多雲管理與安全架構遷移
日期:2020-12-14 09:26:34 發布人:dzxy 浏覽量:1005
導讀:一、商業需求不明朗根據Gartner的定義,雲意味着一個企業同時擁有兩個或更多雲計算平台,并且在部署時可以使用公共雲、私有雲或兩者的某種組合。用戶的業務需求主要集中在以下
一、商業需求不明朗
根據Gartner的定義,雲意味着一個企業同時擁有兩個或更多雲計算平台,并且在部署時可以使用公共雲、私有雲或兩者的某種組合。
對于國内公共雲供應商,需要支持阿裡雲、滕循和華為雲。對于外國公共雲供應商,AWS、Azure和googleCloud需要與VMware、openstack、X-stack(公共雲)和其他2個平台兼容。異構資源管理
虛拟機、容器、服務網格等基礎設施(計算實例、存儲、網絡、安全)和應用資源(OpenAPI)服務安排(自動化模闆)的統一管理。高速互聯網接入和跨平台聯合網絡管理。計量和計費
通過資源優化和賬單估算進行成本管理雲計算費用報告和預算4。操作和維護監控
有必要支持跨雲協調功能,并提供不同雲服務性能的可見性,以監控基礎架構(計算實例、存儲、網絡、安全)和應用程序的性能。雲服務遷移(自動執行某些維護任務,例如将工作負載從一個雲動态移動到另一個雲)5。安全管理
安全性,包括針對雲環境基礎架構的身份管理和數據保護/加密安全任務批準工作流,以及策略合規性審核二,雲業務安全體系結構
首先,讓我們分享一下雲安全架構的全景。
讓我們從雲基礎架構開始:
首先,雲基礎設施建議選擇Kubernetes自動編排和Pod容器部署,不要盡可能多地選擇虛拟機,因為虛拟機無法編排其他公共雲的網絡,也無法實施更靈活的網絡隔離策略。盡管谷歌正試圖重新定義雲市場中使用的策略,但同樣,像這種想法的用戶并不受單一雲的限制,開源是免費的。将多雲的OpenAPI管理與容器布局管理分開。雲OpenAPI管理需要屏蔽底層雲的差異,創建雲主機、基礎網絡和存儲等基礎設施。集裝箱布局系統負責更高的管理要求(第一點)。部署在本地的Kubernetes需要與中央控制中心分開。這個獨立的層可以幫助用戶快速遷移和部署。使用lstio标準的網絡體系結構是統一和不透明的。借助标準的雲基礎架構,我們的安全基礎架構易于規劃。就我個人而言,我認為每個家庭的雲管理系統的差異主要體現在基本安全部分,應用安全部分可以使用多種産品。
1.如果我們使用Kubernetes和Pod作為底層架構,那麼我們的雲基礎設施安全實際上是基于容器安全的。然後需要建立基于集裝箱的安全生态。
(1)對于基本功能模型中的鏡像倉庫,我們需要掃描鏡像倉庫以确保進入整個安全平台的鏡像是安全的。
必須能夠發布和掃描上傳的集裝箱圖像,完成操作系統和軟件的已知CVE漏洞的在線檢查功能,并輸出報告。有必要對上傳的容器進行鏡像,對其關鍵位置文件進行病毒木馬檢測和網絡外殼檢測,并輸出報告。有必要對上傳的容器進行鏡像,檢測其關鍵位置文件的敏感信息,并輸出報告。(2)庫伯内特和波德需要基線檢查。當然,一些基線配置需要在雲管理平台端設置。這部分實際上已經過CIS_Kubernetes_benchmark标準的測試。
(3)集裝箱在運行過程中是安全的,在集裝箱運行過程中需要對非信用流程、文件和網絡連接進行限制。同時,鍊接停止或删除容器來控制網絡連接。形成集裝箱安全管理的閉環。
2.雲基礎設施容器是安全的,需要托管在主機上(例如雲主機、裸機服務器、物理服務器)。因此,主機安全需要支持在上述任何環境中的安裝。
3.為了更好的了解整個雲集群的運行狀态,Kubernetes日志審計系統也是雲基礎安全的必要功能之一。
4.最後,能夠訪問雲管理系統的公司必須具有複雜的組織結構,這需要多個人員的協調來完成安全操作的閉環。
多雲應用安全組
1.耐多雲天氣和多雲天氣
許多遊戲公司已經集成了很長時間的雲反D解決方案。幾年前,國際象棋和紙牌遊戲。公共雲解決方案不能工作,立即通過調度系統切換或通過HTTPDNS自動切換。确保遊戲業務的可用性。Cloud WAF也是一個真理。
2.自動錯過掃描服務和安全人群測量
在多雲的場景中,您可以選擇購買多個自動漏洞掃描工具,以獲得不同的漏洞掃描報告。同時,國内大部分公共雲都可以按次計費,便于在特定場景下實施(如再保險、業務系統在線、日常安全檢查等)。)。
