取接口行为分析(重放、脚本自动化)

以上述保险公司案例为例,通过单独分析抽奖路径,瑞数信息发现:20%的请求操作行为字段为空值,可以判断这一部分是使用的简单脚本进行攻击;30%的输入操作记录为0,说明可能是通过高级自动化攻击发起的请求,或者是使用重放工具发起的请求。

正常的抽奖逻辑需要先访问抽奖页面,然后通过该页面发起抽奖的接口请求。但瑞数信息从接口调用的referer发现:其中20%的请求没有前置页面请求,referer值为空,说明这些请求是直接自动化调用的抽奖接口,没有按照正常的抽奖逻辑进行抽奖。

  • 高级Bots工具

通过日志分析,瑞数信息发现了不少高级自动化工具。这类工具的访问日志中操作行为字段为空,没有人为的输入、滑动等行为,所有请求都是脚本驱动浏览器完成。

  • 黑产批量调取接口行为分析(代理池)

通过瑞数信息的cookie id(每个用户不会重复,具备唯一性),以及提取到的页面输入行为进行聚类分析,发现黑产团伙进行接口批量调用,直接参与抽奖行为。

以上种种分析,都指向了黑产团伙的行为路径:使用简单脚本,定时抓取活动页面,获取活动信息;使用高级自动化工具和重放攻击,模拟真人访问,自动化参与抽奖。

四招分层解决“薅羊毛”

在清晰洞察了黑产行为之后,瑞数信息采用四招分层解决黑产“薅羊毛”问题。

招式一:针对简单脚本攻击和高级Bots工具

瑞数信息的“动态令牌”“动态验证”技术,能够确保运行环境,进行人机识别,对抗浏览器模拟化以及自动化攻击;同时,防止重放攻击和越权,确保业务逻辑正常进行。

招式二:针对黑产团伙

通过业务威胁感知、群控模型、聚类分析指纹和IP对应关系、分析页面输入行为、定制可编程对抗策略等方式,瑞数信息能够实时识别和拦截模拟合法操作的异常行为,并梳理出黑产名单。

同时通过瑞数信息的“动态安全+AI”技术,大幅削减了自动化工具的攻击效率,拦截了大量的“薅羊毛”行为,也为客户服务器减轻了很大的压力。

不仅如此,考虑到黑产一般在活动发起前就开始进行诸多准备,如扫描系统漏洞、爬取用户信息、分析活动页面信息等,瑞数信息在活动发起前就对业务做好防护,让业务“风险前置”。

招式三:漏洞防扫描

通过动态安全技术,使得漏洞扫描或漏洞利用工具无法发起有效自动化扫描探测,无法发现可利用的漏洞及网页目录结构。同时,在网站/APP等应用未打补丁或补丁空窗期,提供有效安全防护。

招式四:用户信息防泄露

针对用户信息恶意爬取,瑞数信息利用“动态混淆”技术,将黑产每一次获取的信息都动态加密,让黑产无法获取真实信息;利用“动态封装”技术,将业务关键逻辑动态变化,防止攻击者分析网站代码。

总体而言,瑞数信息之所以能很好地解决黑产“薅羊毛”问题,一方面在于“动态安全+AI技术”具有自动化攻击防御、人机识别等独特优势;另一方面也在于能同时覆盖Web、H5、APP、小程序、API等多种业务渠道,数据采集点更加丰富,通过全量数据融合AI算法,使得防御能力更加精准,实现业务风控前置。

在黑产作案方式逐渐专业化、隐蔽化、团伙化的今天,线上营销需要新的安全技术方案才能更好地“应战”。瑞数信息作为Gartner、IDC等国际知名咨询机构推荐的在线反欺诈领域代表厂商,将持续发挥自身技术优势,为业务安全保驾护航。

英特尔数据存储创新三大技术看点和猜想

朱 朋博

“话说天下大势,分久必合,合久必分。周末七国分争,并入于秦。及秦灭之后,楚、汉分争,又并入于汉。汉朝自高祖斩白蛇而起义,一统天下,后来光武中兴,传至献帝,遂分为三国。”这是 “分久必合,合久必分”典故的出处。

天下大势如此, 数据信息产业的发展也概莫能外。但是大家也有一个疑问:现在的技术发展是三足鼎立呢?还是分久必合的趋势?

在2022中国数据与存储峰会上,来自英特尔的三位技术专家英特尔数据中心事业部 云解决方案架构师高伟、英特尔中国政企事务部及全球OEM解决方案经理吴国安、英特尔网络与边缘计算事业部云计算软件开发工程师裴迪分别从CSAL/WSR、持久内存存储和IPU SPDK存储卸载加速/优化的角度对数据存储的问题给出了解读。这些技术各有特色,依托各自强大的优势鼎立支持英特尔的技术发展

同时他们也具备一个共性,就是要解决爆炸式数据增长所带来的数据处理方面的问题。如Cloud Storage Accelerate Layer——CSAL(此前叫WSR),是利用QLC和傲腾构建云存储方面的价值,在提高性能和SLA的同时,提高存储密度,降低数据处理合存储的成本;傲腾持久内存存储模式优化,主要解决外部数据存储IO性能瓶颈的问题;相比,SPDK结合英特尔IPU对存储相关协议进行卸载和优化,则是充分利用IPU等异构计算来解决高性能和扩展性的问题。

让我们一起深入了解,这些技术是如何操作和实现的。

CSAL(WSR)助力阿里云打造更具竞争优势的云存储

随着CPU性能的不断提升,以及PCIe 4.0时代的来临,原本基于磁盘的存储方案越发捉襟见肘。磁盘存储容量有所提升,但单位容量的性能却不断降低,从而使得SLA下降。

以阿里云的一个实践案例来看,阿里云旗下大数据计算密集型实例规格族D2C采用的是磁盘的配置,在采用了CSAL和QLC加傲腾的技术组合后,阿里云推出了新的D3C实例。

新的D3C实例不仅存储性能和SLA有所提升,而且,整体密度增加3倍,RACK级别实现了3倍节省,减少了机架的空间占用,令阿里云受益良多。

D3C实例需要使用最新的QLC存储介质,但是QLC在耐久性上和写性能方面有许多问题,特别是在处理小IO的时候,其性能并没有比磁盘高多少,甚至在小数据块的顺序写场景中,其性能还不如磁盘。

在分享中高伟详细分析了造成此现象的原因:简单用QLC闪存盘替换磁盘的做法是行不通的。

阿里云旗下有I系列和D系列两类提供EBS本地存储的ECS实例,I系列强调低延迟和高性能,主要用于数据库场景,D系列强调低成本和大容量,主要用于大数据分析场景,新推出的D3C实例在性能上有大幅提升。

在构建实例的过程中,为了解决QLC在耐久性和性能方面的问题,英特尔和合作伙伴在过去一年里开展了一个叫CSAL的项目,而CSAL的作用主要有四个方面:

1,可根据用户工作负载需求自由调整的NAND存储性能和容量;

2,使用性能和耐久性都很高的傲腾来弥补QLC性能和耐久性不足的问题;

3,提供英特尔至强原生的高性能存储;

4,多租户下有更稳定的QoS表现,机架级别实现了三倍节省;

新的D3C实例采用了新一代的代号为Ice Lake的英特尔至强可扩展处理器,搭配CSAL技术和傲腾加QLC的技术组合,在计算和存储性能方面都有了大幅提升。

与此前的D2C相比,原来一台服务器只能提供一个大规格的虚拟机,而现在,一台服务器可以提供两个大规格的虚拟机。

并且,从TPCx-HS和TPC-DS两个跑分测试数据来看,新的D3C的性能表现都比原来的D2C有所提升。

此外,高伟还介绍了CSAL架构方面的更多细节,以及CSAL在新一代ZNS闪存盘上的一些性能数据,如何未来发挥更多作用。

英特尔®傲腾™持久内存存储模式的优化,值得期待

英特尔®傲腾™技术的研发始于2012年,2019年英特尔®傲腾™持久内存100系列与第二代英特尔®至强®可扩展处理器共同发布,随后,随着第三代英特尔®至强®可扩展处理器的发布,又发布了第二代的英特尔®傲腾™持久内存200系列,而第三代英特尔®傲腾™持久内存也将在明年年初与第四代英特尔®至强®可扩展处理器一道发布。

从英特尔技术专家吴国安的介绍中了解到,第三代英特尔®傲腾™持久内存的性能相比于200系列还会有大幅地提升。令人遗憾的是,由于一些原因,英特尔不再开发第四代傲腾持久内存产品,但后续将依靠至强平台支持的CXL协议来扩展内存的容量及带宽。

吴国安分享的重点是持久内存SNIA编程模型的优化问题,如图可见,编程模式分两种,一种是右侧的内存编程模式,另一种是左侧是存储编程模式,左侧是此次关注的重点。

与内存编程模式不同,存储编程模式不需要修改代码,并且,可以像操作普通磁盘和固态盘那样把傲腾当做块设备来使用,之所以能做到这点,很重要一方面就是因为有一个叫BTT的核心算法。BTT核心算法可以将字节访问的持久内存设备,映射成为Block原子性的块设备,从而将持久内存设备视为是快速且低延时的SSD。也因此,它具有了和SSD一样的编程模型,这意味着它可以利用现有的SSD的生态,使用传统的读写接口,在所有现有的文件系统下正常工作。

在这种模式之下,傲腾持久内存可以像普通SSD一样,作为缓存来加速存储性能。

最近,Linux内核方面有两个优化,这两个优化可以大大提升这种模式下的性能表现。分享中详细介绍了持久内存存储编程核心算法-BTT的更多细节,介绍了两种优化存储模式的方法,一种是算法优化,将BTT算法在持久内存中的16字节的bflog操作逻辑变为内存中的操作,减少写操作的开销。

另一种是动态控制deepflush,利用英特尔平台的ADR功能而无需使用deepflush指令从而获得非常好的性能提升。

最后,让我们再看持久内存存储编程模式可能的发展方向。新一代的英特尔至强可扩展处理器将内置DSA的加速器,它可以卸载CPU的数据搬迁工作,从而节省CPU的资源,又比如CXL技术将来可以和持久内存存一起来获得更优的存储性能。

详细的技术细节也可以参考:持久内存BTT实现及优化(一)持久内存BTT实现及优化(二)

相关的代码可以参考:[PATCH] BTT: Use dram freelist and remove bflog to otpimize perf以及[PATCH] ACPI/NFIT: Add no_deepflush param to dynamic control flush operation。 

SPDK在英特尔IPU的存储卸载中有重要作用

SPDK(Storage Performance Development Kit)提供了一系列的工具和类库来创建高性能、可扩展的、用户态的存储应用,能用于构建超高性能的存储应用。

去年,英特尔正式发布了两款IPU(Infrastructure Processing Unit),一个叫Big Spring Canyon(BSC),另一个叫Mount Evans,两款IPU都能对存储进行卸载,并利用SPDK来提高性能。

英特尔技术专家裴迪介绍了IPU推出的背景和IPU的诸多价值。IPU不仅可以减少CPU资源的浪费,让CPU得到更充分利用,还能提升性能和降低延迟,此外,通过软硬件的结合,从而为云基础设施带来更高的灵活性。

Big Spring Canyon(BSC)是由英特尔®至强®D系列处理器和FPGA智能网卡来构建的,其优势在于可以利用英特尔®至强®强大的软件生态,性能强大,功能强大,还可以应对未来新的需求和定制化的需求。

Big Spring Canyon(BSC)卡的使用场景可以分为虚拟化模式和裸金属模式两种,裴迪结合两种典型的使用场景在技术层面上做了一些具体的介绍。

裴迪介绍了SPDK软件结合Big Spring Canyon(BSC)来支持存储卸载和弹性块设备的技术细节,让我们看到了SPDK软件在Big Spring Canyon(BSC)卡的存储卸载方面有重要作用,之所以使用SPDK来完成存储卸载工作,是因为SPDK具有强大的优势:

一方面,因为SPDK是一个用户态的软件,使用了Polling mode避免了内核态IO处理频繁上下文切换带来的性能开销,SPDK的数据面零拷贝和无锁的特性也极大提高了性能。另一方面,SPDK目前已经比较成熟,支持多种远端存储。

Mount Evans是一款基于ASIC芯片和ARM CPU打造的IPU,提供2 x 100G的网络能力,它是由英特尔和谷歌合作开发设计的。

Mount Evans继承了以往多款基于FPGA的智能网卡和IPU的开发经验,可应对各种真实的工作负载。它不仅拥有强大的性能,而且,在安全性和隔离性上面也具有更高水平的实现,从设计之初就将安全性和隔离性视为重中之重。

Mount Evans在硬件层面有许多技术创新,比如,它具有业内一流的可编程的包处理引擎,它拥有从英特尔傲腾拓展而来的NVME存储接口,它支持下一代可靠传输技术,它还带有先进的解压缩加速器。

在软件生态方面,Mount Evans经由软件开发人员、硬件开发人员和加速器开发人员共同设计开发,有更好的软硬协同。它支持Barefoot P4 Studio,可以为开发者提供更好的可编程性。另外,卡上运行的Linux操作系统能够充分利用DPDK、SPDK以及IPDK等软件生态。

在Mount Evans的CPU上也运行着SPDK存储服务,可以提供存储卸载和加速,SPDK在不同形态的IPU产品上都可以快速的匹配对应的硬件,同时提供高性能、高可扩展性,可对接到不同的存储服务中,为IPU加速产品化提供存储生态上的支持。

裴迪介绍了Mount Evans用SPDK卸载存储的技术细节和一些典型的使用场景,在技术实现上,重点提到了一个叫vDPA的技术,vDPA技术增加了更多硬件实现的功能,从而带来性能加速效果。

