虛擬化讓資源邊界變得模糊��,動(dòng)態(tài)擴(kuò)展了計(jì)算、存儲(chǔ)����、網(wǎng)絡(luò)資源,打破了傳統(tǒng)的物理隔離���,使得原有的管理環(huán)境復(fù)雜起來(lái)����。無(wú)論是基礎(chǔ)設(shè)施還是系統(tǒng)架構(gòu)��,都有可能隨著業(yè)務(wù)需求的變化而加大不確定性�����,為運(yùn)維提出了新的挑戰(zhàn)��。同時(shí)�����,私有云環(huán)境的設(shè)備和系統(tǒng)往往歸屬于不同的廠商�����,在對(duì)接整合時(shí)有著不少困難。
圖片來(lái)自SciTech Daily
企業(yè)加速上云的過(guò)程中����,私有云亦會(huì)為構(gòu)建在高度虛擬化基礎(chǔ)設(shè)施上的工作負(fù)載提供服務(wù)�����,這種方案在大規(guī)模云部署的趨勢(shì)中仍有相當(dāng)?shù)姆蓊~�����,尤其是在大型組織內(nèi)部�。當(dāng)網(wǎng)絡(luò)數(shù)據(jù)流在虛擬機(jī)之間傳輸,企業(yè)用戶對(duì)敏感信息和高級(jí)惡意軟件的監(jiān)視和控制能力會(huì)被削弱�����,此時(shí)就要借助關(guān)鍵安全控件或外部手段進(jìn)行干預(yù)��。私有云��,這個(gè)在外人看來(lái)相對(duì)安全的云方案�,也有其自身的弱點(diǎn)。
私有云對(duì)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的部署造成了挑戰(zhàn)��,其原因主要在于流量承載和業(yè)務(wù)匹配。流量方面�,服務(wù)器利用率的攀升使得端口流量對(duì)數(shù)據(jù)中心的網(wǎng)絡(luò)性能和可靠性提出了要求,而各類應(yīng)用在同一臺(tái)物理機(jī)上運(yùn)行時(shí)��,各自對(duì)流量的需求模型也是動(dòng)態(tài)多變的�。此外,業(yè)務(wù)虛擬化對(duì)虛擬機(jī)的遷移也是有要求的����,這就導(dǎo)致原有的安全策略不再適用于新的環(huán)境,需要?jiǎng)討B(tài)的匹配機(jī)制����。
私有云在桌面端的安全風(fēng)險(xiǎn)同樣不容忽視,除了由傳統(tǒng)終端漏洞帶來(lái)的潛在威脅�,對(duì)虛擬化環(huán)境所產(chǎn)生的跨域訪問(wèn)、多個(gè)虛擬機(jī)之間的資源調(diào)用和防護(hù)等仍有不足之處�����。以上只是VDI的終端風(fēng)險(xiǎn)����,從系統(tǒng)的層面來(lái)看,從服務(wù)器架構(gòu)到傳輸通道�����,再到客戶訪問(wèn)權(quán)限,漏洞可能存在于每個(gè)細(xì)節(jié)����。以用戶層為例,密碼驗(yàn)證對(duì)企業(yè)管理未免過(guò)于簡(jiǎn)單���,常見(jiàn)的方案可以用Ukey與SSL VPN組合認(rèn)證,配合MAC地址的限定�,防止非授權(quán)用戶闖入。
當(dāng)兩家大型公司發(fā)生并購(gòu)交易時(shí)�,雙方此前要是擁有兩個(gè)或以上數(shù)量的私有云,合并后在IT架構(gòu)層面的整合可能長(zhǎng)達(dá)數(shù)月����。如果再考慮到不同地理位置、不同業(yè)務(wù)單元的對(duì)接�,相互兼容的時(shí)間就會(huì)更久。通常���,私有云環(huán)境的租用應(yīng)該是唯一的�����,并且由一個(gè)云服務(wù)商來(lái)接管����,但實(shí)際情況并不總是這樣。
私有云環(huán)境有其特性所在�����,要依據(jù)實(shí)際情況來(lái)制定相應(yīng)的解決方案����。首先在網(wǎng)絡(luò)架構(gòu)層面,多租戶和多業(yè)務(wù)之間不僅要考慮隔離方案的可行性��,還要顧及到網(wǎng)絡(luò)的可擴(kuò)展性���,像物理防火墻就不再適用于當(dāng)前資源池的需求��。如果采用分布式虛擬化防火墻���,就可以對(duì)東西向流量進(jìn)行隔離,而縱向流量則可以利用NFV來(lái)解決���。
存儲(chǔ)方面�,除了在數(shù)據(jù)防護(hù)時(shí)加強(qiáng)機(jī)密性、完整性��、可用性的能力��,還要考慮到不同應(yīng)用所采用的加密算法對(duì)防護(hù)強(qiáng)度的不一致�����。通常�����,數(shù)據(jù)保護(hù)會(huì)在主機(jī)系統(tǒng)上完成���,再傳輸?shù)酱鎯?chǔ)網(wǎng)絡(luò)中。至于后端檢測(cè)�����,則要與主機(jī)獨(dú)立���,即使后者被入侵也能對(duì)存儲(chǔ)介質(zhì)進(jìn)行保護(hù)�����。在企業(yè)內(nèi)部����,一般會(huì)在關(guān)鍵路徑上部署檢測(cè)系統(tǒng),對(duì)讀寫操作進(jìn)行抓取���、統(tǒng)計(jì)���、分析,并且建立全域的查錯(cuò)機(jī)制�����,對(duì)特征庫(kù)既要實(shí)時(shí)更新���,也要及時(shí)告警��。
如今����,混合多云已經(jīng)成為企業(yè)無(wú)可回避之下的必然選擇��,隨著這場(chǎng)正在開(kāi)啟的企業(yè)IT架構(gòu)的全新進(jìn)化,企業(yè)應(yīng)該以什么樣的方式和路徑落地混合云成為關(guān)鍵����。對(duì)于已經(jīng)處于多云環(huán)境的先行者來(lái)說(shuō),多個(gè)云平臺(tái)�,以及需要在不同的供應(yīng)商之間跨云平臺(tái)及IT 環(huán)境加劇了管理的復(fù)雜性。同時(shí)多云環(huán)境還對(duì)企業(yè)內(nèi)部IT管理人員提出了更高的要求�����,要求他們掌握更多的技能�����,能夠合理制定企業(yè)云戰(zhàn)略����,確定優(yōu)先事項(xiàng)等���。
相較于私有云建設(shè)��,混合多云提供了更多的可能性����,對(duì)于那些上云態(tài)度較為謹(jǐn)慎的客戶來(lái)說(shuō),也是一種平衡的選擇��。
