多云管理与安全架构迁移
日期:2020-12-14 09:26:34 发布人:dzxy 浏览量:843
导读:一、商业需求不明朗根据Gartner的定义,云意味着一个企业同时拥有两个或更多云计算平台,并且在部署时可以使用公共云、私有云或两者的某种组合。用户的业务需求主要集中在以下
一、商业需求不明朗
根据Gartner的定义,云意味着一个企业同时拥有两个或更多云计算平台,并且在部署时可以使用公共云、私有云或两者的某种组合。
对于国内公共云供应商,需要支持阿里云、滕循和华为云。对于外国公共云供应商,AWS、Azure和googleCloud需要与VMware、openstack、X-stack(公共云)和其他2个平台兼容。异构资源管理
虚拟机、容器、服务网格等基础设施(计算实例、存储、网络、安全)和应用资源(OpenAPI)服务安排(自动化模板)的统一管理。高速互联网接入和跨平台联合网络管理。计量和计费
通过资源优化和账单估算进行成本管理云计算费用报告和预算4。操作和维护监控
有必要支持跨云协调功能,并提供不同云服务性能的可见性,以监控基础架构(计算实例、存储、网络、安全)和应用程序的性能。云服务迁移(自动执行某些维护任务,例如将工作负载从一个云动态移动到另一个云)5。安全管理
安全性,包括针对云环境基础架构的身份管理和数据保护/加密安全任务批准工作流,以及策略合规性审核二,云业务安全体系结构
首先,让我们分享一下云安全架构的全景。
让我们从云基础架构开始:
首先,云基础设施建议选择Kubernetes自动编排和Pod容器部署,不要尽可能多地选择虚拟机,因为虚拟机无法编排其他公共云的网络,也无法实施更灵活的网络隔离策略。尽管谷歌正试图重新定义云市场中使用的策略,但同样,像这种想法的用户并不受单一云的限制,开源是免费的。将多云的OpenAPI管理与容器布局管理分开。云OpenAPI管理需要屏蔽底层云的差异,创建云主机、基础网络和存储等基础设施。集装箱布局系统负责更高的管理要求(第一点)。部署在本地的Kubernetes需要与中央控制中心分开。这个独立的层可以帮助用户快速迁移和部署。使用lstio标准的网络体系结构是统一和不透明的。借助标准的云基础架构,我们的安全基础架构易于规划。就我个人而言,我认为每个家庭的云管理系统的差异主要体现在基本安全部分,应用安全部分可以使用多种产品。
1.如果我们使用Kubernetes和Pod作为底层架构,那么我们的云基础设施安全实际上是基于容器安全的。然后需要建立基于集装箱的安全生态。
(1)对于基本功能模型中的镜像仓库,我们需要扫描镜像仓库以确保进入整个安全平台的镜像是安全的。
必须能够发布和扫描上传的集装箱图像,完成操作系统和软件的已知CVE漏洞的在线检查功能,并输出报告。有必要对上传的容器进行镜像,对其关键位置文件进行病毒木马检测和网络外壳检测,并输出报告。有必要对上传的容器进行镜像,检测其关键位置文件的敏感信息,并输出报告。(2)库伯内特和波德需要基线检查。当然,一些基线配置需要在云管理平台端设置。这部分实际上已经过CIS_Kubernetes_benchmark标准的测试。
(3)集装箱在运行过程中是安全的,在集装箱运行过程中需要对非信用流程、文件和网络连接进行限制。同时,链接停止或删除容器来控制网络连接。形成集装箱安全管理的闭环。
2.云基础设施容器是安全的,需要托管在主机上(例如云主机、裸机服务器、物理服务器)。因此,主机安全需要支持在上述任何环境中的安装。
3.为了更好的了解整个云集群的运行状态,Kubernetes日志审计系统也是云基础安全的必要功能之一。
4.最后,能够访问云管理系统的公司必须具有复杂的组织结构,这需要多个人员的协调来完成安全操作的闭环。
多云应用安全组
1.耐多云天气和多云天气
许多游戏公司已经集成了很长时间的云反D解决方案。几年前,国际象棋和纸牌游戏。公共云解决方案不能工作,立即通过调度系统切换或通过HTTPDNS自动切换。确保游戏业务的可用性。Cloud WAF也是一个真理。
2.自动错过扫描服务和安全人群测量
在多云的场景中,您可以选择购买多个自动漏洞扫描工具,以获得不同的漏洞扫描报告。同时,国内大部分公共云都可以按次计费,便于在特定场景下实施(如再保险、业务系统在线、日常安全检查等)。)。