同时在IPU结合SPDK的使用场景中,也有涉及到最近比较热门的FaaS (Function as a Service)云原生相关的支持。

以上是三位专家演讲内容的概要,如果想了解更多演讲具体内容,欢迎查看视频回放。

MemVerge范承工:CXL正在迎来大内存的曙光

朱 朋博

2022中国数据与存储峰会第二天的“CXL大内存论坛”上,CXL大内存论坛出品人、MemVerge联合创始人兼CEO范承工发表了题为《CXL: 大内存的曙光》的主旨演讲,在CXL成为热点话题的背景下,对CXL的发展前景做出非常乐观的预期。

以下内容根据现场速记整理:

CXL是一个新兴的内存接口,它对于整个数据中心架构会产生非常深远的影响。

今天有幸请到了几位业内的专家,,既有硬件也有软件方面,他们分别来自英特尔、三星、澜起和MemVerge,给大家全方位解读CXL技术以及它的应用场景。

接下来,我简单介绍一下CXL,为什么会有CXL,它主要想解决哪些问题,它的基本定义是什么,基本的技术构成是什么,它潜在的应用场景是什么。

随后,英特尔和三星的专家会做更详细的介绍,澜起科技是做CXL控制器的厂商,MemVerge是做大内存软件的厂商,也会做更详细的介绍。

首先来看,CXL要解决的挑战是内存墙和IO墙问题,内存墙和IO墙又是什么?

随着需要访问的数据越来越多,内存墙和IO墙成为两个不可逾越的瓶颈,阻碍应用的性能表现。

上图是去年Meta在OCP全球峰会上发表的,图中指出一个有趣的现象:过去10年,CPU的内核数有着非常快速的上升,10年里内核数提升了大概三倍,但CPU内核到内存的带宽反而下降了。

也就是说,每颗CPU核心能够享用的内存带宽是在下降的,每颗核心之间能交换的数据量是减少的。不幸的是,应用要访问的数据是越来越多,所以说,内存和计算之间的接口就成为一个主要的瓶颈,这就是内存墙。

值得单独说一句的是:内存墙的其实就是常说的“冯诺·依曼”架构的瓶颈。

IO墙是什么呢?

上图来自英特尔,图中以AI为例,AI模型的大小基本上每两年上升一个数量级,数据如果放在内存里可以很快访问到,但如果内存里放不下的话,就需要放在外部存储里,用网络IO来访问数据。

IO方式的访问会使得访问速度下降几个数量级,当内存容量不够大时,IO也不可避免地会成为应用的瓶颈,这既是IO墙。内存墙和IO墙是影响新一代的应用性能的两个障碍,如何打破这些障碍呢?这就要依靠CXL了。

广受关注的CXL到底是什么?

CXL联盟由业界200多家公司合作建立,CXL定义了一个标准,既支持各种各样的存储器,也支持各种异构的计算、芯片,包括CPU、GPU、DPU、各种AI加速器,甚至各种FPGA加速器。

CXL也支持各种各样的内存,包括DRAM、新兴的内存,甚至NAND闪存。CXL可以提高从计算到内存的访问的一致性,所以使得不同的XPU可以同时访问同一块芯片。

在过去几年里,CXL逐渐成熟,到现在已经发表了1.1、2.0、3.0三个不同的版本。CXL的定义之下,它有三种不同的设备。

第一种设备是加速器,指的是计算设备,可以是CPU,也可以是各种AI加速器;

CPU里自带 Cache,CXL可以保持CPU Cache的一致性;

第三种设备是内存,CXL可以连接各种各样的内存;

中间的第二种设备实际上是第一种和第三种的结合体,它可以既有计算,也有内存,两种可以同时挂载到CXL。

CXL发展简史:1.1、2.0、3.0

在2019年,CXL的第一个版本CXL 1.1问世了。它主要定义的标准是如何直接连接计算器件和内存器件,主要指的是在一台服务器里面能够直接把他们连在一起。它主要的场景是对内存的容量和带宽进行扩展,叫Memory Expansion。

传统服务器的内存插在DDR4 DIMM接口,该接口有一定的带宽的限制,内存带宽对CPU的利用率不是太高,不如PCIe总线对CPU的利用率高。

而CXL正是建立在PCIe的基础之上的,在PCIe 5.0及以上标准来跑CXL的标准。这个带宽就在DDR带宽的基础上再加上PCIe的带宽,PCIe 5.0每一个通道的带宽就有4个GB/s,16个通道就能达到64个GB/s,如果有128个通道,就可以增加500 GB/s多的带宽。

所以,它可以很有效的对内存的带宽进行扩展,也可以对内存的容量进行扩展。既能扩大带宽,也能扩大容量,从某种意义上说,就是在解决内存墙和IO墙的瓶颈。

CXL 1.1解决的还是单机设备的问题,在一台服务器里对内存进行扩展,而CXL 2.0就超出了单机的范畴。

上面的H1到H4到Hn指的是不同Host,它可以通过CXL Switch连接多个设备,底下的D1、D2、D3、D4指的是不同的内存,也是通CXL Switch连到上层的主机里。

在这套框架之下,它就使得Memory Polling成为可能,你可以跨系统设备实现共享内存池,这就增加了很多的灵活性。

比如,如果有机器内存不够的时,就可以灵活的从这个池子里来找内存,如果这台机器不需要这些内存了还可以随时还回来。

这无疑将大大提高内存的使用率,或者降低内存的使用成本。考虑到效率提高,自然也会降低对于环境的影响,有助于减少碳排放。

CXL 3.0是2022年8月份发布的新标准,在CXL 2.0基础上增加了一些重要功能,它可以使得多个Switch互相连接,可以使得上百个服务器互联并共享内存。

除了多层交互以外,CXL 3.0还多了一些功能,比如Memory sharing的能力,这种能力突破了某一个物理内存只能属于某一台服务器的限制,在硬件上实现了多机共同访问同样内存地址的能力。

Memory sharing需要实现很强的内存一致性,而此前的CXL 2.0只能通过软件实现,CXL 3.0开始,它可以在硬件层面来实现。

上图是CXL功能的演进变化,不少公司都宣布将支持CXL,包括AMD、英特尔下一代的服务器的芯片。内存厂商部分,三星、海力士、美光也都宣布了支持CXL的内存产品,真正的产品可能就要到明年了。

2024年上半年,CXL 1.1和CXL 2.0的产品可能会有落地产品,CXL 3.0的落地还需要更长时间。现阶段,合作伙伴可以联系这些厂商找一些工程样品搭建环境进行开发测试。

以史为鉴,CXL将引起一场技术与商业变革

CXL在业界造成了非常大的影响,堪称是一场变革。上世纪90年代,存储也经历了一场类似的变革。

上世纪90年代之前,存储指的就是硬盘,在一台服务器里用硬盘来做存储,但是在90年代初,一个叫Fiber  Channel的网络出现了,它使存储从服务器里走了出来,变成一个独立的、与计算分离的、可以独立扩展、独立管理的系统。

