抖音技术能力大揭密!钜惠大礼、深度体验,尽在火山引擎增长沙龙,就等你来! 立即报名>> 了解详情
写点什么

一种混合型云计算安全架构

2009 年 5 月 24 日

拜迅猛发展的 IT 所赐,如今在企业的“自行开发还是购买产品”的选单上又多了一个“是否将其放入云中”的选项。不论你是喜欢还是厌恶,云计算正以其自己的步调走进我们的生活,走进各大企业。与此同时,围绕其安全性的争论也从未停息。“云是不安全的”,这似乎得到了大多数人的认同,然而 Mike Kavis 却认为这个观点值得商榷。在其 2 月份的博文事实还是臆断:云中的监管和安全中对 5 种“常识”进行了讨论,并称它们全部都是主观臆断:

  1. 云计算是不安全的。
  2. 云计算不可能像内部数据中心那样安全。
  3. 云计算无法得到监管,因为在映像收缩时日志文件会消失。
  4. 云计算无法满足我们的需求,因为我们的客户不让他们的数据离开他们的国家。
  5. 我们必须向云中转移,否则就会失去竞争力。

Mike Kavis 并未否认以上各项的确是个问题,但是他反对的是不经过大脑的“想当然”。正如文中所说:

这和你在公司总部为一个内部数据中心构建系统毫无分别。你不可能只花钱购买服务器就能获得安全和管理,你必须为此而进行设计!

在他看来,大多数臆断都是可以应用架构最佳实践和合理的策略得到解决的问题。这是一篇非常值得一读的文章,有兴趣的读者可以访问这里

在今年 5 月,Mike Kavis 在其博客上分享了他们团队在这一方面的经验。这是一个由公共云和虚拟私有云(VPC)组成的混合云,其目的是为了保护敏感数据和满足监管需求。这种混合云有两种模型:

在 Public Master 模型中:

所有进入云的数据都要进行加密,和我们交互的每个合作伙伴 / 客户都必须在每条消息中向我们传递他们各自的安全密钥。我们则用我们安全层中的私有密钥对来验证他们的密钥。之后,在公共云中,所有数据从主数据库复制到从数据库中。同样,通过云间连接,所有数据被复制到私有云中的主从数据库中。云间连接相当于云之间的虚拟专用网,其中只有某些弹性 IP 被允许进行通信。同上面一样,每次传输都要使用加密和安全协议。

因此,在这个模型中,我们利用公共云中低成本的计算周期来完成实时处理,同时又连续地将重要数据传给位于 VPC 的物理硬件。这让我们提供了额外的安全级别,满足了各种法规的需求。VPC 可被用来完成监管、备份和恢复、业务连续性,以及审计。

另一个问题说明了系统级别日志的处理。伴随弹性的一个问题是,当你因需求降低而卸载映像时,所有这些映像上的日志会丢失。这就是我为什么推荐主 / 从系统日志策略的原因,所有日志从公共云复制到 VPC 中。这有两个好处。其一,可以让公共云中的日志大小保持很小,提高了性能,因为日志被复制到了 VPC 中。其二,映像卸载时不会丢失日志,从而可以满足法规的需要。此外,你可以在 VPC 中存储大量的数据,因为它无需进行极端密集的 CPU 处理。

VPC Master 模型和 Public Master 在加密方面的特性非常类似,只不过是数据先进入 VPC,再进入公共云。对于这两种模型,Mike Kavis 认为它们具有相等的安全性。至于如何取舍,他给出了他的建议:

  • 如果数据在存放位置上有要求,且公共云在指定位置没有数据中心,那么就必须选择 VPC。
  • 如果资金不成问题,那就在私有云上多下功夫。因为这会让客户、合作伙伴和审计员觉得更安全。
  • 如果关心成本,Public Master 是当然的选择。
  • 如果性能是重点,那你就必须在其中一个云上花大力气,然后连续给另一个云传递数据。

在文末,Mike Kavis 承认单靠这一架构无法解决所有的安全问题。但他又指出,其他安全问题的解决方案跟当今内部应用的解决方案没什么太大的分别。详细的内容请阅读原文

2009 年 5 月 24 日 13:261751
用户头像

发布了 255 篇内容, 共 47.6 次阅读, 收获喜欢 4 次。

关注

评论

发布
暂无评论
发现更多内容

2021Java面试笔试总结!Flutter中的widget

Geek_f90455

Java 程序员 面试 后端

Java开发6年了,你确定你真的理解_双亲委派_了吗?

程序猿一枚

Java 程序员 面试 后端

15个经典面试问题,如何设计一个百万级用户的抽奖系统?

Geek_f90455

Java 程序员 面试 后端

2021Java进阶新篇章,狂刷1个月Java面试题

Geek_f90455

Java 程序员 面试 后端

Java开发入门教程!你技术这么好,总要改变点什么把

程序猿一枚

Java 程序员 面试 后端

IDEA下载及新建第一个Java项目(Helloworld)

Bob

八月日更

Linux之at命令

入门小站

Linux

12道Java高级面试题:瞧一瞧

Geek_f90455

Java 程序员 面试 后端

Java入门你值得拥有!同一个Spring-AOP的坑

JVM调优资料

Java 程序员 面试 后端

Java工作资料!Java开发基础知识学习总结之(上

程序猿一枚

Java 程序员 面试 后端

前端之数据结构(一)

Augus

数据结构 八月日更

Java小技巧:Oracle存储过程常用技巧

程序猿一枚

Java 程序员 面试 后端

2021非科班生的Java面试之路,set集合

JVM调优资料

Java 程序员 面试 后端

29岁vivo员工吐槽:万达保安“苦修Java

JVM调优资料

Java 程序员 面试 后端

iOS开发:解决App进入后台,倒计时(定时器)不能正常计时的问题

三掌柜

8月日更 8 月日更 8月

Java基础入门教程!Java垃圾回收机制小结以及优化建议

程序猿一枚

Java 程序员 面试 后端

2021Java大厂高频面试题:Redis面试题及答案整理

Geek_f90455

Java 程序员 面试 后端

2021Java面试总结!再见笨重的ELK

Geek_f90455

Java 程序员 面试 后端

GitHub标星8k!你以为在做的是微服务?不

JVM调优资料

Java 程序员 面试 后端

Java入门视频教程!什么是JVM?

程序猿一枚

Java 程序员 面试 后端

Java小程序开发实例!docker容器启动后修改或添加端口

程序猿一枚

Java 程序员 面试 后端

graphql计算指令之@skipBy和@includeBy:使用表达式实现简单控制流

杜艮魁

开源 后端 低代码 graphql

编程的世界有点神奇

Nydia

2021程序员进阶宝典!Java程序员:

JVM调优资料

Java 程序员 面试 后端

在线手机号码上标生成工具

入门小站

工具

2021必看!热榜!基于jsp

JVM调优资料

Java 程序员 面试 后端

路边的小店

箭上有毒

8 月日更

IBM大面积辞退40岁+的员工,Java泛型详解

JVM调优资料

Java 程序员 面试 后端

Java并发原理解析!我们来捋一捋JAVA的异常

程序猿一枚

Java 程序员 面试 后端

2021年您应该知道的技术之一!MySQL最全整理

Geek_f90455

Java 程序员 面试 后端

Github标星5.3K,YGC问题排查,又让我涨姿势了

JVM调优资料

Java 程序员 面试 后端

Study Go: From Zero to Hero

Study Go: From Zero to Hero

一种混合型云计算安全架构-InfoQ