混合云定义
美国国家标准与技术研究所(NIST)将混合云定义为至少一种私有云和至少一个公有云的合成物。混合云通常以一下两种方式之一来提供:私有云厂商和公有云提供商成为合作伙伴,或者公有云提供商同私有云厂商结盟。
混合云融合了公有云和私有云,是近年来云计算的主要模式和发展方向。我们已经知道私有云主要是面向企业用户,出于安全考虑,企业更愿意将数据存放在私有云中,但是同时又希望可以获得公有云的计算资源,在这种情况下混合云被越来越多的采用,它将公有云和私有云进行混合和匹配,以获得最佳的效果,这种个性化的解决方案,达到了既省钱又安全的目的。
混合云优势
混合云的核心思想是为了兼具私有云的安全性和公有云的资源弹性。
私有云的安全性超过公有云,而公有云的计算资源又是私有云无法企及的,而混合云完美的解决了这一问题,既可以利用私有云的安全,将内部重要数据保存在本地数据中心,同时,也可以使用公有云的计算资源,弹性高效的完成工作,降低了成本。
混合云主流架构
总体来讲,过内外主流云厂商解决混合云布局,都才有了VPC和专线(或VPN)方式。
1、阿里VPC:
专有网络( VirtualPrivate Cloud ),可基于阿里云构建出一个隔离的网络环境。企业可以完全掌控自己的虚拟网络,包括选择自有 IP 地址范围、划分网段、配置路由表和网关等。
专线/ VPN方式用于将 VPC 与传统数据中心组成一个按需定制的网络环境,实现应用的平滑迁移上云。基于阿里云遍布各地的公共云服务以及顶级的基础网络环境,VPC的推出提供了统一、安全与便捷的混合云体验。
2、腾讯:内网级混合云架构
黑石物理服务器:独享高性能物理服务器,提供完全的物理设备控制权限和全栈式物理设备运维服务。让用户摆脱设备采购、上架、安装、运维等事务性工作、还能按需购买、按月计费降低一次性IT成本投入。物理服务器和云服务器内网互通,可构建内网级混合云,实现快速、灵活扩容,帮你轻松应对节假日、活动高峰请求。
专线接入:独享、稳定、可靠的大流量专线接入服务。本地接入点覆盖十余主力城市、一次接入即可与腾讯云内网互联、全网络双线热备份单条故障不影响专线正常运行。轻松构建混合云架构。
安全:混合云在网络层面上将私有云和公有云进行了连接,如果发生网络故障或者攻击,服务商需要有能力保障网络间故障不会相互影响,将攻击或者故障限制在一定范围之内。
腾讯云的方案在传输层提供了有状态的基于单主机的网络访问控制(安全组),在网络层提供了无状态的基于VPC子网的网络访问控制(网络ACL)。
监控更多需要体现业务管理的闭环,通过展示网络连接的实时流量、延时、丢包数据,用户可以针对数据做告警策略反馈异常。
混合云安全问题
- 如何确保本地数据中心的资源安全
- 如何确保向公有云迁移的大量应用的安全
涉及具体应用功能,通用做法:通过制定策略配置、访问控制、加密等;
- 发现并修复安全漏洞并形成报告
- 避免安全漏洞被成功利用
- 控制漏洞被成功利用所造成的损失
- 如何确保存储在多家云服务商上数据的安全
3.如何保护公有云和私有云的虚拟化基础
4.如何确保接入云基础设施的移动设备安全
混合云安全通用应对
2015年4月1日,国家颁布了GB/T31167-2014《信息安全技术云计算服务安全指南》和GB/T 31168-2014《信息安全技术云计算服务安全能力要求》两个旨在评估云服务安全性的国家标准。混合云作为一种云部署方案,除要满足以上两个标准外,还更偏向于私有云的更高安全性、合规性要求。
1. 逐步提高用户的受培训程度和加强与他们的沟通。
让我们的客户了解应与我们共同承担的责任——通过尽可能坦率的对话来讨论他们如何安全地访问他们的数据。
2.使用更强大的身份验证方法来保护云访问。
身份认证、授权和身份认证管理需要在公有云和私有云中共同工作。仅要一个用户名和密码就能够任意使用你的所有资源时过于简单,可采用多模式身份验证方法(MFA)和单点登陆方法(SSO)、联合身份认证,以更好地保护用户的资产。
3. 数据传输加密和静态数据存储加密
现有混合云的两种部署方案,不管是内网VPC,还是专线方式,都是网络层面进行连接,因此必然涉及到数据传输安全问题。除数据中心原有的数据进行加密外,传输过程加密也是重中之重。这包括文件、邮件的传输存储,数据的操作、数据的缓存加密等。
VPC高速通道专线接入和第三方安全厂商VPN公网接入两种方式都是混合云安全传输的模式,两种方式有各自的使用场景。VPC高速通道特点是速度快、稳 定、延时低,非常适合对带宽、速度和稳定些要求很高,需要长时间传输大批量数据的用户。VPN公网接入的特点是数据自主加密、使用方便、价格低廉、实施时 间短,适合对价格敏感、数据传输量小、线路质量要求一般的客户。
4. 实施更好的访问角色定义以控制虚拟机(VM)。
随着用户部署越来越多的虚拟基础设施,您需要加强保护措施以保护用户对虚拟机的访问。诸如 HyTrust和Catbird产品可以用于部署更细粒度的访问控制,如用户可以运行驻留在虚拟机中的应用,而无法启动、停止或删除整个虚拟机。
这些工具不仅可以在数据中心内运行,而且可以在云中正常工作。这些技术还可用于对访问进行日志记录,就如同其它拥有基于角色访问控制的安全工具产品一样。
5. 安全管理可控、可视化
6.定义合理的服务等级协议
混合云中对服务等级协议提前协商好,明确各自应负的责任和所需达到的标准。
总结
混合云实质上实现了公有云和私有云的网络连接,它的安全涉及到共有云原有安全策略和私有云更高一些的安全策略,私有云的安全防护不能因为接入共有云而降级,相反,在不违反各自的SLA的前提下,在连接的点最好设置安全网关、防火强等设备,保证内网或专线的网路传输防护,并设置安全策略保护数据中心或者私有云的数据安全。