这种系统就是人们熟知的SAN系统,随后又逐渐出现了各种各样的网络共享存储,这场技术革命,使得存储从一个简单的器件行业变成了一个软件和系统行业。

1990年的存储只是服务器的一部分,当时并没有存储软件的概念。而1995年,集合了软件和硬件的SAN系统开始出现,2000年左右,第一代NAS开始落地。从2010年以来,经过多年发展后,存储软件和存储设备成为了一个500亿美元以上的市场。

过程中也涌现了一大批成功的领导者公司,包括EMC、NetApp、Veritas、PureStorage等等。也有很多依靠通用硬件,在软件上做创新的存储公司获得了不错的市场成绩。存储软件其实很重要,500亿美元的存储市场中,主要价值都是在软件上。

现在的内存和30年前的硬盘存储极为相似。

内存是一个重要的硬件器件,但是现在并没有内存软件或者内存系统这一市场。这是因为,现在的内存只是服务器里的一个设备,而并不是在一个网络上可以独立扩展,独立管理的系统。

随着CXL的出现,内存可以和计算进行分离,就像90年代存储和计算分离一样,这意味着,内存可以变成独立的,可以扩展,可以管理,可以增加新功能的系统。

我相信,未来10年,20年里,同样也会有新的百亿美元大内存市场,一个包含软件和系统的大内存市场,在此期间,会涌现出一批新的技术公司。

这是一个对比,CXL某种程度上就像是30年前的存储网络,使得内存从服务器里解放出来。

CXL落地:既需要硬件,也需要软件,还需要生态

典型的CXL方案中,需要一批内存硬件来构成内存池,主机内部有内存,主机之外也有内存,相互间通过CXL交换机连接,中间还需要一个软件系统来进行管理。

系统软件算是一个Fabric manager,它负责管理内存资源的分配,可以动态的把内存分配给任何一个Host或者也可以从任何一个Host拿回内存,另外,系统软件还会提供一些数据服务。

随着CXL 3.0标准对于多个Switch的支持,集群规模可以进一步扩大,从10台20台服务器扩展到百台甚至千台的服务器规模的共享内存资源池。

大内存时代,将会把软件对于内存的重要性提高到了非常高的阶段。

这是因为,当大内存的系统架构有一定的复杂性、共享性需求后,简单的操作系统已经无法满足应用对于内存的需求,都需要软件来实现更复杂的功能。

比如,在服务器里,系统软件需要考虑如何合理使用内存,而不需要去修改应用程序,比如,通过自动分层技术来完成操作。此外,当内存容量越来越大,就需要进行一些保护手段,就像如今的存储系统需要数据保护一样,比如说快照这种功能。

使用过程中,还需要对内存的使用状况进行监视,对于内存上的应用进行Profiling,查看内存访问的模式。

大内存时代下,可在服务器上通过软件实现一定的Sharing(共享)和缓存一致性功能,使多机来共享同一个内存地址,使得共享内存成为高带宽、低延迟的沟通手段。在此基础上,将可以开发出新一代的应用程序。

这只是Host(服务器)上的功能,而内存池里还有更多功能需要实现。

内存池方面,需要管理软件来管理不同物理内存的内存地址,哪一块内存映射到哪一个Host;还可以对内存进行容量优化,比如压缩和重复数据删除功能,提升内存的可使用空间;此外,还有数据保护、安全、全局洞察等功能。

由此可见,软件上可以做的工作非常多。

如今,在存储还是网络领域都非常流行软件定义的概念,当内存网络出现后,软件定义内存的概念就会出现,通过软件来实现内存的动态分配,以及内存之上的各种数据服务。

整个硬件加软件的生态环境里,已经涌现了一大批公司。

包括英特尔、AMD、NVIDIA、ARM等计算芯片公司,同时还有一大批内存公司,比如三星、海力士、美光,也有一些相关芯片公司,比如澜起科技。

此外,市场上会出现新一代的服务器和操作系统,也会出现软硬一体的解决方案,这些企业都将成为生态中的重要组成部分。

云服务商也非常关注CXL,如今也成了CXL领域的先行者,在CXL上进行了一些研发,在应用上,内存池化可以对他们的技术架构带来非常多的好处,某用户在使用CXL技术方案后每年可以节省数亿美元的费用。

此外,我们还看到一些新兴的软件公司在CXL架构上优化他们的应用,很多业内公司在推动CXL的落地和使用。

CXL的典型使用场景

最后,来看一下CXL可能的一些应用场景。

第一个领域是金融行业(FSI)。

金融行业里可能是CXL最早落地的行业之一。因为金融行业对于数据的性能要求很高,越来越多的应用成了在内存中的应用。金融行业对于新技术也一直非常敏感,非常具有前瞻性,会比较早的尝试落地新兴技术。

在金融行业里,共享内存可以实现低延迟、高带宽的系统,可以使一个节点能快速稳定地向多个节点传发信息。比如,股市交易信息就可以很快的从一点转发到各地。在信息处理的过程中,因为有大内存的存在,它还可以防止内存的溢出。

金融行业的内存数据库越来越多,数据分析的需求也越来越多,而大内存可以使得更多数据放在内存里。传统的关系型数据库场景中,可共享的大内存可以使得关系数据库的缓存更加高效,这意味着将出现新一代的关系型数据库。

第二个是在AI和 机器学习领域。

CXL有更好的扩展性和更高带宽的内存,它可以将更多模型放到内存里,更高的带宽可以缩减训练的时间,提高AI应用的速度。

第三个,在云服务商领域,它可以通过可组合的基础架构(Composable infrastucture)把更多的内存放在池子里,如此一来,闲置的内存就会减少,整体的内存利用率得以提升。

第四个,在高性能计算领域。

高性能计算领域,通过内存池中的Snapshot功能实现断点续算,提升整体的运算速度,也可以在多个节点中通过API的形式来共享内存。

以上是CXL可能最先落地的一些训练场景。

今年3月份的一篇文章里提到了一个对云厂商做的内部调查,调查发现,在微软Azure,有高达25%的内存都是闲置的,有50%的虚拟机使用的内存占比仅为50%,大约有一半的内存没有被用上。

在采用了CXL共享内存后,整体的利用率提升了10%,这意味着每年能减少数亿美金的成本,对于整个成本节省非常重要。

另外一份白皮书中,谷歌也在做类似的事情,谷歌服务器集群中DRAM内存平均利用率约为40%,可见,其内存的利用率有很大可提升空间,池化之后可以明显提高内存的利用率。

刚才说的是CXL技术和它最初的应用场景。

CXL支持以内存为中心的数据中心

接下来总结一下CXL最主要的优点:

第一,它提高了内存带宽,打破了内存墙,它可以提高3倍的内存带宽;

第二,它可以动态提高内存的容量,可以有效的避免存储和网络里的IO墙;

第三,它能够降低总成本。通过灵活的调配,可以提高整个内存的使用率,降低整个内存的使用成本;

第四,通过更灵活的CXL架构,它可以使得整个异构计算的架构更上一层楼,使得任何一个服务器可以访问任何一种内存;

在以上种种条件的作用下,它可以使得数据中心变成以内存为中心的新架构,使得各种各样的运算能够更快的进行,能够为终端客户带来更高的价值。

这就是CXL获得大家关注的原因,希望能和各位朋友一起把CXL真正的落地到数据中心。

与专业安全厂商相比,戴尔做安全的优势是什么?

