一种混合型云计算安全架构

  • 胡键

2009 年 5 月 24 日

话题:SOA安全架构云计算DevOps语言 & 开发

拜迅猛发展的 IT 所赐,如今在企业的“自行开发还是购买产品”的选单上又多了一个“是否将其放入云中”的选项。不论你是喜欢还是厌恶,云计算正以其自己的步调走进我们的生活,走进各大企业。与此同时,围绕其安全性的争论也从未停息。“云是不安全的”,这似乎得到了大多数人的认同,然而Mike Kavis却认为这个观点值得商榷。在其 2 月份的博文事实还是臆断:云中的监管和安全中对 5 种“常识”进行了讨论,并称它们全部都是主观臆断:

  1. 云计算是不安全的。
  2. 云计算不可能像内部数据中心那样安全。
  3. 云计算无法得到监管,因为在映像收缩时日志文件会消失。
  4. 云计算无法满足我们的需求,因为我们的客户不让他们的数据离开他们的国家。
  5. 我们必须向云中转移,否则就会失去竞争力。

Mike Kavis 并未否认以上各项的确是个问题,但是他反对的是不经过大脑的“想当然”。正如文中所说:

这和你在公司总部为一个内部数据中心构建系统毫无分别。你不可能只花钱购买服务器就能获得安全和管理,你必须为此而进行设计!

在他看来,大多数臆断都是可以应用架构最佳实践和合理的策略得到解决的问题。这是一篇非常值得一读的文章,有兴趣的读者可以访问这里

在今年 5 月,Mike Kavis 在其博客上分享了他们团队在这一方面的经验。这是一个由公共云和虚拟私有云(VPC)组成的混合云,其目的是为了保护敏感数据和满足监管需求。这种混合云有两种模型:

在 Public Master 模型中:

所有进入云的数据都要进行加密,和我们交互的每个合作伙伴 / 客户都必须在每条消息中向我们传递他们各自的安全密钥。我们则用我们安全层中的私有密钥对来验证他们的密钥。之后,在公共云中,所有数据从主数据库复制到从数据库中。同样,通过云间连接,所有数据被复制到私有云中的主从数据库中。云间连接相当于云之间的虚拟专用网,其中只有某些弹性 IP 被允许进行通信。同上面一样,每次传输都要使用加密和安全协议。

因此,在这个模型中,我们利用公共云中低成本的计算周期来完成实时处理,同时又连续地将重要数据传给位于 VPC 的物理硬件。这让我们提供了额外的安全级别,满足了各种法规的需求。VPC 可被用来完成监管、备份和恢复、业务连续性,以及审计。

另一个问题说明了系统级别日志的处理。伴随弹性的一个问题是,当你因需求降低而卸载映像时,所有这些映像上的日志会丢失。这就是我为什么推荐主 / 从系统日志策略的原因,所有日志从公共云复制到 VPC 中。这有两个好处。其一,可以让公共云中的日志大小保持很小,提高了性能,因为日志被复制到了 VPC 中。其二,映像卸载时不会丢失日志,从而可以满足法规的需要。此外,你可以在 VPC 中存储大量的数据,因为它无需进行极端密集的 CPU 处理。

VPC Master 模型和 Public Master 在加密方面的特性非常类似,只不过是数据先进入 VPC,再进入公共云。对于这两种模型,Mike Kavis 认为它们具有相等的安全性。至于如何取舍,他给出了他的建议:

  • 如果数据在存放位置上有要求,且公共云在指定位置没有数据中心,那么就必须选择 VPC。
  • 如果资金不成问题,那就在私有云上多下功夫。因为这会让客户、合作伙伴和审计员觉得更安全。
  • 如果关心成本,Public Master 是当然的选择。
  • 如果性能是重点,那你就必须在其中一个云上花大力气,然后连续给另一个云传递数据。

在文末,Mike Kavis 承认单靠这一架构无法解决所有的安全问题。但他又指出,其他安全问题的解决方案跟当今内部应用的解决方案没什么太大的分别。详细的内容请阅读原文

SOA安全架构云计算DevOps语言 & 开发