GCP要成为数位转型协助者靠资料保护新战略抢上云跨云需求

去年Next开场演讲中，Google Cloud执行长Thomas Kurian大动作揭露了Google Cloud的7大隐私宣言，第一项就是「你的资料就是你的，不是Google。」今年，这些宣示，更进一步更具体成了9项产品隐私承诺，「你的资料就是你的」成了基本精神，不再名列其中，反而转化成不同的具体承诺（摄影／王宏仁）

今年Google Cloud年度产品大会Next非常不一样，甚至有根本性的大改变。不只是从实体收费活动，变成了线上免费课程，也不是从4天会议活动，变成了长达9周的随选影片，而是Google Cloud放下了过去强力塑造的云端技术领先者形象，转而变成了强调顾客优先的数位转型协助者，最明显的改变实例，就是GCP今年在资料和隐私战略的全新产品布局。

这正是Google Cloud执行长Thomas Kurian，第一次展现出18个月来推动Google Cloud组织文化改造的成果。Google Cloud开始变得不一样了，更像是一家商业软体供应商，而不是顶尖技术研发团队。

不同于以传奇创业、技术创新起家的第一任执行长云端女王Diane Greene，来自老牌商软巨头甲骨文的Thomas Kurian，几乎三分之一的人生都在甲骨文，率领了3万5千人的研发团队，一手推动了甲骨文所有产品的云端转型，还建立了年营收8亿美元的250人云端销售团队，更主导了60次软体併购。

去年4月9日的2019年Next产品大会，Thomas Kurian上任刚满100天，第一次站上Next主场演讲。众人最好奇的问题是，他要如何将Google Cloud带往下一阶段的发展？

可是，去年这场产品大会105项发布中，涵盖了顾客、伙伴、行动装置与Chrome、AI和机器学习、基础架构服务、应用系统开发、资料分析、资料库、IoT、资安、企业协作与生产力到社会影响力，仍旧像是原本的Google Cloud战略方向，处处呈现出技术优先、产品优先的布局。

在去年亚太媒体群访上，Thomas Kurian坦言，刚上任的前几个月，大部分时间都用于了解现况和产品，但他揭露了上任后的首要目标，要让GCP不只是聚焦于打造最棒产品，还要能反映顾客心声，协助企业转型。

所以，去年他在开场演讲中，花了最多时间描绘的重点就是，GCP的愿景。他指出，GCP的愿景要聚焦在企业数位转型旅程，主要提供了3项协助，分别提供全球分散式基础架构、提供数位转型平台和垂直产业方案，以及支援协作模式的改变。去年正式定名推出的混合云平台Anthos，更是他要用来实现数位转型平台的关键，「可以提供一个维运和管理多云、跨云架构的平台，让企业不用各自学习各家云端业者的技术。」他强调。

瞄準数位转型需求，作为GCP的发展愿景，并不令人意外，这正是许多大型商软业者、云端供应商近几年的产品战略，Google Cloud过去也标榜要瞄準企业数位转型浪潮，只是，想靠的是创新技术和领先产品来吸引顾客。

可是，在去年Next开场演讲中，Thomas Kurian做了一件格外引人注目的事，他大动作揭露了Google Cloud的7大隐私宣言，第一项就是「你的资料就是你的，不是Google。」其次包括如不会卖资料、不会用于广告、预设加密、杜绝内部不当存取、不给政府开后门、隐私作法经过国际标準稽核等。

这是GCP第一次如此慎重地发布对隐私的承诺，甚至，这是在其他云端业者产品大会中也少见的公开宣示。

在群访中，Thomas Kurian更进一步解释，为何要特别强调隐私宣言？「竞争对手常放话，若把资料放上Google，Google会拿去做其他用途，这是百分之百错误的说法。」他强调：「我们从来没有将这些资料，拿出顾客所用云端服务的範围之外。」