朱 朋博

上文介绍了戴尔大谈零信任架构的原因,也提到了现代安全的三大要素,分别为:信任的基础、简化的零信任采纳和网络恢复计划。事实上,戴尔作为全球大型IT基础设施提供商,能提供多种网络安全能力来构建现代安全,帮企业提高业务弹性。

比如,数据保护能力、检测和响应能力、自动化能力、业务连续性方案、网络恢复方案以及安全专家服务团队,这些都能帮企业提高业务弹性。

可以说,戴尔在安全方面颇有积累,不仅如此,戴尔做安全的优势也很明显。

戴尔做安全的优势

戴尔是全球范围内最大的IT供应商之一,而且是少数拥有从核心到边缘、到云的多种基础架构的供应商,这种依靠丰富的产品类型和超强的市场覆盖造就的影响力非常难得。

所以,能以此来为企业提供端到端的整体安全性,就是戴尔做安全最大的优势。

戴尔基于这种优势提出了整体安全愿景,覆盖基础架构、云、应用到设备四个层次。

基础架构层面。戴尔提供可信赖的基础架构,并且可以跨终端、跨服务器、跨存储、跨网络等多种安全控制点来执行安全策略。对用户而言,戴尔遍布全球的企业用户可以享受到一致性为安全管理带来的种种便利。

在多云架构层面。企业需要的是统一的云安全策略,安全需要企业内部职能领域之间分担责任,过程通常有些复杂。戴尔及其合作伙伴提供的平台,可为网络功能和威胁管理提供统一的策略,从而有助于统一多云环境中的安全管理。

在应用开发层面。戴尔和合作伙伴合作提供了一种一致的操作层,企业用户可以在这里开发、托管和管理应用程序。通过戴尔与VMware的合作,企业用户可以通过单点登录在统一的数字工作空间中发布一系列应用。

在设备管理层面。戴尔利用跨多种设备集成的能力,为数字工作场所提供安全能力。随着企业的物联网设备越来越多,高效的安全管理也显得越来越重要,企业可以使用戴尔的端点安全技术进行保护和管理,并且不需要考虑设备的品牌。

戴尔解决安全问题,推动现代安全转型

戴尔指出了如今安全领域存在的三大问题,也是业内普遍关注的问题。

首先,如今的安全程序基本都是在应用开发完成后加入进来的,通常在应用程序和流程设计完成之后才考虑安全部分,然后,努力让安全适合现有的操作。

同时,如今的安全过于零碎和分散,由于安全通常是由一个个开发团队来定义的,每个开发团队关注的重点都不尽相同,因此,从整体视角来看,就是一幅各自为政的局面,不利于整体。 

第三,如今的安全策略缺乏与业务的关联。由于安全通常只考虑安全本身,并没有考虑业务本身的需求。这就会出现,因为要处理安全问题而影响业务的局面,可能会对关键的运营职能产生影响,甚至中断业务。

与业内的呼声一致,戴尔认为,安全必须做出转变,向现代安全转变。

首先,安全性必须是内在的。这里所强调的是,安全能力应该在应用程序开发、固件开发和设备系统开发之初就融入进去,要和被保护的架构天生就融在一起,也就是常说的“安全左移”。

同时,信息安全团队要和其他开发团队进行统一,包括与DevOps、基础架构/云团队等进行统一,如何统一呢?比如,可以共享通用的工具和一致的策略,也就是常说的“DevSecOps”。

最后,对于安全策略和业务关联的问题。应该根据业务来做安全规划,既要与IT团队集成,还必须与业务战略集成,从而让应用程序和基础架构更好地关联,从而减少对业务的影响。

戴尔认为,现代安全必须是内置的、统一的、情景关联的。换句话说,安全策略和技术必须与体系结构、应用负载以及业务目标相统一。

戴尔的安全实践:以NIST网络安全框架来保护数据和系统

现代安全所涉及的转变非常之大,那么,在具体的实施层面,要从何下手呢?

戴尔的做法是遵循安全业内普遍遵循的NIST网络安全框架,NIST框架有五个关键支柱:

识别,以确保用户了解业务中的所有资产、风险和组件;

保护,确保用户保护业务中的人员、供应链、产品和所有资产;

检测,专注于持续监控事件和异常;

响应,确保用户有适当的流程和计划来处理检测到的任何事情;

恢复,确保用户在发生重大问题时可以恢复;

对应的五个关键支柱里,戴尔在端点、网络、多云、服务器/HCI、存储和数据保护五大类产品方案中都埋布了安全控制点。

如图所见,戴尔的安全设计非常全面,内容也比较多。

为了直观地呈现戴尔在安全做的工作,我找到了这份《Dell EMC PowerEdge服务器的网络弹性安全》白皮书,看一看企业用户都熟悉的PowerEdge服务器是怎么做的。

白皮书中介绍的是14代和15代PowerEdge内置的安全功能,这些功能主要由戴尔远程访问控制器(iDRAC9)来实现。按照NIST框架来组织的话,这些功能主要分成了保护、检测和恢复三部分:

保护:“保护”功能是NIST网络安全框架的关键组成部分,也是白皮书最长的章节。“保护”功能强调在生命周期的各个方面保护服务器,包括BIOS、固件、数据和物理硬件。

检测:检测强调能够对服务器系统内的配置、健康状态和更改事件的完整可见性。检测恶意网络攻击和未经批准的更改,主动引起 IT 管理员的关注,尽快发现问题。

恢复:“恢复”要强调的是要快速。快速将BIOS、固件和操作系统恢复到已知良好的状态;安全地停用服务器或重新调整服务器的用途。

PowerEdge历来重视安全。比如,在保护阶段,系统引导过程中使用了加密的信任根认证BIOS和固件,这使得任何对硬件的非授权改动(哪怕换个没有戴尔数字签名的风扇)都会导致系统无法正常开机使用。全是为了防止有人对硬件做手脚。

戴尔在硬件层构建了网络弹性架构,除了PowerEdge服务器,PowerMax高端存储的安全设计也遵循了NIST安全框架。

《Dell PowerMax网络安全》白皮书介绍了高端存储PowerMax中用于网络检测、保护和恢复的各种功能,虽然没有严格按照NIST的分类进行分类,但是还是列举了一些主要的功能点。