再谈安全人群监控,事实上,安全人群监控在安全圈并不是一个新概念,但随着对云安全概念的重新粉饰,它将得到极大的应用。毕竟,阴天的核心理念是获得各种制造商的安全能力。
一、商业需求不明朗
根据Gartner的定义,云意味着一个企业同时拥有两个或更多云计算平台,并且在部署时可以使用公共云、私有云或两者的某种组合。
对于国内公共云供应商,需要支持阿里云、滕循和华为云。对于外国公共云供应商,AWS、Azure和googleCloud需要与VMware、openstack、X-stack(公共云)和其他2个平台兼容。异构资源管理
虚拟机、容器、服务网格等基础设施(计算实例、存储、网络、安全)和应用资源(OpenAPI)服务安排(自动化模板)的统一管理。高速互联网接入和跨平台联合网络管理。计量和计费
通过资源优化和账单估算进行成本管理云计算费用报告和预算4。操作和维护监控
有必要支持跨云协调功能,并提供不同云服务性能的可见性,以监控基础架构(计算实例、存储、网络、安全)和应用程序的性能。云服务迁移(自动执行某些维护任务,例如将工作负载从一个云动态移动到另一个云)5。安全管理
安全性,包括针对云环境基础架构的身份管理和数据保护/加密安全任务批准工作流,以及策略合规性审核二,云业务安全体系结构
首先,让我们分享一下云安全架构的全景。
让我们从云基础架构开始:
首先,云基础设施建议选择Kubernetes自动编排和Pod容器部署,不要尽可能多地选择虚拟机,因为虚拟机无法编排其他公共云的网络,也无法实施更灵活的网络隔离策略。尽管谷歌正试图重新定义云市场中使用的策略,但同样,像这种想法的用户并不受单一云的限制,开源是免费的。将多云的OpenAPI管理与容器布局管理分开。云OpenAPI管理需要屏蔽底层云的差异,创建云主机、基础网络和存储等基础设施。集装箱布局系统负责更高的管理要求(第一点)。部署在本地的Kubernetes需要与中央控制中心分开。这个独立的层可以帮助用户快速迁移和部署。使用lstio标准的网络体系结构是统一和不透明的。借助标准的云基础架构,我们的安全基础架构易于规划。就我个人而言,我认为每个家庭的云管理系统的差异主要体现在基本安全部分,应用安全部分可以使用多种产品。
1.如果我们使用Kubernetes和Pod作为底层架构,那么我们的云基础设施安全实际上是基于容器安全的。然后需要建立基于集装箱的安全生态。
(1)对于基本功能模型中的镜像仓库,我们需要扫描镜像仓库以确保进入整个安全平台的镜像是安全的。
必须能够发布和扫描上传的集装箱图像,完成操作系统和软件的已知CVE漏洞的在线检查功能,并输出报告。有必要对上传的容器进行镜像,对其关键位置文件进行病毒木马检测和网络外壳检测,并输出报告。有必要对上传的容器进行镜像,检测其关键位置文件的敏感信息,并输出报告。(2)库伯内特和波德需要基线检查。当然,一些基线配置需要在云管理平台端设置。这部分实际上已经过CIS_Kubernetes_benchmark标准的测试。
(3)集装箱在运行过程中是安全的,在集装箱运行过程中需要对非信用流程、文件和网络连接进行限制。同时,链接停止或删除容器来控制网络连接。形成集装箱安全管理的闭环。
2.云基础设施容器是安全的,需要托管在主机上(例如云主机、裸机服务器、物理服务器)。因此,主机安全需要支持在上述任何环境中的安装。
3.为了更好的了解整个云集群的运行状态,Kubernetes日志审计系统也是云基础安全的必要功能之一。
4.最后,能够访问云管理系统的公司必须具有复杂的组织结构,这需要多个人员的协调来完成安全操作的闭环。
多云应用安全组
1.耐多云天气和多云天气
许多游戏公司已经集成了很长时间的云反D解决方案。几年前,国际象棋和纸牌游戏。公共云解决方案不能工作,立即通过调度系统切换或通过HTTPDNS自动切换。确保游戏业务的可用性。Cloud WAF也是一个真理。
2.自动错过扫描服务和安全人群测量
在多云的场景中,您可以选择购买多个自动漏洞扫描工具,以获得不同的漏洞扫描报告。同时,国内大部分公共云都可以按次计费,便于在特定场景下实施(如再保险、业务系统在线、日常安全检查等)。)。
再谈安全人群监控,事实上,安全人群监控在安全圈并不是一个新概念,但随着对云安全概念的重新粉饰,它将得到极大的应用。毕竟,阴天的核心理念是获得各种制造商的安全能力。