Ubuntu Linux 为什么成为金融服务领域取代 CentOS 的首选?
by Canonical on 12 November 2024
金融服务由技术驱动。而客户体验越来越多地由数据驱动,通过定制产品和服务可以体现出个人行为和偏好。所有这一切都建立在安全稳定的技术基础之上,只有这样的基础才可以提供敏捷性和灵活性,以适应客户需求的同时保持合规性。
使用 CentOS 作为创新基础的金融服务机构见证了 CentOS 8 于 2021 年退出,随后是 CentOS 7 于 2024 年 6 月退出。不过,最近的一项研究显示,各行业近四分之一的企业组织仍在使用 CentOS。
听起来是不是很耳熟?众所周知,金融机构在进行重大技术变革时是最谨慎的。考虑到金融业务的敏感性,这也就可以理解了。事实上,尽管过渡到云已成为一种成熟的方案,但仍有 60% 的金融机构表示,他们采用的传统技术堆栈成本过高且存在不足。与所有传统系统一样,现在不受支持的 CentOS 将开始变得过时。因此,开发人员为维持其运行所肩负的维护负担只增不减。
在本篇博客中,我们将探讨 Ubuntu 作为 CentOS 的替代方案,在金融服务领域提供的好处。
Ubuntu 提供顺畅的迁移体验
说到变革管理,让人们倍感担忧的往往是过程(而不是结果)。金融机构很清楚,他们拥有比传统技术更好的选择。可问题是,许多人认为实现这些选择的成本高昂,不值得冒险。同样地,在处理全天候服务以为全球客户提供服务方面,从基于 Fedora 的系统转向基于 Debian 的系统可能会引发担忧,这也是可以理解的。
在生命周期结束后弃用 CentOS 的好处在于,您可以向已经做出变革的其他企业学习。从 CentOS 转移到 Ubuntu 所需做出的更改都有完备的文档记录。Ubuntu 的发行商 Canonical 已经发布了迁移逐步营运指南,供想要转移到 Ubuntu 的系统管理员和企业参考。该指南依据的是客户的真实经验。此外,包括 Pentera(中文案例) 和新墨西哥州立大学在内的已经完成系统转移的客户,分享了 Canonical 提供的企业级支持如何帮助他们无缝过渡到 Ubuntu 的故事。
值得注意的是,Ubuntu 社区多年来已经帮助完成许多基于 Fedora 的系统的迁移项目。您对软件包、依赖项或问题的任何疑问都有可能已经得到了解决。
虽然不能保证迁移过程一帆风顺,但 Ubuntu 拥有广泛的支持基础,能够尽力让所有背景的用户,无论从哪个系统进行迁移,都能访问 Ubuntu。
稳定的登陆区
过程已经讨论过了,现在我们谈谈结果。CentOS 最初的吸引力之一在于其稳定性。其小数点版本的系统提供了一个稳定的基础,金融机构非常看重这一点,因为更新不会带来出乎意料的变更。对于迁移中的所有工作,所选择的解决方案不需要进行繁重又持续的维护,这一点至关重要。
好消息是 Ubuntu 会定期发布新版本。长期支持版本每 2 年发布一次,标准支持期为 5 年。这种支持节奏可以扩展到堆栈中使用 Ubuntu 的任何地方,包括从裸机和工作站到 Kubernetes 集群和边缘设备等所有地方。
通过订阅 Ubuntu Pro,还可以将长期支持延至 12 年,企业级支持还可以为您提供针对超过 30,000 个开源包的全面维护补丁。如此一来,您的开发人员可以将更多的时间倾注在驱动业务价值增长的活动上,减少耗费在维护和合规上的时间。
安全性和合规性是 Ubuntu 的根本所在
毫无疑问,安全性是阻碍金融机构在技术方面追赶上其他行业的最大因素之一。其理由很充分:违规会伤害客户,损害声誉,并招致惩罚措施。
然而,过时的技术也是如此。一旦软件的生命周期结束,攻击风险就会增加 47%。一旦考虑到 59% 的网络安全专业人员都会感到筋疲力竭,并且金融机构的关键数据敏感性高于其他行业,金融机构就会逐渐看起来像是安全事件滋生的沃土。
Ubuntu 的各种版本通过预先配置将攻击面最小化并保持最新的保护措施,默认自带安全性:
- 最小攻击面
- 只读数据段
- 无开放端口
- 密码哈希
- 禁用旧版 TLS
- 自动启用以保持最新的保护措施
- 自动修补
- AppArmor(一个限制权限的安全模块)
这为开发人员提供了一个坚实的基础,在其之上进行构建,从而满足严格的合规要求。
鉴于合规框架中用来约束访问权限的控制措施和政策的重要性,您的操作系统要能够使安全团队动态地进行更改,这一点至关重要。和 CentOS 一样,Ubuntu 采用的是业界公认的开源标准来进行身份管理。Ubuntu 支持遵循 OpenID Connect 认证协议的高级身份管理功能,使 Ubuntu 上的身份管理功能可与更广泛的生态系统进行互操作。您可以选择使用 Ubuntu 的 Authd,这是一个集成了基于云的身份提供程序的认证守护进程。您也可以选择与 Microsoft Entra ID(原称为 Azure 活动目录)集成。无论选择哪种方法实现您的身份管理协议,Ubuntu 都会为您提供所需的企业级工具。
此外,通过订阅 Ubuntu Pro,您的开发人员还可以访问针对合规框架的自动强化工具。这些合规框架包括 ISO 27001、PCI-DSS、FIPS-140 和《网络弹性法案》。由于金融机构为许多其他受监管行业提供服务,所以选择 Ubuntu 代表着他们对遵循最严格安全标准的承诺。