比如,新发布的PowerMax 2500/8500阵列使用一个不可变的、基于芯片的硬件信任根(HWRoT)以加密方式确认 BIOS 和 BMC 固件的完整性。这部分明显属于NIST框架里“保护”的部分。

CloudIQ使用安全的戴尔科技集团网络,并托管在安全的戴尔IT云中,从客户的数据中心和边缘位置的戴尔存储和服务器上,收集、存储和评估安全配置信息。支持包括PowerEdge服务器和存储多个产品。它能为PowerMax做监控和故障排除,能为用户的不当配置做一些纠正建议,也可以用机器学习和预测分析来识别异常。

文档中提到CloudIQ有两种异常检测,一种是检测延迟异常,能分析工作负载对延迟的影响,另一种与安全相关,叫“数据缩减异常检测”,如果检测到异常,则可能是有可疑活动或出现了潜在的勒索软件威胁。

如今勒索软件非常猖獗,见诸报道的就有很多新闻,比如,2022年,英伟达、征信巨头TransUnion、印度航空公司SpiceJet、哥斯达黎加政府、美国出版业巨头Macmillan等都有一些报道。所以,PowerMax新增的安全功能还是非常有针对性的。

戴尔提出加强现代安全

从勒索软件事件来看,尽管许多组织有较强的安全防御能力,但安全防线还是被屡屡突破并被勒索,可见安全形势的严峻,这也是包括戴尔在内的许多业内大厂关注现代安全,遵循NIST框架提升现代安全的根本原因。

加强现代安全分为三个方面,首先就是用零信任架构、NIST框架的做好对数据和系统的防护,企业可以利用整个IT生态系统中的整体存在的硬件和流程中的内在功能,实现安全方法的现代化。

没有万无一失的防护,当防护手段被突破,必须要考虑如何进行恢复,这是NIST框架的最后一个环节,也是提升现代安全的第二个方面——提升网络弹性,最后,加强安全的第三个方面是降低安全的复杂性。

到底如何提升网络弹性和降低安全复杂性,且听下回分解。

相关阅读:

作为硬件大厂,戴尔为什么要谈零信任?

朱 朋博

提起零信任,原本很难跟戴尔联系到一起,然而,现在戴尔也开始大谈零信任了,这是为什么呢?

首先,零信任是什么?

零信任,英文原文是“Zero Trust”,字面意思就是相互间没有信任。让人想起网络热梗:“人跟人之间没有信任了吗?”,“你能伤害的都是信任你的人!”

这里并不是劝人躺平,做一位“孤家寡人”。恰恰相反,正是因为没了信任,所以才特别需要建立信任,通过不断验证权限来建立信任。通过不断验证来提升安全就是零信任的核心思想。

NIST官网对零信任有一番比较细致的介绍(看不太明白,也没关系):

“零信任(Zero trust,ZT)是一组不断发展的网络安全范例的术语,这些范例将防御从静态的、基于网络的边界转移到关注用户、资产和资源。零信任架构使用零信任原则来规划工业和企业基础设施和工作流。”

“零信任是对企业网络趋势的回应,趋势包括远程用户、自带设备(BYOD)以及不在企业拥有网络边界内的基于云的资产。零信任侧重于保护资源(资产、服务、工作流、网络帐户等),而不是网络段,因为网络位置不再被视为资源安全态势的主要组成部分。”

为什么现在需要零信任呢?

零信任的概念最早可追溯到上世纪90年代,现在为什么谈零信任呢?说到底,这是IT架构体系变迁所致。

在以前,企业在自家机房购置服务器、存储和网络等硬件,以此支撑企业信息系统。如果说,这一时期的机房是一栋自建的独栋别墅,那么,安全方案就是别墅的围墙。

安全问题如影随形,而“围墙”不仅做不到密不透风,而且还经常需要修修补补,漏洞经常有,一旦碰到了安全漏洞,就需要对应一套解决方案,在墙上打个补丁。

这套由自己搭建,自己打理的别墅见证了企业的成长壮大,围墙上的补丁也见证了历史变迁,而现在,环境发生了变化——云计算时代来了,企业的多云架构来了。

在多云时代背景下,企业自己的独栋别墅虽然很重要,但经常需要租用/订阅外部资源,此时的安全边界发生了变化,自建的围墙已经不能覆盖所有资产了。

于是,就需要零信任架构用新的原则重新解决安全的问题。

零信任解决安全问题的原则有三个

首先,所有设备和用户都得是已知的,都得面部清晰有名有姓,还要有明确的权限范围。就好比,你走进一家公司,保安允许你进入,但并不代表你被信任了。如果你要打开财务部的门,你得证明你有权限,否则,从保卫科门里出来的人就来找你了。

第二,传统做法是阻拦有害的行为,而零信任是只能做被允许的事。人只允许做已知的、好的事情,设备只能运行可以运行的应用,而未经允许的、未知的操作都做不了。如此一来,风险管理变得很简单了。

第三,经认证的人和设备在做的事情会被记录和监控,如果有反常活动,比如,研发的人经常访问财务人员该访问的内容,这种行为就会被记录和上报。这样就更容易发现问题,威胁管理也变得简单了。

从观感来看,零信任有过于”不近人情“的严苛。

从落地层面看,零信任带来的变化太大,感觉会很麻烦,像一团乱麻。

零信任的构成需要三层架构紧密协作

其实,零信任架构有相对清晰的三层架构:业务控制层、通用控制平面和基础架构三层。而且,实施的顺序是从最上层的业务控制层开始、到通用控制平面,最后才是基础架构层。

三层的职责各不相同:

业务控制层管理着业务层的安全,比如,研发人员能够访问实验室,非研发人员不能访问实验室,这是业务层要管的。又比如,数据只能本地化,核心数据不得出境,也是业务要管的。

落到实现层面,由于业务控制层需要梳理业务逻辑,所以,会需要德勤、埃森哲和凯捷这样的咨询公司来参与。

通用控制平面负责用技术执行业务控制的内容,本身是一系列的技术实现。它会帮系统搞清楚它是谁,定义它可以做什么,记录并识别它做了什么,这三个问题。

具体的实现层面,需要微软的Active Directory、Rapid7、戴尔的SecureWorks和SentinelOne等软件方案来实现。

零信任环境的第三层是基础架构,它应该由控制平面来控制。但由于硬件层缺少合适的协议,没有正确的策略模型,所以,控制平面很难对基础架构进行控制。

从具体的实现来讲,如果基础架构面向控制平面进行设计,就可以执行来自业务控制层面和通用控制层面上定义的安全策略,而上层也可以通过来自基础架构的遥测数据获知更多细节。

戴尔在零信任中的角色是什么,为什么要谈零信任?