但是，这样的隐私宣言如何具体落实到产品上，Thomas Kurian去年没有进一步说明，只简单解释，Anthos可以让顾客有所选择，把资料搬回企业内部。可是，当时的Anthos只能部署在vSphere环境中，无法真正支援多种私有云环境，甚至遑论能搬到不同的公有云上部署。

直到今年7月的这次Next大会，Thomas Kurian去年的愿景，终于化为实际的战略和产品，其中一项更成了GCP创造差异化的竞争优势。

全球疫情带来3大冲击，7成企业要加速转型带动上云需求

今年因为全球疫情大爆发，Google取消了消费端产品大会，但将企业产品大会Next延后到7月并改为线上形式。

Google执行长Sundar Pichai在开场演讲中直言，儘管这波疫情对未来的改变还不明朗，但已经带来了三大影响，未来工作型态将更数位化、需要更多协作、工作模式也会更有弹性。这也让许多企业要长期推动数位化，甚至75%企业有加速转型的计画。

「越数位化，就越重视合作、弹性，也就越需要上云。」Sundar Pichai指出，这正是Google Cloud第一季业务量比去年同期增加超过5成的推力。

Thomas Kurian今年也重新界定了Google Cloud的新愿景是，要透过资料强化的创新，来提高企业数位转型和重新想像业务的能力。他将资料导向、加值的创新，视为是GCP成为企业数位转型协助者的关键。

资料上云，向来是企业拥抱云端时最担心的议题，尤其这股数位转型带来的上云潮，更挑战了企业传统保护资料作法。传统企业保护资料的作法，可以分为4大类，一是将资料保存在内部，二是自己掌握资料所在地，三是管控可以存取资料的人员，最后是自己建立专责人力来保护资料。Google Cloud机密运算首席产品经理Nelly Porter指出，上云趋势带来的新课题是，企业的资料不只出现在内部，还会在云端上，而且企业自己得和云端供应商共同分摊资料保护的责任。

前者提高了资料保护的技术难度，后者更带来了新的管理和治理问题，这就出现了多项资料保护的新挑战，她举例，如何保护敏感资料或智慧财产？资料保护如何落实法规遵循？如何和其他企业协作，来处理他们的敏感资料，也就是如何经手第三方资料的挑战，如何保护用户与其顾客的资料？这些都是Google Cloud今年资料产品新战略想要回答的问题。

去年7大隐私宣示成今年9项产品隐私承诺

而Thomas Kurian去年的7项隐私宣言，今年更进一步更具体成了9项产品隐私承诺，「你的资料就是你的」成了基本精神，不再名列其中，反而转化成具体的作法。例如企业自己决定资料或任何副本的储存位置，也可以全权控制资料的存取者身分， Google管理和存取资料的方式都可以控制也会高度透明化，甚至企业可以拒绝自己的资料被解密，也能将加密用的金钥移到其他地方，不让Google拿得到，而资料预设加密的宣示，则更进化成了提供资料全程加密的承诺。

从这些资料隐私的新承诺，和GCP想要解决的资料课题，可以更清楚的了解，保护资料的新战略如何贯穿到Google Cloud今年多项云端产品的布局。第一个关键性的资料服务新产品，就是机密运算服务产品线（Confidential Computing）。

机密运算才真正实现端到端的全程加密

「机密运算才真的实现了端到端的加密」Thomas Kurian强调，不只资料静止储存的时候，或是资料传输的时候加密，连资料在CPU中处理的时候，都能够提供加密的防护。

Google Cloud机密运算工程总监Gilad Golan解释，企业通常採取多层次的资料保护策略，例如像是限制敏感资料被公开的透明化程度、控管度敏感资料的存取，另一个常见作法是加密敏感资料来建立防护层。机密运算是利用晶片硬体来加密正在处理中的记忆体内资料，可以在现有的储存加密和传输加密上，再增加使用中加密的防护层，补齐资料保护生命週期的最后一环。

