在自带计算设备的环境中交付基于云的服务

IT@Intel白皮书英特尔IT部门IT最佳实践云计算和IT消费化2012年6月在自带计算设备的环境中交付基于云的服务总体概述通过利用客户端设备和云的随着英特尔IT部门不断构建云基础设施并提供云服务，使尽可能多的设备使用这些服务也就成为一大目标。为此，我们将云计算工作和自带设备计划作整合，使英特尔可从独特优势，我们正在有系统这两方面获得最大的商业价值。地构建一种能够确定设备属几年前，我们确定采用正式实施的方法以•为了能够向广泛设备管理、保护和交付性、用户喜好并依此提供定直接解决IT消费化的挑战，实际上可消除基于云的服务，我们对信息安全模型、制服务的企业私有云。不安全的、非托管使用的个人设备，从而移动设备管理实践和个人工作区在设备提高企业信息安全。秉承这种理念，我们间迁移的能力作大幅度修改。正积极地将员工个人设备—其中包括智•我们向员工提供有关设备功能和服务的能手机、平板电脑和个人电脑，整合到我信息以指导他们选择正确的设备，这有们的企业环境中。助于员工提高工作效率并获得最佳的用而且，我们一直在致力于构建英特尔的企户体验。业私有云，目前我们通过该平台可以交付•我们正在实施数据和应用虚拟化框架，80%的企业服务。我们计划扩大使用基于该框架可使我们将现有的企业数据和应私有云和公共云的混合服务，也称为混用功能结合起来，并将它们快速集成到合云。新功能中。今天，我们正在建设基本能力，以便能够通过利用客户端设备和云的独特优势，我最终在云和客户端之间建立一种双向感知们正在系统地构建一种能够确定设备属（two-wayawareness）功能。我们正在调性、用户喜好并依此提供定制服务的企业整我们的通信基础设施、服务交付模式和私有云。DaveBuchholz应用开发流程以支持客户端感知云和云感英特尔IT部门首席工程师知客户端。EdGoldman英特尔IT部门首席技术官DennisMorgan英特尔IT部门高级安全战略师ChrisPeters英特尔IT部门行业互动经理 IT@Intel白皮书在自带计算设备的环境中交付基于云的服务目录背景服务选择。目前，英特尔已经构建了广泛的企业私有云，我们已有80%的企业英特尔员工希望使用一系列广泛的配套设总体概述....................................................................1服务通过该平台而交付。我们计划继续向备，其中包括个人智能手机和平板电脑以私有云服务和公共云服务混合（称为混合背景.................................................................................2及英特尔提供的移动商务电脑。此外，他云）推进。们还希望使用个人Macs*和个人电脑。我解决方案....................................................................2们认为采用正式实施的方法以直接解决IT随着继续构建云基础设施和支持云服务通信基础设施的变更................................3消费化的挑战，实际上可消除不安全的、与应用，同时考虑BYOD计划具有重要意服务交付模式的变更................................4非托管使用的个人设备，从而提高企业信义。这种集成思路可使英特尔从BYOD和应用开发变更..................................................7息安全。英特尔IT部门正积极地将员工云计算中获得最大商业价值。个人设备整合到企业的计算环境中。总结.................................................................................7了解更多信息.......................................................7在2010初，约有3,000名英特尔员工使解决方案用自己的智能手机；截至2012年6月缩写词..........................................................................8我们发现向各类设备（包括BYO设备）底，该数字已上升到19,000。