混合雲安全

時間 2021-08-12

原文原文鏈接

混合雲定義

美國國家標準與技術研究所（NIST）將混合雲定義爲至少一種私有云和至少一個公有云的合成物。混合雲一般以一下兩種方式之一來提供：私有云廠商和公有云提供商成爲合做夥伴，或者公有云提供商同私有云廠商結盟。緩存

混合雲融合了公有云和私有云，是近年來雲計算的主要模式和發展方向。咱們已經知道私有云主要是面向企業用戶，出於安全考慮，企業更願意將數據存放在私有云中，可是同時又但願能夠得到公有云的計算資源，在這種狀況下混合雲被愈來愈多的採用，它將公有云和私有云進行混合和匹配，以得到最佳的效果，這種個性化的解決方案，達到了既省錢又安全的目的。安全

混合雲優點

混合雲的核心思想是爲了兼具私有云的安全性和公有云的資源彈性。服務器

私有云的安全性超過公有云，而公有云的計算資源又是私有云沒法企及的，而混合雲完美的解決了這一問題，既能夠利用私有云的安全，將內部重要數據保存在本地數據中心，同時，也可使用公有云的計算資源，彈性高效的完成工做，下降了成本。網絡

混合雲主流架構

整體來說，過內外主流雲廠商解決混合雲佈局，都纔有了VPC和專線（或×××）方式。架構

一、阿里VPC：

專有網絡（ VirtualPrivate Cloud ），可基於阿里雲構建出一個隔離的網絡環境。企業能夠徹底掌控本身的虛擬網絡，包括選擇自有 IP 地址範圍、劃分網段、配置路由表和網關等。運維

專線/ ×××方式用於將 VPC 與傳統數據中心組成一個按需定製的網絡環境，實現應用的平滑遷移上雲。基於阿里雲遍及各地的公共雲服務以及頂級的基礎網絡環境，VPC的推出提供了統1、安全與便捷的混合雲體驗。ide

二、騰訊：內網級混合雲架構

黑石物理服務器：獨享高性能物理服務器,提供徹底的物理設備控制權限和全棧式物理設備運維服務。讓用戶擺脫設備採購、上架、安裝、運維等事務性工做、還能按需購買、按月計費下降一次性IT成本投入。物理服務器和雲服務器內網互通,可構建內網級混合雲,實現快速、靈活擴容，幫你輕鬆應對節假日、活動高峯請求。工具

專線接入：獨享、穩定、可靠的大流量專線接入服務。本地接入點覆蓋十餘主力城市、一次接入便可與騰訊雲內網互聯、全網絡雙線熱備份單條故障不影響專線正常運行。輕鬆構建混合雲架構。佈局

安全：混合雲在網絡層面上將私有云和公有云進行了鏈接，若是發生網絡故障或者***，服務商須要有能力保障網絡間故障不會相互影響，將***或者故障限制在必定範圍以內。性能

騰訊雲的方案在傳輸層提供了有狀態的基於單主機的網絡訪問控制（安全組），在網絡層提供了無狀態的基於VPC子網的網絡訪問控制（網絡ACL）。

監控更多須要體現業務管理的閉環，經過展現網絡鏈接的實時流量、延時、丟包數據，用戶能夠針對數據作告警策略反饋異常。

混合雲安全問題

如何確保本地數據中心的資源安全
如何確保向公有云遷移的大量應用的安全

涉及具體應用功能，通用作法：經過制定策略配置、訪問控制、加密等；

發現並修復安全漏洞並造成報告
避免安全漏洞被成功利用
控制漏洞被成功利用所形成的損失
如何確保存儲在多家雲服務商上數據的安全

3.如何保護公有云和私有云的虛擬化基礎

4.如何確保接入雲基礎設施的移動設備安全

混合雲安全通用應對

2015年4月1日，國家頒佈了GB/T31167-2014《信息安全技術雲計算服務安全指南》和GB/T 31168-2014《信息安全技術雲計算服務安全能力要求》兩個旨在評估雲服務安全性的國家標準。混合雲做爲一種雲部署方案，除要知足以上兩個標準外，還更偏向於私有云的更高安全性、合規性要求。

1. 逐步提升用戶的受培訓程度和增強與他們的溝通。

讓咱們的客戶瞭解應與咱們共同承擔的責任——經過儘量坦率的對話來討論他們如何安全地訪問他們的數據。

2.使用更強大的身份驗證方法來保護雲訪問。

身份認證、受權和身份認證管理須要在公有云和私有云中共同工做。僅要一個用戶名和密碼就可以任意使用你的全部資源時過於簡單，可採用多模式身份驗證方法(MFA)和單點登錄方法(SSO)、聯合身份認證，以更好地保護用戶的資產。

3. 數據傳輸加密和靜態數據存儲加密

現有混合雲的兩種部署方案，不論是內網VPC，仍是專線方式，都是網絡層面進行鏈接，所以必然涉及到數據傳輸安全問題。除數據中心原有的數據進行加密外，傳輸過程加密也是重中之重。這包括文件、郵件的傳輸存儲，數據的操做、數據的緩存加密等。

VPC高速通道專線接入和第三方安全廠商×××公網接入兩種方式都是混合雲安全傳輸的模式，兩種方式有各自的使用場景。VPC高速通道特色是速度快、穩定、延時低，很是適合對帶寬、速度和穩定些要求很高，須要長時間傳輸大批量數據的用戶。×××公網接入的特色是數據自主加密、使用方便、價格低廉、實施時間短，適合對價格敏感、數據傳輸量小、線路質量要求通常的客戶。

4. 實施更好的訪問角色定義以控制虛擬機(VM)。

隨着用戶部署愈來愈多的虛擬基礎設施，您須要增強保護措施以保護用戶對虛擬機的訪問。諸如 HyTrust和Catbird產品能夠用於部署更細粒度的訪問控制，如用戶能夠運行駐留在虛擬機中的應用，而沒法啓動、中止或刪除整個虛擬機。

這些工具不只能夠在數據中心內運行，並且能夠在雲中正常工做。這些技術還可用於對訪問進行日誌記錄，就如同其它擁有基於角色訪問控制的安全工具產品同樣。

5. 安全管理可控、可視化

6.定義合理的服務等級協議

混合雲中對服務等級協議提早協商好，明確各自應負的責任和所需達到的標準。

總結

混合雲實質上實現了公有云和私有云的網絡鏈接，它的安全涉及到共有云原有安全策略和私有云更高一些的安全策略，私有云的安全防禦不能由於接入共有云而降級，相反，在不違反各自的SLA的前提下，在鏈接的點最好設置安全網關、防火強等設備，保證內網或專線的網路傳輸防禦，並設置安全策略保護數據中心或者私有云的數據安全。