机密运算主要是先建立一个可信任的运算环境，再来进行敏感资料的处理。GCP利用了AMD第二代EPYC处理器的安全加密虚拟化SEV（Secure Encrypted Virtualization），这是一个CPU内建的硬体加密技术，可以在虚拟层上进行硬体加密来建立可信任的环境，再让获得授权的应用程式，存取加密后的记忆体内的资料，来进行处理，只有在虚拟环境中的应用程式可以「看见」解密后的资料，避免资料在虚拟环境外曝光，就连维运的Google都看不到处理中遭加密的资料。

GCP机密运算产品线的第一个产品是机密运算VM，只要是GCE的N2D虚拟机器，就可以开启机密运算VM功能，这也是业界第一个VM型云端机密运算服务。GCP在今年2月发表了採用AMD第二代EPYC处理器的通用型GCE虚拟机器产品N2D系列实例，可以提供最大到224个vCPU和896GB的记忆体，今年4月正式推出，目前可以在部分云端区域中心提供，包括台湾彰化的GCP云端区域中心。

这个机密型VM就像是GCP一般提供的VM，GCE原有VM的工作量也都可以转移到N2D实例上，来启用机密运算VM功能。Thomas Kurian指出，这类机密型VM的应用，就可以用于高度规範产业，高度机敏业务或高度隐私相关的业务应用。

Anthos终于支援跨云、多云，让企业自己决定运算工作所在地

影响就是企业对于自家运算工作量、资料所在地的选择权。GCP基础架构服务今年实现了更进一步的分散式架构，不只支援GCP自家公有云，还包括混合云、跨多云和边缘运算云。Anthos开始能够支援裸机部署，直接安装到主流硬体的Linux环境中，例如Cisco、Dell、HPE伺服器等，来建立混合云架构，Anthos在今年也推出了AWS版本，而Azure部署版也释出预览版，可以用来建立跨三朵公云的架构。「支援到跨云、多云，才可以让企业有所选择。」Thomas Kurian说。

这个跨云多云能力，也是GCP数位转型平台的关键能力，更容易将企业应用程式现代化，另外也会透过统一的工具来提供跨多云的管理、部署，以及维运工作。

BigQuery关键资料服务终于支援多云，让分析服务更靠近顾客资料源

Anthos有了跨多云的能力后，Google Cloud今年资料产品线的主力产品资料仓储分析服务BigQuery，也开始能进入其他公有云环境中，并且推出了一个新的BigQuery Omni版本，可以透过Anthos，部署到AWS和Azure云端环境，来分析企业储存在这两朵公有云上的资料集。

Thomas Kurian解释，简单来说就是，将BigQuery分析功能，带到资料所在地，使用同样的BigQuery介面，就能处理AWS和Azure上的资料，企业不用将资料搬到GCP。

BigQuery Omni将大数据的运算和储存拆解成独立运作的元件，透过单一的BigQuery介面，例如API或SQL指令查询介面，甚至今年增加了一个自然语言查询功能，可以查询跨不同公有云上，使用各自不同云端储存的BigQuery运算丛集。BigQuery还强化了即时串流分析能力，可以平行处理100项分析任务，来支援更複杂的跨云分析应用。

另一方面，Google去年大砸26亿美元，买下了大数据分析新创Looker，这是Thomas Kurian上任后的第一起併购，也是Google史上金额第四高的併购案。当时，他解释，Looker可以补足Google Cloud两大不足，一是可以针对企业所有资料源，建立一个一致性的业务衡量指标（Business Metrics），来简化资料查询，也能建立一套一致化的资料运算定义。

其次，Looker提供了一个完整的资料分析产品线，涵盖了资料提取、分析结果视觉化、工作流程整合、特定产业分析等。今年2月，Google完成了这起併购案，因此，在7月Next大会中，Thomas Kurian也正式将Looker纳入了GCP企业资料平台产品线。

甚至不只资料仓储服务，「BigQuery Omni的出现，更意味着GCP资料平台能够在多云架构中执行。」今年亚太媒体线上群访时，Thomas Kurian的一句话，更透露了日后更多资料平台产品也将支援多云跨云的可能性。不过，G Suite倒是目前没有支援跨云的计画。