在2011交付基于云的服务的关键是在云和客户年，一些员工开始使用他们的个人Apple*端之间建立一种双向感知能力。并非所有电脑，今年我们将自带设备（bring-your-的客户端设备都具有相同的功能，而且云own-device，以下简称BYOD）计划扩展并不总是适用于某种客户端设备。因此，至电脑。我们正在从处于严格和直接IT“一刀切”的服务交付模式并不适合。交控制下的传统客户端计算模式（针对有付模式和设备之间的不搭调可能会严重影限的设备类型）向未来的互联计算模式响员工工作效率和业务功能，造成安全风（computecontinuummodel）转变，后者险，并导致在基于云的服务和应用开发方能够在不同设备之间提供无缝、一致的体面的投资变得毫无价值。验。我们发现允许员工在工作中拥有更多的设备选择会创造巨大的商业价值。同我们正在利用客户端设备和云的独特优时，我们意识到需要保持对支持这些设备势，有系统地构建一种能够确定设备属的底层通信基础设施的控制来保护英特尔性、用户喜好并依此提供定制服务的企业信息安全。私有云。尽管这需要几年的时间才能完IT消费化和云计算之间存在着相似之处和成，但是我们已经开始行动并力图在接下IT@INTEL相互依赖，前者为员工提供了广泛的计算来的几个月内建立必要的基础能力。IT@Intel计划将全球各地的IT专业人能力选择，后者则为企业提供了更多的IT员及其在我们机构中的同仁紧密联系在一起，共同分享经验教训、方法和战略。我们的目标十分简单：分享英特尔IT部门获得业务价值的最佳实践，使之成为IT竞争优势。如欲了解更多信息，请访问www.intel.com/cn/IT或联系您当地的英特尔代表。2www.intel.com/cn/IT 在自带计算设备的环境中交付基于云的服务IT@Intel白皮书如图1所示，我们的智能、客户端感知云例如，如果云可用时，该设备会在基于云通信基础设施的变更将能够确定以下内容：的文档库中存储一篇文档。但是，如果云为多种设备和操作系统提供基于云的服不可用时，该设备将在本地存储该文档，务，我们需要对通信基础设施做出若干改•应用是在本地还是远程执行时才能提供当云可用时可能会自动将其上传到云。动，比如额外的防火墙控制。这一点很重最佳用户体验要，因为每种操作系统所具备的安全特性云感知设备还可以从云端卸载在客户端设•设备上的哪些本机功能可用，例如全球各不相同，且有些操作系统比其他操作系备可以更加高效完成的作业，有助于提高定位系统提供的基于位置的服务或者加统更为安全。为了能够支持各种不同的个最终用户的服务质量。此类作业可能包括速度计人设备，我们构建的通信基础设施使用了图像和视频处理、数据压缩、以及2D和灵活的交付模式组合，包括工作区和应用•如何使用预先定义的用户和设备配置文3D图形。采用英特尔®睿频加速技术2.0容器、应用程序和桌面虚拟化、远程显示件对来定制服务，使其符合用户喜好和和下一代显卡的第三代英特尔®酷睿™处技术、HTML5和Web门户等，以便为个人设备的安全访问级别理器可加速在设备上本地执行作业。该方电脑、Mac、平板电脑和智能手机等各种式充分利用本地资源，有助于减少数据中反之，我们也正在着手基础能力建设以支设备交付服务。心工作负载和相关网络流量。为了评估这持具备云感知功能的客户端设备。例如，些技术类型和建立企业使用模式，我们目为了能够管理、保护和提供这种灵活度，客户端设备将能够确定以下内容：前正在进行多方面概念验证。我们对我们的信息安全模型、移动设备管•云是否可用理实践和个人工作区在设备间迁移的能力部署客户端感知云和云感知设备需要对通做出了显著增强和调整。•此时有哪些服务适用于客户端设备信基础设施、服务交付模式和应用开发流程作调整。•它的安全级别和可用的带宽当前状态：带宽处理能力显卡能力安全当前状态：当前状态：带宽带宽处理能力远程计算处理能力显卡能力播放高清（HD）视频显卡能力安全安全中等安全级别访问远程计算本地计算播放非高清视频云播放高清视频低安全级别访问安全访问云感知客户端客户端感知云图1.我们正在为在云和客户端设备之间建立双向感知能力奠定基础，它将有助于提高服务交付质量、用户体验和工作效率。