加入收藏 | 设为首页 | 会员中心 | 我要投稿 河北网 (https://www.hebeiwang.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 云计算 > 正文

多云情形下安详面对的观念性及技能性挑衅

发布时间:2018-09-18 04:13:53 所属栏目:云计算 来源:安全牛网
导读:当代民众云情形给天下提供了无数也许。主流云处事(如:亚马逊AWS、微软Azure和谷歌云平台(GCP))不只有结实的办理方案,其处事和成果还在不绝增进。 时至今天,81%的公司企业与多家云处事提供商(CSP)相助。 回收多云计谋的缘故起因各不沟通:也许是想在另一个云

当代民众云情形给天下提供了无数也许。主流云处事(如:亚马逊AWS、微软Azure和谷歌云平台(GCP))不只有结实的办理方案,其处事和成果还在不绝增进。

1

时至今天,81%的公司企业与多家云处事提供商(CSP)相助。

回收多云计谋的缘故起因各不沟通:也许是想在另一个云平台上建设劫难规复(DR),可能按最相宜的云处事来均衡事变负载,也也许是公司并购的产品。无论多云情形是怎样引入的, 掩护多云平台的安详始终是摆在公司企业眼前的一大挑衅。

云供给商抢先恐后地补齐本身的成果短板,并全力在产物上出新出彩,以求吸引并留住客户。他们的安详处事成长很快,能跨差异安详规模提供强盛的安详成果,但安详成果的实现方法却多种多样。有些处事也许看起来差不多,但渺小的差别也能导致安详题目和设置错误。

多云陈设中安详公司谋面对哪些挑衅呢?

1. 差异供给商引入差异账户模式

第一个挑衅就呈此刻陈设之初:每个云供给商都有本身的一套奇异的账户打点模式。安详公司常需将资源匹配给云供给商的客户。为此,他们必需领略需应用的正确权限模式。行使多个异构CSP的环境下,此项使命就颇具挑衅性了。

AWS模式基于云账户,可以将账户分派给某个公司,让用户来指定的计费和计策担任。

2

GCP基于项目。任何GCP资源都必需属于某个项目。项目安排在目次中,支持多级目次。

Azure基于订阅,一个账户可以包括多个订阅。Azure资源被分组为资源组,按订阅打点。

3

固然这些差异的观念彼此关联,但照旧存在可以影响到安详的渺小不同。要领略资源层级,就需知道该应用哪种安详模子。

2. 节制差异平台上的安详组

IT工程师蕴蓄了数十年的私有收集履历。但固然实体域节制器(DC)中他们节制从电缆到应用的统统对象,在云情形下,却是亚马逊、微软和谷歌节制着物理层,并建设了运行在假造收集上的差异处事。云办理方案行使的路由模子差异于DC所用的,差异云办理方案行使的模子也各不沟通。DC的收集防火墙嵌入到基本办法即安详组(SG)里,而SG之间各有差异。

AWS SG 包括入站和出站流量法则,都是些“应承”法则,作为白名单起到流量放行浸染。用户可以将多个SG接入每个弹性计较云(EC2)实例(现实上是弹性收集接口(ENI)),每个安详组的法则被有用聚合,建设出一整套法则。SG可被应用到差异实体,包罗实例或负载均衡器之类的托管处事。

Azure收集安详组(NSG)和谷歌弹性计较云(GCP) SG 提供的体验更近似经典防火墙,拥有应承和榨取两张法则列表。法则的次序很重要:高优先级法则节制着流量是应承照旧榨取的决定权。Azure只应承一台假造机有一个NSG,而NSG也可应用到毗连假造机的子网或收集接口(NIC)上。GCP安详组基于标签,应承将法则附加到假造机之类资产上。

4

建设收集时需得思量到实现正确模子的需求。Azure中法则优先级配置错误,也许导致流量被误应承。AWS中的假造机若被指派了多个安详组,原始SG拒绝掉的流量就有也许被误应承。首要与AWS打交道的工程师可以修改拒绝优先法则并阻止对处事的会见(可能,在不该该袒露处事的环境下将其袒露到互联网上)。设置安详必要苏醒的脑子,总在差异陈设中间切换的IT工程师就很轻易堕落。

3. 云中假造收集的举动模式差异

进一步深入到收集层。AWS假造专用云(VPC)子网可所以私有的,也可所以民众的;毗连互联网网关(IGW)就是民众的。只有民众子网应承自身陈设的资源会见互联网。Azure VNet 没有私有或民众子网;毗连VNet的资源默承认以会见互联网。风俗了AWS的工程师依靠AWS来阻止实例会见互联网。但在Azure上建设DR站点时,工程师就得显式阻止互联网会见了。上下文切换题目也许是有伤害的。

AWS组网中的另一个题目与收集会见节制(NACL)有关。NACL检测流量进出子网环境,运行在子网层级,而SG运行在假造机层级(现实上是弹性收集接口层)。NACL是无状态的,也就是说几百年入站流量被应承了,其相应也未必就自动应承——除非子网法则中表现应承。AWS提供的下列图表阐发了跨差异安详层的流量流。

Azure和GCP不回收NACL的观念,于是从这些平台迁徙到AWS的工程师经常搞不清晰为什么SG中显着应承了的流量还会被封堵了。

一些提议 以上例子还只是多云办理方案带给我们的真实体验与挑衅傍边的一小部门。成为一个云平台的专家就必要许多时刻的考验,在多云情形下事变就更坚苦更轻易堕落了。为减小风险,可以遵循以下提议: 自动化进程。人工窜改轻易堕落;自动化可以镌汰堕落概率。 采购跨云体系。提供差异云平台上的抽象和相同体验的办理方案,可以消除上下文切换的题目。 采用窜改考核机制。

相干阅读:

回收多云 澳大利亚云计较市场日益成熟

云计较澎湃澎拜,IaaS 步入黄金成持久

(编辑:河北网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

        Copygight © 2008-2022 https://www.hebeiwang.cn/ All Rights Reserved. 河北网