一、多云業(yè)務需求

根據(jù)Gartner的定義，多云是指企業(yè)同時擁有兩個或多個云計算平臺，在部署的時候可能會使用公有云、私有云或兩者的某種組合。

用戶的業(yè)務需求主要集中在以下幾個方面：

1. 多云接入

對于國內(nèi)公有云廠商，需要支持阿里云、騰訊云、華為云

對于國外公有云廠商，需要支持AWS、Azure、googleCloud

對于私有云需要兼容VMware、openstack、X-stack(公有云)等

2. 異構資源納管

對基礎設施(計算實例、存儲、網(wǎng)絡、安全)和應用程序資源統(tǒng)一管理(OpenAPI)

針對虛擬機、容器、服務網(wǎng)格等服務編排(自動化模板)

高速互聯(lián)網(wǎng)接入與跨平臺的聯(lián)合網(wǎng)絡管理

3. 計量計費

通過資源優(yōu)化和賬單估算進行成本管理

云計算費用報告和預算

4. 運維監(jiān)控

需要支持跨云協(xié)調(diào)的功能，并提供對不同云服務性能的可見性

對基礎設施(計算實例、存儲、網(wǎng)絡、安全)和應用程序的性能進行監(jiān)控;

多云服務遷移(自動執(zhí)行某些維護任務，例如將工作負載從一個云動態(tài)移動到另一個云)

5. 安全管理

安全性，包括身份管理和數(shù)據(jù)保護/加密

針對多云環(huán)境基礎架構的安全保障

任務批準工作流以及策略合規(guī)性審核

二、多云業(yè)務安全架構

首先給大家分享一下多云安全架構全景圖

我們先從多云基礎架構說起：

首先，多云基礎架構建議全部選擇Kubernetes自動化編排與Pod容器方式部署，盡量不要選擇虛擬機，因為虛擬機無法編排其他公有云的網(wǎng)絡，無法實施更靈活的網(wǎng)絡隔離策略。雖然google為了重新定義云市場使用的伎倆，但是話說回來，用戶是喜歡這個思路的，不會受單個云的限制，而且開源免費。

分離多云OpenAPI管理與容器編排管理，多云OpenAPI管理需要屏蔽底層多云的差異，創(chuàng)建云主機、基礎網(wǎng)絡、存儲等基礎設施。容器編排系統(tǒng)，則負責更高級的管理需求(第一點說的)。

需要分離本地部署的kubernetes和中央控制中心。這樣獨立出一層，可以幫助用戶快速遷移部署。

使用lstio標準的網(wǎng)絡架構一統(tǒng)多云。

有了標準的多云基礎架構，那么我們的安全基礎架構就容易規(guī)劃了。個人認為每家的多云管理系統(tǒng)差異化主要體現(xiàn)基礎安全部分，應用安全部分可以使用多家產(chǎn)品。

1. 如果我們把底層架構都統(tǒng)一使用Kubernetes與Pod，那么，我們的多云基礎架構安全其實是以容器安全為基礎。那么基于容器的安全生態(tài)需要建立起來。

(1) 針對基礎能力模型中的鏡像倉庫，我們需要有鏡像倉庫掃描，保證進入到整個安全平臺的鏡像是安全的。

需要對上傳的容器鏡像有策略下發(fā)掃描能力，完成操作系統(tǒng)、軟件的已知CVE漏洞在線檢查功能，并且輸出報告。

需要對上傳的容器鏡像，對其關鍵位置文件做病毒木馬檢測、webshell檢測，并且輸出報告。

需要對上傳的容器鏡像，對其關鍵位置文件做敏感信息檢測，并且輸出報告。

(2) 針對Kubernetes與Pod需要做基線檢查，當然部分基線配置需要在多云管理平臺側設置。這部分其實用過CIS_Kubernetes_benchmark 標準檢測即可。

(3) 容器運行時安全，針對容器運行非授信進程、文件、網(wǎng)絡連接需要限制。同時聯(lián)動停止或者刪除容器，控制網(wǎng)絡連接。形成閉環(huán)容器安全治理。

2. 多云基礎架構容器安全，需要寄生在宿主機上(例如：云主機、裸金屬服務器、物理服務器)。所以主機安全需要支持安裝在任何上述環(huán)境中。

3. 為了更好的了解整個多云集群操作狀態(tài)，Kubernetes日志審計系統(tǒng)也是多云基礎安全必備的功能之一。

4. 最后，能上多云管理系統(tǒng)的公司，肯定是組織架構復雜的，需要多方人員協(xié)調(diào)才能把安全運營閉環(huán)做好。

多云的應用安全部分

1. 多云抗D與多云WAF

很多游戲公司都很早就集成多云抗D解決方案了。前幾年游戲。公有云A的解決方案不行，馬上通過調(diào)度系統(tǒng)切換，或者通過HTTPDNS，DNS自動切換。保證游戲業(yè)務的可用性。云WAF也是一個道理。

2. 自動化漏掃服務與安全眾測

在多云場景中，可以選擇購買多個自動化漏洞掃描工具，獲取差異化漏洞掃描報告，同時目前國內(nèi)公有云大部分都可以按次計費，方便在特定場景中實施(例如：重保、業(yè)務系統(tǒng)上線、例行安全巡檢等)。

再談談安全眾測的事，其實安全眾測在安全圈也不是什么新鮮概念，但是伴隨著多云安全的概念重新粉飾，將會得到極大的應用。畢竟多云的核心理念是獲得各家廠商的安全能力。

三、多云安全的未來

雖然現(xiàn)在階段多云管理安全解決方案是一個比較新的概念，在商業(yè)落地方面還比較薄弱，但是絕對是一個大的趨勢，趕不上這個風口的公有云廠商未來的2~3年發(fā)展空間不會很大。google在這個浪潮中應該是大的贏家，通過開源的容器編排系統(tǒng)Kubernetes，讓企業(yè)級消費者接受并且可免費使用自己管控的系統(tǒng)，獲得很大收益，其次通過Anthos架設多云管理平臺，最終商業(yè)落地使用谷歌云變現(xiàn)。大廠就是有資源，玩顛覆，對抗AWS。針對國內(nèi)后進公有云廠商，快速落地其多云管理產(chǎn)品，快速推向用戶是當務之急。

當前文章：多云管理與安全架構遷移
轉載源于：http://jinyejixie.com/news20/200670.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、網(wǎng)站排名、網(wǎng)站內(nèi)鏈、軟件開發(fā)、企業(yè)網(wǎng)站制作、品牌網(wǎng)站設計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)