www.intel.com/cn/IT3 IT@Intel白皮书在自带计算设备的环境中交付基于云的服务信息安全模型设备管理为了支持个人工作区在设备间更容易迁我们发现，若想充分利用云计算和BYOD移动设备管理（mobiledevicemanagement，移，我们不再使用本地安装应用程序的传计划并向广泛设备无缝交付服务，安全因以下简称MDM）解决方案在BYOD方面具统模式，而是探索如何向大量不同的设备素至关重要。我们重新设计了我们的安全有几大优势。通过控制和保护网络中所有提供更加模块化的服务。我们已经研究出架构以支持不同级别的访问。我们的全新移动设备上的数据和配置设置，MDM解决一种方法，即将传统紧密耦合解决方案堆安全模型基于四大要素。方案有助于降低支持成本和业务风险，确栈各层分离—一种被IT架构师称之为“抽保至少可以安全交付一部分服务。象化”的技术。通过使用虚拟化技术将平•身份与访问管理。英特尔IT部门创造了台、操作系统、应用程序、用户数据和用一种独特的集成信任计算技术，使我们MDM解决方案的主要功能是部署软件，包户配置文件层划分为独立的服务，我们可能够支持安全级别不同的设备。该系统括补丁部署和配置管理，并且支持远程故以为服务的每个抽象层单独设定规则。可根据风险级别的变化，动态调整用户障排除及远程设备的锁定和擦除。的访问权限。例如，员工使用个人智能使用“抽象化”方法，我们可以根据设备MDM解决方案还可以经济高效地进行系统手机访问的企业信息要少于通过企业笔类型、用户位置或其它标准确定向特定设维护，比如使用正常的映像取代损坏的映记本电脑访问的信息。备提供最优服务是否适当。例如，智能手像。例如，在开始上课之前，教师会检查机只能访问联系人列表、日历和电子邮件•安全的商业智能。因为我们正在允许越教室内所有的设备是否能够正常工作，并服务；而至于平板电脑，我们发现可以提来越多的设备访问企业服务，所以需要在必要的时候为故障设备快速重装映像。供一套扩展的B2B协作工具，例如笔记和改进检测、监控和分析功能。我们部署归档服务、即时视频协作和即时会议。然而，因为当前的MDM解决方案只能应用的指示板可提供关于受感染客户端和服于运行移动操作系统的设备，而且要求个务器的详细信息，从而提高准确快速干工作区在设备间的迁移还涉及到如何使云人电脑必须使用独立的企业管理系统，所预的能力。我们还计划添加预测引擎，数据与本地数据保持同步这一问题。目以不足以解决英特尔面临的所有远程设备改进对威胁的响应能力。前，我们正在研究内容同步会给备份和恢管理问题。例如，MDM在个人电脑等大型复流程带来什么影响。•数据保护。我们正在实施的技术可在创设备上不支持远程擦除功能。所以，除非建、存储和传输数据时对其保护。我们设备的所有者选择使用企业管理功能，否服务交付模式的变更已将企业权限管理软件的部署扩展至近则我们认为目前个人电脑的信任级别要低因为我们的目标是支持基于云的服务充分20,000名员工，并且还实施了数据丢失于平板电脑和智能手机等移动设备。利用员工设备上的功能，所以我们需要担预防技术，以便在机密数据通过英特尔当值得信赖的顾问角色，向员工提供相关网络时对其更严密跟踪。工作区的移动计算的设备信息，无论其设备是智能手机、平为BYOD设备提供支持带来了两大挑战，•基础设施。我们在企业私有云中实施的板电脑或个人电脑。我们鼓励员工思考针一是如何使数据在工作场所、在家或旅行安全信任区域支持我们对有着较高安全对每种设备他们所希望的工作方式和工作中都可用；二是如何在不同的设备上为用要求的对内及对外应用执行虚拟化。因地点。然后，我们会帮助他们选择最适合户提供一致的工作区，无论是访问云服务此，尽管2011年恶意软件检测数量增他们的设备和操作系统，使他们获得最大还是本地安装的应用。加了50%，我们仍使恶意软件攻击事件的工作效率和最佳用户体验。减少了30%。4www.intel.com/cn/IT 在自带计算设备的环境中交付基于云的服务IT@Intel白皮书员工可以在功能级别不同的诸多设备之间如，我们将支持的移动设备限制为5种移自带手机作选择。多样化的用户界面和屏幕尺寸也动操作系统；对于BYOD电脑，我们目前表1显示了我们网站的部分内容，对各类会影响设备和应用交互。有的设备缺乏必支持Macs*，并计划于2012年支持基于智能手机的性能作比较，以帮助员工选择要的特性，甚至达不到最低水平机密数据MicrosoftWindows的系统，但是我们不打最适合他们的设备。