虚拟化让资源边界变得模糊,动态扩展了计算、存储、网络资源,打破了传统的物理隔离,使得原有的管理环境复杂起来。无论是基础设施还是系统架构,都有可能随着业务需求的变化而加大不确定性,为运维提出了新的挑战。同时,私有云环境的设备和系统往往归属于不同的厂商,在对接整合时有着不少困难。
图片来自SciTech Daily
企业加速上云的过程中,私有云亦会为构建在高度虚拟化基础设施上的工作负载提供服务,这种方案在大规模云部署的趋势中仍有相当的份额,尤其是在大型组织内部。当网络数据流在虚拟机之间传输,企业用户对敏感信息和高级恶意软件的监视和控制能力会被削弱,此时就要借助关键安全控件或外部手段进行干预。私有云,这个在外人看来相对安全的云方案,也有其自身的弱点。
私有云对传统网络架构的部署造成了挑战,其原因主要在于流量承载和业务匹配。流量方面,服务器利用率的攀升使得端口流量对数据中心的网络性能和可靠性提出了要求,而各类应用在同一台物理机上运行时,各自对流量的需求模型也是动态多变的。此外,业务虚拟化对虚拟机的迁移也是有要求的,这就导致原有的安全策略不再适用于新的环境,需要动态的匹配机制。
私有云在桌面端的安全风险同样不容忽视,除了由传统终端漏洞带来的潜在威胁,对虚拟化环境所产生的跨域访问、多个虚拟机之间的资源调用和防护等仍有不足之处。以上只是VDI的终端风险,从系统的层面来看,从服务器架构到传输通道,再到客户访问权限,漏洞可能存在于每个细节。以用户层为例,密码验证对企业管理未免过于简单,常见的方案可以用Ukey与SSL VPN组合认证,配合MAC地址的限定,防止非授权用户闯入。
当两家大型公司发生并购交易时,双方此前要是拥有两个或以上数量的私有云,合并后在IT架构层面的整合可能长达数月。如果再考虑到不同地理位置、不同业务单元的对接,相互兼容的时间就会更久。通常,私有云环境的租用应该是唯一的,并且由一个云服务商来接管,但实际情况并不总是这样。
私有云环境有其特性所在,要依据实际情况来制定相应的解决方案。首先在网络架构层面,多租户和多业务之间不仅要考虑隔离方案的可行性,还要顾及到网络的可扩展性,像物理防火墙就不再适用于当前资源池的需求。如果采用分布式虚拟化防火墙,就可以对东西向流量进行隔离,而纵向流量则可以利用NFV来解决。
存储方面,除了在数据防护时加强机密性、完整性、可用性的能力,还要考虑到不同应用所采用的加密算法对防护强度的不一致。通常,数据保护会在主机系统上完成,再传输到存储网络中。至于后端检测,则要与主机独立,即使后者被入侵也能对存储介质进行保护。在企业内部,一般会在关键路径上部署检测系统,对读写操作进行抓取、统计、分析,并且建立全域的查错机制,对特征库既要实时更新,也要及时告警。
如今,混合多云已经成为企业无可回避之下的必然选择,随着这场正在开启的企业IT架构的全新进化,企业应该以什么样的方式和路径落地混合云成为关键。对于已经处于多云环境的先行者来说,多个云平台,以及需要在不同的供应商之间跨云平台及IT 环境加剧了管理的复杂性。同时多云环境还对企业内部IT管理人员提出了更高的要求,要求他们掌握更多的技能,能够合理制定企业云战略,确定优先事项等。
相较于私有云建设,混合多云提供了更多的可能性,对于那些上云态度较为谨慎的客户来说,也是一种平衡的选择。