多云管理與安全架構(gòu)遷移

一、多云業(yè)務(wù)需求

根據(jù)Gartner的定義，多云是指企業(yè)同時擁有兩個或多個云計算平臺，在部署的時候可能會使用公有云、私有云或兩者的某種組合。

用戶的業(yè)務(wù)需求主要集中在以下幾個方面：

1. 多云接入

對于國內(nèi)公有云廠商，需要支持阿里云、騰訊云、華為云

對于國外公有云廠商，需要支持AWS、Azure、googleCloud

對于私有云需要兼容VMware、openstack、X-stack(公有云)等

2. 異構(gòu)資源納管

對基礎(chǔ)設(shè)施(計算實例、存儲、網(wǎng)絡(luò)、安全)和應(yīng)用程序資源統(tǒng)一管理(OpenAPI)

針對虛擬機、容器、服務(wù)網(wǎng)格等服務(wù)編排(自動化模板)

高速互聯(lián)網(wǎng)接入與跨平臺的聯(lián)合網(wǎng)絡(luò)管理

3. 計量計費

通過資源優(yōu)化和賬單估算進行成本管理

云計算費用報告和預(yù)算

4. 運維監(jiān)控

需要支持跨云協(xié)調(diào)的功能，并提供對不同云服務(wù)性能的可見性

對基礎(chǔ)設(shè)施(計算實例、存儲、網(wǎng)絡(luò)、安全)和應(yīng)用程序的性能進行監(jiān)控;

多云服務(wù)遷移(自動執(zhí)行某些維護任務(wù)，例如將工作負(fù)載從一個云動態(tài)移動到另一個云)

5. 安全管理

安全性，包括身份管理和數(shù)據(jù)保護/加密

針對多云環(huán)境基礎(chǔ)架構(gòu)的安全保障

任務(wù)批準(zhǔn)工作流以及策略合規(guī)性審核

二、多云業(yè)務(wù)安全架構(gòu)

首先給大家分享一下多云安全架構(gòu)全景圖

我們先從多云基礎(chǔ)架構(gòu)說起：

首先，多云基礎(chǔ)架構(gòu)建議全部選擇Kubernetes自動化編排與Pod容器方式部署，盡量不要選擇虛擬機，因為虛擬機無法編排其他公有云的網(wǎng)絡(luò)，無法實施更靈活的網(wǎng)絡(luò)隔離策略。雖然google為了重新定義云市場使用的伎倆，但是話說回來，用戶是喜歡這個思路的，不會受單個云的限制，而且開源免費。

分離多云OpenAPI管理與容器編排管理，多云OpenAPI管理需要屏蔽底層多云的差異，創(chuàng)建云主機、基礎(chǔ)網(wǎng)絡(luò)、存儲等基礎(chǔ)設(shè)施。容器編排系統(tǒng)，則負(fù)責(zé)更高級的管理需求(第一點說的)。

需要分離本地部署的kubernetes和中央控制中心。這樣獨立出一層，可以幫助用戶快速遷移部署。

使用lstio標(biāo)準(zhǔn)的網(wǎng)絡(luò)架構(gòu)一統(tǒng)多云。

有了標(biāo)準(zhǔn)的多云基礎(chǔ)架構(gòu)，那么我們的安全基礎(chǔ)架構(gòu)就容易規(guī)劃了。個人認(rèn)為每家的多云管理系統(tǒng)差異化主要體現(xiàn)基礎(chǔ)安全部分，應(yīng)用安全部分可以使用多家產(chǎn)品。

1. 如果我們把底層架構(gòu)都統(tǒng)一使用Kubernetes與Pod，那么，我們的多云基礎(chǔ)架構(gòu)安全其實是以容器安全為基礎(chǔ)。那么基于容器的安全生態(tài)需要建立起來。

(1) 針對基礎(chǔ)能力模型中的鏡像倉庫，我們需要有鏡像倉庫掃描，保證進入到整個安全平臺的鏡像是安全的。

需要對上傳的容器鏡像有策略下發(fā)掃描能力，完成操作系統(tǒng)、軟件的已知CVE漏洞在線檢查功能，并且輸出報告。

需要對上傳的容器鏡像，對其關(guān)鍵位置文件做病毒木馬檢測、webshell檢測，并且輸出報告。

需要對上傳的容器鏡像，對其關(guān)鍵位置文件做敏感信息檢測，并且輸出報告。

(2) 針對Kubernetes與Pod需要做基線檢查，當(dāng)然部分基線配置需要在多云管理平臺側(cè)設(shè)置。這部分其實用過CIS_Kubernetes_benchmark 標(biāo)準(zhǔn)檢測即可。

(3) 容器運行時安全，針對容器運行非授信進程、文件、網(wǎng)絡(luò)連接需要限制。同時聯(lián)動停止或者刪除容器，控制網(wǎng)絡(luò)連接。形成閉環(huán)容器安全治理。

2. 多云基礎(chǔ)架構(gòu)容器安全，需要寄生在宿主機上(例如：云主機、裸金屬服務(wù)器、物理服務(wù)器)。所以主機安全需要支持安裝在任何上述環(huán)境中。

3. 為了更好的了解整個多云集群操作狀態(tài)，Kubernetes日志審計系統(tǒng)也是多云基礎(chǔ)安全必備的功能之一。

4. 最后，能上多云管理系統(tǒng)的公司，肯定是組織架構(gòu)復(fù)雜的，需要多方人員協(xié)調(diào)才能把安全運營閉環(huán)做好。

多云的應(yīng)用安全部分

1. 多云抗D與多云WAF

很多游戲公司都很早就集成多云抗D解決方案了。前幾年游戲。公有云A的解決方案不行，馬上通過調(diào)度系統(tǒng)切換，或者通過HTTPDNS，DNS自動切換。保證游戲業(yè)務(wù)的可用性。云WAF也是一個道理。

2. 自動化漏掃服務(wù)與安全眾測

在多云場景中，可以選擇購買多個自動化漏洞掃描工具，獲取差異化漏洞掃描報告，同時目前國內(nèi)公有云大部分都可以按次計費，方便在特定場景中實施(例如：重保、業(yè)務(wù)系統(tǒng)上線、例行安全巡檢等)。

再談?wù)劙踩姕y的事，其實安全眾測在安全圈也不是什么新鮮概念，但是伴隨著多云安全的概念重新粉飾，將會得到極大的應(yīng)用。畢竟多云的核心理念是獲得各家廠商的安全能力。

三、多云安全的未來

雖然現(xiàn)在階段多云管理安全解決方案是一個比較新的概念，在商業(yè)落地方面還比較薄弱，但是絕對是一個大的趨勢，趕不上這個風(fēng)口的公有云廠商未來的2~3年發(fā)展空間不會很大。google在這個浪潮中應(yīng)該是大的贏家，通過開源的容器編排系統(tǒng)Kubernetes，讓企業(yè)級消費者接受并且可免費使用自己管控的系統(tǒng)，獲得很大收益，其次通過Anthos架設(shè)多云管理平臺，最終商業(yè)落地使用谷歌云變現(xiàn)。大廠就是有資源，玩顛覆，對抗AWS。針對國內(nèi)后進公有云廠商，快速落地其多云管理產(chǎn)品，快速推向用戶是當(dāng)務(wù)之急。

當(dāng)前文章：多云管理與安全架構(gòu)遷移
轉(zhuǎn)載源于：http://www.bm7419.com/news20/200670.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、網(wǎng)站排名、網(wǎng)站內(nèi)鏈、軟件開發(fā)、企業(yè)網(wǎng)站制作、品牌網(wǎng)站設(shè)計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)