例如，如果一名员工所要求的最低安全配置。有的设备可访问算支持基于Linux*的系统。的工作需要访问基于云的业务和互联网应特定的数据和服务，而其他设备则不能。用，并需要接入Wi-Fi*网络和访问英特尔为了让员工了解每种设备可访问的企业服只有少数设备能够在限制条件下访问企业内部网，该表格表明采用操作系统5的智务，以及哪种设备和操作系统最适合某个数据和服务。能手机将是其最佳选择。另一方面，如果工作场景，我们创建了一个web门户，向员工只需要日历和联系人信息，那么任何考虑到上述因素，我们认为向每台个人设报名参加我们BYOD计划的员工提供各种一部受支持的手机都可以。备交付同样服务的“一刀切”服务交付模各样的信息。式是不可能的。而且，支持各种可能的计算模式和操作系统也是不切实际的。例表1.英特尔员工可以使用我们的“手持服务”Web门户上的信息比较各种智能手机的特性特性操作系统1操作系统2操作系统3操作系统4操作系统5视受支持的设备而定，可能需电子邮件aaa要其它安全软件日历aaaaa通讯录aaaaa全球定位系统（GPS）aaaaWi-Fi*支持您在机场、咖啡店或其它场所连接到您的家庭网络视情况而定视情况而定视情况而定aa或公共Wi-Fi互联网的使用良好视情况而定视情况而定最佳最佳互联网应用良好良好良好较好最佳例如：地图应用和货币转换器等英特尔内网一些可连网rrr一些可连网业务应用更多可用一些可用一些可用较少可用一些可用例如：即时通信和桥接快速拨号器等电池使用时间最佳良好良好良好良好待机或通话全球漫游能力视资费计划而定网络共享（Tethering）将您的手机连接到您的笔记本电脑，并将手机用作调制a视国家（地区）/服务提供商而定解调器以连接到互联网（如无线数据卡）。性能视手机型号和服务提供商的网络速度而定。a可用；r不可用www.intel.com/cn/IT5 IT@Intel白皮书在自带计算设备的环境中交付基于云的服务自带电脑Mac或个人电脑。在这种情况下，员工将常出差并需要将英特尔数据存储到设备上如果员工使用的是公司电脑，他们可以期面临多种选择，需在多方面权衡取舍。的员工来说，通过该表可以判断其最佳选待某些功能，例如离线访问数据、网络连择为个人电脑上使用Type2管理程序的英表2中的参与者使用模型矩阵显示了我们接、将英特尔数据存储在电脑上、安装在特尔系统或客户端托管虚拟化。对于多数如何鼓励参与BYOMac和个人电脑计划的该设备上的磁盘加密软件和管理代理软时间在工作场所工作，只需一台配套设备员工思考其设备使用方式以选择适合他们件。在某些情况下，员工喜欢使用自己的以快速访问标准应用的员工来说，一台个工作环境的最佳解决方案。例如，对于经人平板电脑就足够了。表2.参与者使用模型矩阵服务器托管的虚拟化—英特尔公司层服务器托管的虚拟化—客户端托管的虚拟化—虚拟应用套件安装您电脑上的特殊系统云环境中的台式电脑Type2管理程序基于浏览器的英特尔连接服务器托管的虚拟Windows*7您电脑上的本地应用程序台式电脑二级配套平板电脑初级Windows电脑初级Windows电脑初级Windows电脑最佳使用案例场景•访问常见应用，执行全屏幕•使用标准应用，并需要高速•需要自定义桌面，但是不希•希望在未连接互联网时，能性能望使用英特尔系统够在不使用英特尔系统的情•能够在虚拟化应用之间复制况下，访问英特尔数据和和粘贴•希望参加配套平板电脑和初应用级电脑计划非常适用于报名参加自带主电arar脑和配套平板电脑的成员我经常出差，并且可能要使用良好最佳不推荐较好低带宽连接我经常通过宽带连接在园区或较好最佳较好良好家中工作我在工作中经常使用丰富的多媒体应用（视频通话、3D图不推荐形、网络培训）离线访问rara网络连接•工作场所：员工热点•工作场所之外：直接连接至•工作场所：员工热点•工作场所：员工热点英特尔网络•工作场所之外：您自己的宽•工作场所之外：您自己的宽•工作场所之外：您自己的宽带设备•工作场所之外：您自己的宽带设备带设备和VPN带设备和VPN设备上的英特尔数据rara设备上安装磁盘加密软件rarr设备上安装管理代理软件是，如果您经常访问和使用是，必须安装特定的MDMIRS数据，那么必须安装特定解决方案。