再談安全人群監控,事實上,安全人群監控在安全圈并不是一個新概念,但随着對雲安全概念的重新粉飾,它将得到極大的應用。畢竟,陰天的核心理念是獲得各種制造商的安全能力。
一、商業需求不明朗
根據Gartner的定義,雲意味着一個企業同時擁有兩個或更多雲計算平台,并且在部署時可以使用公共雲、私有雲或兩者的某種組合。
對于國内公共雲供應商,需要支持阿裡雲、滕循和華為雲。對于外國公共雲供應商,AWS、Azure和googleCloud需要與VMware、openstack、X-stack(公共雲)和其他2個平台兼容。異構資源管理
虛拟機、容器、服務網格等基礎設施(計算實例、存儲、網絡、安全)和應用資源(OpenAPI)服務安排(自動化模闆)的統一管理。高速互聯網接入和跨平台聯合網絡管理。計量和計費
通過資源優化和賬單估算進行成本管理雲計算費用報告和預算4。操作和維護監控
有必要支持跨雲協調功能,并提供不同雲服務性能的可見性,以監控基礎架構(計算實例、存儲、網絡、安全)和應用程序的性能。雲服務遷移(自動執行某些維護任務,例如将工作負載從一個雲動态移動到另一個雲)5。安全管理
安全性,包括針對雲環境基礎架構的身份管理和數據保護/加密安全任務批準工作流,以及策略合規性審核二,雲業務安全體系結構
首先,讓我們分享一下雲安全架構的全景。
讓我們從雲基礎架構開始:
首先,雲基礎設施建議選擇Kubernetes自動編排和Pod容器部署,不要盡可能多地選擇虛拟機,因為虛拟機無法編排其他公共雲的網絡,也無法實施更靈活的網絡隔離策略。盡管谷歌正試圖重新定義雲市場中使用的策略,但同樣,像這種想法的用戶并不受單一雲的限制,開源是免費的。将多雲的OpenAPI管理與容器布局管理分開。雲OpenAPI管理需要屏蔽底層雲的差異,創建雲主機、基礎網絡和存儲等基礎設施。集裝箱布局系統負責更高的管理要求(第一點)。部署在本地的Kubernetes需要與中央控制中心分開。這個獨立的層可以幫助用戶快速遷移和部署。使用lstio标準的網絡體系結構是統一和不透明的。借助标準的雲基礎架構,我們的安全基礎架構易于規劃。就我個人而言,我認為每個家庭的雲管理系統的差異主要體現在基本安全部分,應用安全部分可以使用多種産品。
1.如果我們使用Kubernetes和Pod作為底層架構,那麼我們的雲基礎設施安全實際上是基于容器安全的。然後需要建立基于集裝箱的安全生态。
(1)對于基本功能模型中的鏡像倉庫,我們需要掃描鏡像倉庫以确保進入整個安全平台的鏡像是安全的。
必須能夠發布和掃描上傳的集裝箱圖像,完成操作系統和軟件的已知CVE漏洞的在線檢查功能,并輸出報告。有必要對上傳的容器進行鏡像,對其關鍵位置文件進行病毒木馬檢測和網絡外殼檢測,并輸出報告。有必要對上傳的容器進行鏡像,檢測其關鍵位置文件的敏感信息,并輸出報告。(2)庫伯内特和波德需要基線檢查。當然,一些基線配置需要在雲管理平台端設置。這部分實際上已經過CIS_Kubernetes_benchmark标準的測試。
(3)集裝箱在運行過程中是安全的,在集裝箱運行過程中需要對非信用流程、文件和網絡連接進行限制。同時,鍊接停止或删除容器來控制網絡連接。形成集裝箱安全管理的閉環。
2.雲基礎設施容器是安全的,需要托管在主機上(例如雲主機、裸機服務器、物理服務器)。因此,主機安全需要支持在上述任何環境中的安裝。
3.為了更好的了解整個雲集群的運行狀态,Kubernetes日志審計系統也是雲基礎安全的必要功能之一。
4.最後,能夠訪問雲管理系統的公司必須具有複雜的組織結構,這需要多個人員的協調來完成安全操作的閉環。
多雲應用安全組
1.耐多雲天氣和多雲天氣
許多遊戲公司已經集成了很長時間的雲反D解決方案。幾年前,國際象棋和紙牌遊戲。公共雲解決方案不能工作,立即通過調度系統切換或通過HTTPDNS自動切換。确保遊戲業務的可用性。Cloud WAF也是一個真理。
2.自動錯過掃描服務和安全人群測量
在多雲的場景中,您可以選擇購買多個自動漏洞掃描工具,以獲得不同的漏洞掃描報告。同時,國内大部分公共雲都可以按次計費,便于在特定場景下實施(如再保險、業務系統在線、日常安全檢查等)。)。
再談安全人群監控,事實上,安全人群監控在安全圈并不是一個新概念,但随着對雲安全概念的重新粉飾,它将得到極大的應用。畢竟,陰天的核心理念是獲得各種制造商的安全能力。
- 下一篇:5G+邊緣計算,正行進在第一階段