零信任架构体系包含以上三个层面,而且还需要很好的集成,但由于没有标准、没有明确的职责划分、没有零信任基础架构API等等,目前企业要承担绝大部分集成的负担,导致零信任实现起来非常困难。

戴尔可以简化零信任的部署。戴尔可以提供包括存储、网络、服务器、终端设备在内的各种基础架构,并与控制平面更好地整合,用完整的三个层面来构建零信任架构体系。推动零信任架构的更快落地。

所以,这里解释文章一开始的问题,为什么戴尔要大谈零信任?

戴尔作为全球范围内的大型IT基础架构提供商,在全球范围内提供了大约三分之一的存储,大约五分之一的服务器,以及数不清的终端设备。

戴尔有产业号召力和生态标准化方面的影响力。在零信任的问题上,戴尔正在推动整个业界实现零信任的集成,让零信任更简单地被采纳,减轻企业集成的负担。

零信任与现代安全三大要素

以上,谈到了零信任的概念、作用和构成,能提升多云架构时代下的企业安全水平。零信任安全架构对安全体系带来了较大变化,也为企业打造现代安全奠定了基础。

现代安全有三大要素,而戴尔能支撑企业构建现代安全:

首先,戴尔作为基础设施提供商,可以提供信任的基础。

戴尔作为国际大厂,不仅有较高的品牌信誉。而且,戴尔能提供安全的交付过程,用户能清楚地知道所使用的戴尔的产品,在哪里设计和生产,从用户下订单到收获部署期间有没有被动过手脚,以确保安全。

零信任是戴尔基础架构不可或缺的一部分,贯穿全生命周期。戴尔从产品设计和开发开始,就考虑零信任,在制造和交付环节,在部署和运维以及停用阶段,都实现了零信任的保障措施。制造和交付环节涉及的安全问题值得重视,业内出现了一些在交付环节零部件被动手脚,从而引发安全事件的先例。

第二,戴尔作为基础设施提供商,可以简化零信任的采用。

零信任架构集成的负担太沉重,戴尔通过专为零信任架构而设计基础架构,实现跟控制平面的集成,与身份管理、策略管理、威胁管理的集成。这意味着,戴尔的用户更容易跟现有的安全解决方案集成在一起,简化了零信任的采纳。

最后,戴尔作为基础设施提供商,还可以提供网络恢复计划。

说到底,零信任是用来防御安全威胁的,尽管可以提升网络防御能力,但是,世界上没有绝对的安全,万一防御措施失效,后续就只能硬着陆了吗?戴尔的实践证明,用户需要一个网络恢复计划,使业务快速恢复。

戴尔提供的这三方面能力正是现代企业安全的三大要素。如何加强现代化安全呢?且听下文分解。

相关阅读:

磁盘玩不动大型网游,你或许需要一块英睿达P3 Plus

朱 朋博

前几天意外把《战地2042》下载到了磁盘上,就有了一段不愉快的体验。

首先,游戏启动慢了大概四五倍,加载界面大概重复播放了六七次动画,就好像陷入了时间循环。

加载完后,人物动画还不完整,有时候只能看见一把枪在自己晃,很诡异。更惨的是,匹配成功读秒完成后,根本进不去游戏。

当我换到固态盘,一切就恢复如常了。当时我挺感慨,难道磁盘已经不让玩大型网游了吗?或许只是磁盘碎片太多影响了性能表现,但整体加载速度太慢,还是太让人难受。

几天之后,我又试了一下在磁盘上打开它,速度比上次快了点,好在也能进入游戏了,但也经常会出现部分素材加载不出来,一直转圈的情况。

有这次经历,我看固态盘的眼神都不一样了。隔壁Xbox Series X和PS5全都换成闪存盘了,PC游戏玩家还能忍受用磁盘玩大型游戏吗,至少我真的回不去了。

认识一款新的固态盘P3 Plus

最近,手里又搞到一块1TB的英睿达P3 Plus固态盘。

看名字就知道,比Crucial P3强了些,但比P5 Plus性能要弱一些,1TB版本对比,价格比P5 Plus低了大概250元左右。

P3 Plus采用的是QLC,因此单位容量性价比有优势,而缺点是可写入数据量会比较低,TBW为220,但英睿达官方也是一样承诺了5年质保期。

性能方面,由于采用了PCIe 4.0,因此比PCIe 3.0的P3强了许多。又因为少了DRAM缓存,所以,比P5 Plus差了很多。

P3 Plus采用的是群联的PS5021-E21T,控制器在PCB板的正中间,这种设计我是头一次看见。

有意思的是,1TB版本还空出来两个焊盘,焊上闪存颗粒的部分都在远离控制器的部分,可能是为了更好的散热表现吧。

PS5021-E21T是群联的一款入门级PCIe 4.0控制器,支持NVMe 1.4,支持TLC和QLC两种介质,采用的是台积电的12nm制程技术,功耗表现会更好,平均功耗为4.6瓦。

另外,这款控制器支持多种硬盘加密方式,包括AES 256、TCG Opal 2.0、TCG Pyrite、SHA 512和RSA 4096。

颗粒方面,颗粒为176层的QLC,可以根据图上查询颗粒的更多信息,普通用户只需要记住这是美光原厂颗粒即可,可以放心用。

将硬盘上机体验一下

测试主力机:

CPU:AMD Ryzen 5800X

主板:MSI Morbar B550M

内存:8GB 3200 x4

显卡:3070

PCIe版本:4.0

上机安装时,由于两个M.2插槽都被占用了,于是我新买了M.2转接板插在PCIe x16插槽,结果系统不识别。联想起此前也有类似的经历,我觉得可能是插槽本身的问题。

找了一些资料后发现,B550M有一组PCIe和M.2直连CPU,另外一组是通过南桥提供的,而且,当南桥上的PCIe或者M.2插槽有一个被占用的话,另外一个就不能用了。

现在,我把P3 Plus当主力硬盘,插在如上配置的台式机电脑上CPU直连的M.2插槽上,另外一个M.2上插的是之前测试过的P5 Plus。

最近听朋友说有的闪存盘在兼容性方面有一些问题,比如,作为系统盘的时候经常会报错,又比如,用在硬盘盒里经常无法被识别之类的问题。

我用DiskGenius分区后安装Windows11,安装期间并没有发现任何问题,随后几天使用也没有看到什么异常。

至于硬盘盒的兼容性问题,因为我自己手头没有能用的硬盘盒(只有一个坏的),而且也不打算再买个新的(有些硬盘盒都赶上一块移动固态盘了),所以也就不尝试了。

Crucial英睿达Storage Executive是自带的管理软件,能进行各种不常用的高级操作,普通用户轻易也用不到。

这次安装之后,发现原来在用的P5 Plus可以更新一下固件,我有点好奇怎么更新固态盘的固件。于是,我就首次对SSD固态盘进行了一次更新,过程是这样的:

如上图软件提示,“尽可能备份重要数据”,因为可能会丢数据。

更新的固件里提到,这次更新对于大多数人而言都可有可无,更新后也不会有什么明显的提升。最下面,提示你可以手动下载更新固件,不用非得等提示才能更新。

点击“立即更新固件后”,还没来得及看有什么变化,就已经结束了,还挺快的。原来这就是固件更新呀。

随意看看性能表现

由于这块盘是P5 Plus的弟弟,所以性能就不是重点了,性能跑分的话,简单走一遍就行。

首先是:

AS SSD Benchmark 2.0.7,顺序读写数据分别为4252MB/s和3299MB/s,4K读写IOPS算下来是50万和72万,均比标称值要低一些,测了几次,数据都差不多,基本都是误差抖动。

CrystalDisk Mark 8.0.4,测出的数据跟标称值更接近。顺序读写速度分别为5139MB/s和3600MB/s,最高4K随机读写IOPS分别69.7万和83.2万,几次跑分前后也没太大变化。

整体测试过程中,温度短时间内出现过最高54度,闲置时候温度为40多度,高强度跑分时的温度都在50度左右,整体温度控制还是比较好的。

当然,主板自带的马甲功不可没,这个级别的盘,如果放在台式机上的话,还是尽量上个马甲,如果是笔记本电脑的话,绝大时候的温度应该也不会很高,所以,不用太担心温度的问题。

最后的总结

作为一款性能不错的,PCIe 4.0规格的QLC的固态盘,最大的优势其实还是容量和成本优势。

价格方面,1TB规格下,比Crucial P5 Plus低大约40%左右。容量方面,Crucial P5 Plus以及同级别的盘,最大容量也是2TB,而P3 Plus最大为4TB。

虽然容量更大,但可惜的是,如果作为PS5扩容盘的话,顺序读性能大约差了500MB/s。

但至少作为一款新品,Crucial P3 Plus弥补了中档性能存储产品区间,为消费者提供了更有多选择。

这款盘怎么用呢?我比较喜欢的用法是:

最在意性能的部分,比如系统盘,建议用P5 Plus这个级别的。

如果是需要更大容量来存游戏类的文件的,就放在P3 Plus上,比如《战地2042》这种大型多人在线游戏。

如果是有大容量需求,并且对性能还很挑剔的话,建议上MX 500这种SATA口的盘,毕竟SATA口很多。

当然,像电影这种文件的话,还是SATA3的磁盘最合适。

最后,土豪随意。

善与亚马逊云科技打交道,事半功倍!

宋 家雨

西汉·司马迁《史记·孙子吴起列传》:“善战者,因其势而利导之。” 后世据此典故引申出成语“因势利导”,指顺着事情发展的趋势向有利的方向引导。

因势利导非常重要,顺势而为,非常有助于企业实现自己的目,到达事半功倍的效果。

在云计算的时代,亚马逊云科技会是一个无法忽视的存在,善于与其打交道,无异于站在巨人的肩膀上,将更加有助于实现企业的目标。10月13日,以“自由构建 探索无限”为主题的亚马逊云科技中国峰会在线上举行,在本次为期2天的峰会上,亚马逊云科技发布了云计算技术趋势展望,宣布“连中外、襄百业、携伙伴、促绿色”四大战略,这也为用户与亚马逊云科技合作指明了重点和方向。

亚马逊全球副总裁、亚马逊云科技大中华区执行董事张文翊宣布四大战略举措

符合下列任何场景、条件之一,你与亚马逊云科技的合作将会顺风顺水:

1、如果你正在考虑全球化拓展

中国企业出海面临的最大挑战无疑是不同国家和地区对安全合规的管理和要求,毫无疑问,亚马逊云科技在构建覆盖全球基础设施的过程中积累了丰富的经验,这些将有助于引领行业企业的安全合规理念和实践,此外,利用亚马逊云科技在大数据、人工智能和机器学习、物联网等领域提供的SaaS云服务,以及亚马逊全球业务体系支持,这些非常有助于中国出海企业跨越、应对各地区安全合规带来的挑战。同时,亚马逊云科技还通过全球一致的技术架构,本地安全合规能力和经验,本地合作伙伴解决方案,以及全球一体化的团队,为跨国企业植根中国提供强有力的支持,加速他们在华业务的创新和转型。

2、行业数字化转型和创新

针对金融、制造、汽车、零售快消、医疗与生命科学、教育、游戏、媒体与娱乐、电商、能源与电力等重点行业,亚马逊云科技组建了专业的团队,深入了解客户需求,利用其领先的技术和解决方案,推动整个行业的转型和升级。

换句话说,各行各业发展,尤其以上重点行业,都应该能够获得亚马逊云科技资源上的支持。其中,制造行业重点的应用有:工程与设计、设备综合效率及生产优化、供应链管理、智能设备、质量管理等场景;零售行业的重点包括:私域运营、线上零售/电商、智能客服等业务场景。此外,亚马逊云科技升级推出了“汽车行业创新加速计划”2.0,将围绕解决方案、车企出海、伙伴计划3个核心命题。

3、如果你是SAP、普华永道、Info服务的客户

亚马逊云科技在全球有超过12万家合作伙伴,分布在150多个国家。在中国也拥有数千家合作伙伴,亚马逊云科技将从合作伙伴技术及服务客户能力提升、行业解决方案开发、新地域业务开拓三个方面进一步打造合作伙伴网络,更好地支持企业的数字化转型和创新。峰会上,亚马逊云科技宣布深化与SAP、普华永道、Infor三大合作伙伴的战略合作。

RISE with SAP 业务转型一站式加速包在西云数据和光环新网运营的亚马逊云科技中国区域正式落地。在人工智能、安全合规解决方案以及行业拓展方面, 亚马逊云科技携手普华永道,加强战略合作。继Infor的酒店管理解决方案之后,Infor 针对制造行业的ERP解决方案Infor CloudSuite Industrial也将在由西云数据和光环新网运营的亚马逊云科技中国区域落地。

亚马逊云科技还推出了ISV全成长路径,提供技术支持他们加速产品SaaS化、服务专业化。

4、如果你在关注“绿色”

如果目前你在践行可持续发展战略,那么亚马逊云科技 “促绿色”战略将是你最好的知音。

亚马逊云科技在构建可持续的云基础设施,高可用的基础架构、改善冷却数据中心的方法、降低能源和水资源方面堪称典范,与亚马逊云科技合作,意味着直接和间接碳排放绩效,亚马逊云科技免费的碳足迹工具“Carbon Footprint Tool”,以可视化的方式展示减少碳排放量的效果,并且能够根据当前用量预估未来的碳排放量。

亚马逊在中国支持的两个可再生能源项目,山东的太阳能项目和吉林的风能项目也正式投入运营。这两个项目预计每年能够产生49.6万兆瓦时(MWh)的可再生能源,相当于为25万中国普通家庭提供电力支持。

所谓知己知彼,百战不殆。对于传统企业而言,因势利导,善于利用周边的资源,站在巨人肩膀上,其效果显而易见!