李德刚:我发言的主题是构建一个专属合规的金融可信云。在金融领域,华为也是有比较深的积累的。
可信云的发展趋势,前面的嘉宾已经介绍的比较充分了,再回顾一下。从中国的金融市场来看,上云的趋势很明显,国家放开了虚拟银行的审批,有很多金融机构在香港集中做互联网证券或者互联网虚拟银行的上市。监管政策从2013年开始一直到现在逐渐放宽,可以在“云”的平台上做金融的系统部署和业务的支持能力。非核心互联网金融业务都可以直接上到公有云,有一定的比例要求。虽然云化业务系统不断的深入,有一些关键的业务系统,包括核心的业务系统,现在也是正在尝试使用公有云的技术去做转化。有很多因素在促使金融业在做数字化转型,比如银行的业务条件受到了很多挑战,业务量有增速放缓的趋势。还有资金管道和业务大量的离柜问题以及客户的结构。
根据埃森哲的研究,到2020年零售银行超过30%的营收会受到影响,金融行业要更多的寻求如何将整个运营成本,包括IT系统构建成本降到合理的范围,能够和很多新兴的金融机构,包括互联网体系进行竞争。
看一下如何构建金融业务合规的可信云方案?在这方面华为有自己的探索。通过跟大量客户的沟通,包括金融机构创新业务的实践,总结起来有几个方向,是合规性的挑战,二是安全的挑战,三是业务可靠性的平移,四是业务的中立性。业务中立性也是比较关键的一个因素,我们如何应对?有四个方向。
在合规方面,有很多合规的认证,不管是欧洲区域,还是香港区域,包括国内,都有大量的合规审计和认证的要求。国内的像可信云的认证,等保四级认证。
安全性的问题,底层的基础设施、基础架构,包括安全防护体系的建设,运维规章的补充,形成一个完整的解决方案。
可靠性,传统的两地三中心、多活系统架构怎么能够用“云”这样的底层架构把基础荚果平移过来,而且不会由于基础架构的改造导致业务系统重构,也就是说怎么做到兼容性好,迁移成本最低。
业务的中立性,整个产业分工非常的明确,金融行业的用户负责行业的发展和行业的积累,对于华为这样的厂商来说只负责底层技术能力的建设。
合规的认证证书,对于“云”的认证来说,我们拿到的证书不仅有国内的,还有欧洲的,包括PCI等等。在欧洲我们和德国电信合作,德电会把API接口的便利、代码的便利做的非常彻底,因为它可以满足欧洲很多可信的要求。国内的等保要求和合规约束我们也是进行了相应的认证。认证的机房就在廊坊,我们曾经陪金融的客户参观过,他们的反馈是我们的机房成本远高于互联网建设成本,是因为我们都是用商用标准去做的。比如机架会封闭成一个档一个档的密闭空间,这样导致单位面积的机架或者服务器放置的数量会减少,因为隔离的东西比较多。这就导致我们的成本是比较高的。
针对金融我们推出了全栈的专属的解决方案,在公有云大的平台里,可以支持多种资源独栈的方案。首先是资源的专属。比如计算的服务器、存储的服务器,资源性的服务器是只给客户使用,这些服务器业务只会部署单一客户的业务,避免其他的租户对服务器资源的抢占。我们还可以支持很多种类专属的计算集群,裸金属服务器的服务,大可能性兼容传统的业务架构,可以做到云服务自助式的发放。还有高级的服务,比如数据库、大数据的处理,都可以支持资源的隔离和专属。这种专属可以满足政府、保险、证券行业的要求。
其次是全栈专属。在机房内物理隔离出来一块完全独立的物理区块,存储网络的物理资源,包括云的管控,包括账号系统,全都是独立的。这种方案类似于微软为联邦政府提供的政府专属云或者金融的专属云,整个业务资源,部分管控的资源,都和公有云其他的平台是分开的。这个服务基本上和公有云在服务能力上同步,但是在物理资源上是完全独立隔离的。这就比较符合公安、互联网金融隔离的要求。
外面还有托管区域,主要指的是第三方设备。比如银行要求有异构防火墙,必须有不同厂商不同层次的防火墙去做安全的管控。另外还有F5负载均衡的设备,托管区域可以构成完整的面向金融的服务,以大的兼容性保证金融业务上云,既能保证安全合规,又能保证架构的完整。
安全体系上基于前面专属的资源隔离,它也可以继承公有云完整的安全防护框架,包括物理的安全、逻辑安全、数据安全以及管理的规范,还包括高等级的WAF,因为公有云的服务商必须能够抵御大流量的攻击。所以,安全技术体系我们也是很完善的,不惜成本的投入。数据库界面也有安全完整的服务,做数据库安全更进一步的防护。不再展开介绍。
两地三中心的模式如何在云架构上做支持?我们的很多云服务都是带有跨AZ和跨region数据的服务能力的。比如数据库服务、内向存储能力、快存储可以支持实时的数据同步或者异步的数据同步,或者基于数据库实例异步的复制,这些都可以兼容我们原来双活的要求。跨到异地的时候,这些服务业支持跨region的服务,这样可以大程度兼容互联网两地双中心或者多地多中心的机构。之前互联网服务商说过五地三中心的方案,如果把公有云所有的AZ节点和region节点都算上远远不止这个数,关键是机房有那么多,但是云服务、数据服务具不具备自动复制和备份的能力。
从数据、应用、不做股权投资方面,华为“三不”政策我们一直贯彻执行,也解决我们做好技术支撑和技术支持服务能力就好了,其他领域都不去触碰,而是通过生态合作伙伴去提供。比如我们跟金融行业合作伙伴就有比较深的互信关系。
金融都是逐渐的从传统的IT服务建设模式和支撑模式做转化,对于我们的服务支撑来说其实是需要有线上和线下综合能力的。因为传统建设厂商基本都是地面的贴地式服务,如果切换到公有云服务模式他们是不适应的,所以需要有一个线上线下联动的服务,可以涵盖线下的建设、咨询一直到线上服务化的交付,这也是构建行业解决方案所必须具备的能力。
最后看一看实践,有很多金融机构都和我们有合作。比如深圳保险同业工会平台在云上部署的业务。人保构建的互联网小微自动化理赔平台,现在正在做的还有大的混合云平台,把相对关键的业务通过专属云的方式做云上的迁移。
这是新华保险的双录系统以及绿地金控,一期是业务上云,二期是打造两地三中心的机构,基本把所有的核心业务都搬到了云上。
由于时间关系,我就介绍到这里,再次感谢大家。
热门专题