rr的移动设备管理（MDM）解决方案优点需要快速访问应用，并偶尔类似于今天标准的电脑产品，花费在电脑IT设备上的开销不您的电脑系统保持不变，英特使用但是它是您自己的电脑，拥有多，电脑上什么也没安装尔环境在您的系统上像应用一最快的网络速度样运行缺点仅标准应用可用您电脑上安装的某些IT应用应用性能慢较大的硬盘空间需求a可用；r不可用6www.intel.com/cn/IT 在自带计算设备的环境中交付基于云的服务IT@Intel白皮书应用开发变更总结的业务应用，这些应用是专门为具有小屏幕、有限功能的移动设备设计的。随着使用越来越多的基于云的软件即服务IT消费化和云计算之间存在着相似之处和（software-as-a-service）解决方案解决我相互依赖，前者为员工提供了广泛的计算通过这些工作，我们正在有系统地构建一们更多的业务问题，多种垂直解决方案可能力选择，后者则为企业提供了更多的IT种可以确定设备属性和用户喜好，并能够能会导致我们的核心业务数据片段化。为服务选择。英特尔IT部门正在将云计算向包括BYOD设备在内的一系列设备最佳了避免该问题的发生，我们正在实施数据工作和BYOD计划作配合，以使英特尔从地交付服务的企业私有云。和应用虚拟化框架，这可使我们将遵循更这两方面获得最大的商业价值。传统的软件开发方法的企业应用从要求更快速度的新功能中分离出来。这样我们便因为并非所有设备都具有相同的安全功能了解更多信息可以将现有企业数据和应用的功能整合，和性能，而且多样化的用户界面和屏幕尺如欲参阅以下相关主题的白皮书，请访问并将他们集成到新功能中，创建按订单装寸会影响设备和应用交互。所以，我们摈www.intel.com/cn/it：配（assemble-to-order）的基于云的解决弃了使用“一刀切”方法来开发和提供云方案。服务，正在建设支持客户端感知云和云感•《支持员工使用私有智能手机工作的最知客户端的基本能力。消费化仍保持较快的普及速度，目前每四佳实践》个英特尔员工中就有一个使用智能手机。客户端感知云将能够根据位置、使用类型•《借助客户端感知技术支持新兴企业应我们正在使用新的虚拟化框架提供更加广和其它标准为特定环境中的特定设备提供用模式》泛的业务应用，这些应用是专门为具有小定制服务，以满足其安全级别和性能要屏幕和有限功能的移动设备而设计的。目求。反之，具备云感知功能的客户端设备•《企业计算的未来：为互联计算做准备》前大约有28款应用正在开发中，其中7将能够确定云是否可用，以及可用的带宽•《提高个人设备的数据安全和移动性》款应用已经投入使用：现场导航、企业门数量等其它信息，并据此为客户活动提供户、车辆和会议室调度、拨入网桥的快速定制服务。•《预评估小型设备在大型企业中的使用》拨号程序、协作和销售人员生产力工具。为了实现这一美好愿景，我们正在调整我•《为什么终端设备在以云为中心的环境通过将所有业务、数据和安全服务重新集们的通信基础设施，其中包括重新设计我中至关重要》为什么设备在以云为中心成到一款HTML5解决方案中，全新的按们的信息安全模型、改善我们的移动设备的环境中重要订单装配应用虚拟化框架使我们能够在短管理实践和增强个人工作区在设备间迁移短的几周时间内向多种移动操作系统交付的能力。此外，作为一名值得信赖的顾如欲了解有关英特尔IT部门最其中6种应用。问，我们还在员工选择BYOD方面给予指佳实践的更多信息，请访问：导，帮助他们选择最佳设备，使其能够充www.intel.com/cn/it分利用基于云的服务并提高工作效率。我们正在使用新的虚拟化框架来提供更广泛www.intel.com/cn/IT7 缩写词BYOD自带设备MDM移动设备管理本白皮书仅用于参考目的。本文件以概不保证方式提供，英特尔不做任何形式的保证，包括对适销性、不侵权性，以及适用于特定用途的担保，或任何由建议、规范或范例所产生的任何其它担保。英特尔不承担因使用本规范相关信息所产生的任何责任，包括对侵犯任何知识产权的责任。本文不代表英特尔公司或其它机构向任何人明确或隐含地授予任何知识产权。英特尔、Intel标识、IntelCore和英特尔酷睿是英特尔在美国和/或其他国家的商标。*文中涉及的其它名称及商标属于各自所有者资产。版权所有2012英特尔公司。所有权利受到保护。C请注意环保0612/JGLU/KC/PDF327462-001CN