云计算的互操作性
在评估 CentOS 的替代方案时,兼容性将是首要考虑因素。随着企业组织在工作负载部署、数据管理和机器学习方面不断转向云计算,确保这些系统之间的互操作性层非常重要。虽然金融机构传统上依赖于本地基础架构(也称“私有云”),但企业组织正越来越多地采用混合云架构。这种架构可以提高工作负载部署中的可扩展性和灵活性。
诸如 CentOS、Ubuntu 等开源系统能够实现公共云和私有云之间的互操作性。这是因为它们都是开源系统,且不依赖于任何特定供应商。不过,Ubuntu 在这方面相较于其他操作系统可以带来相当大的好处。通过 Ubuntu Server,金融机构在公共云以及私有云上,无论是 OpenStack 云、Kubernetes 集群还是数据库,都可以大规模地部署工作负载。使用单一操作系统,您可以跨越云堆栈协调您的架构。
此外,Ubuntu 还是公共云上排名第一的客户操作系统。AWS、Azure、Google Cloud、Oracle 和 IBM Cloud 都有经过认证的 Ubuntu 镜像。随着公共云供应商越来越适应合规要求,并试图争夺更多受监管市场,公共云作为混合云战略一部分的重要性将持续上升。
大规模人工智能
随着 AI 在金融领域的重要性不断增加,并且金融服务机构具备了利用客户数据提供真正定制化体验的能力,以及发现潜在欺诈行为或预测需求激增的能力(仅举其中几例),他们正逐渐将机器学习模型集成到其技术堆栈中。
考虑到云在 AI 工作负载部署中的重要性,这离不开云计算。Kubernetes 是 AI 工作负载部署中使用最广泛的编排平台,预计到 2027 年企业采用率将达到 90%。AI 是发展最快的企业技术之一,如果继续使用生命周期已经结束的操作系统,将会限制您的机会,因为不兼容问题和缺乏维护可能会导致模型失败。
相比之下,Ubuntu 是 Kubernetes 的参考平台,也就意味着 Kubernetes 系基于 Ubuntu 构建而成。选择 Ubuntu 作为操作系统,您的开发人员可以在单一的集成式堆栈上执行 AI/ML 生命周期。如此一来,您就可以将资源最大化,避免浪费,而且最重要的是可以简化开发人员的操作。
了解更多关于 Ubuntu 在金融服务领域的应用信息
由于 CentOS 的生命周期已经结束,金融机构将需要就如何部署自身资源做出决定。他们是否会选择投入大量的时间和精力来维持传统系统的运行呢?亦或是转向新的系统,以使他们能够利用面向未来的技术应对未来挑战呢?
如需讨论有关转移到 Ubuntu 的问题,敬请与我们联系
订阅博客文章
查看更多内容
您每隔多久会在 Linux 上安装一次安全补丁?
定期应用补丁对于维护安全的环境至关重要,但对于确保 Linux 资产的安全性,并不存在一劳永逸的办法。那么,如何平衡更新频率和运行稳定性呢?有一些策略可通过合规且安全的方式实现安全补丁自动化,甚至适用于限制和监管最严格的环境。在确定安全补丁策略时,有必要了解 Canonical 软件更新发布时间表和安全补丁覆盖周期时间窗口等重要信息。笔者在近期主持的一场在线研讨会和安全问答活动中,解释了如何尽量减少补丁应用频率或尽量缩短未修复漏洞被利用的时间。本篇文章将概述笔者在这次网络研讨会上的主要观点,并说明确定更新计划时最重要的考虑因素。 针对 Linux 内核的安全补丁 Ubuntu 中有两种类型的内核,这些内核有两种打包方式。两种内核类型为通用版(GA)内核和变体内核。两种打 […]
Canonical 为任何 open source Docker 镜像提供 12 年长期支持
“Everything LTS 计划”— Canonical 将根据客户的规格要求构建 distroless Docker 镜像,其中包括 Ubuntu 中未打包的上游组件,并在 24 小时内修复关键的 CVE 漏洞,在 RHEL、Ubuntu、VMware 或公共云 K8s 上畅享长达 12 年以上的支持。 Canonical 将其 LTS 产品扩展到 Ubuntu 的 “deb” 包以外,并推出了一项新的 distroless Docker 镜像设计与构建服务,该项服务为任何开源应用程序或依赖项均提供 12 年的安全维护,无论该软件是否是 Ubuntu 中已打包的软件。 「Everything LTS 计划意味着 CVE 维护将覆盖您的整个开源依赖项树,包括 Ubun […]
Canonical x Lenovo: 在边缘运行 AI workloads
携手 Canonical 和 Lenovo,在边缘运行 AI 工作负载 从制造业中的预测性维护,到医疗保健行业中的虚拟助手,再到最偏远地区的电信路由器优化,AI 正在各种边缘环境中掀起新浪潮,带来新机遇。但为了支持这些几乎随处运行的 AI 工作负载,公司需要具备快速、安全且高度可扩展的边缘基础架构。 开源工具 —— 例如用于轻量级 Kubernetes 编排的 MicroK8s 和用于 ML 机器学习工作流的 Charmed Kubeflow —— 可以为边缘 AI 部署提供更高的灵活性和安全性。如果配合加速计算堆栈使用,这些解决方案可以帮助专业人员更快地交付项目,降低运营成本,以及确保更可预测的结果。 今天这篇博客探讨为什么企业正逐渐在边缘 AI 领域转向开放式基础架构 […]