混合云安全

Posted 2020-07-14

混合云定义

美国国家标准与技术研究所（NIST）将混合云定义为至少一种私有云和至少一个公有云的合成物。混合云通常以一下两种方式之一来提供：私有云厂商和公有云提供商成为合作伙伴，或者公有云提供商同私有云厂商结盟。

 

混合云融合了公有云和私有云，是近年来云计算的主要模式和发展方向。我们已经知道私有云主要是面向企业用户，出于安全考虑，企业更愿意将数据存放在私有云中，但是同时又希望可以获得公有云的计算资源，在这种情况下混合云被越来越多的采用，它将公有云和私有云进行混合和匹配，以获得最佳的效果，这种个性化的解决方案，达到了既省钱又安全的目的。

混合云优势

混合云的核心思想是为了兼具私有云的安全性和公有云的资源弹性。

私有云的安全性超过公有云，而公有云的计算资源又是私有云无法企及的，而混合云完美的解决了这一问题，既可以利用私有云的安全，将内部重要数据保存在本地数据中心，同时，也可以使用公有云的计算资源，弹性高效的完成工作，降低了成本。

混合云主流架构

总体来讲，过内外主流云厂商解决混合云布局，都才有了VPC和专线（或VPN）方式。

1、阿里VPC：

专有网络（ VirtualPrivate Cloud ），可基于阿里云构建出一个隔离的网络环境。企业可以完全掌控自己的虚拟网络，包括选择自有 IP 地址范围、划分网段、配置路由表和网关等。

专线/ VPN方式用于将 VPC 与传统数据中心组成一个按需定制的网络环境，实现应用的平滑迁移上云。基于阿里云遍布各地的公共云服务以及顶级的基础网络环境，VPC的推出提供了统一、安全与便捷的混合云体验。

2、腾讯：内网级混合云架构

黑石物理服务器：独享高性能物理服务器,提供完全的物理设备控制权限和全栈式物理设备运维服务。让用户摆脱设备采购、上架、安装、运维等事务性工作、还能按需购买、按月计费降低一次性IT成本投入。物理服务器和云服务器内网互通,可构建内网级混合云,实现快速、灵活扩容，帮你轻松应对节假日、活动高峰请求。

专线接入：独享、稳定、可靠的大流量专线接入服务。本地接入点覆盖十余主力城市、一次接入即可与腾讯云内网互联、全网络双线热备份单条故障不影响专线正常运行。轻松构建混合云架构。

安全：混合云在网络层面上将私有云和公有云进行了连接，如果发生网络故障或者攻击，服务商需要有能力保障网络间故障不会相互影响，将攻击或者故障限制在一定范围之内。

腾讯云的方案在传输层提供了有状态的基于单主机的网络访问控制（安全组），在网络层提供了无状态的基于VPC子网的网络访问控制（网络ACL）。

监控更多需要体现业务管理的闭环，通过展示网络连接的实时流量、延时、丢包数据，用户可以针对数据做告警策略反馈异常。

混合云安全问题

1. 如何确保本地数据中心的资源安全

2. 如何确保向公有云迁移的大量应用的安全

涉及具体应用功能，通用做法：通过制定策略配置、访问控制、加密等；

• 发现并修复安全漏洞并形成报告

•  避免安全漏洞被成功利用

• 控制漏洞被成功利用所造成的损失

• 如何确保存储在多家云服务商上数据的安全

 

 3.如何保护公有云和私有云的虚拟化基础

 4.如何确保接入云基础设施的移动设备安全

混合云安全通用应对

2015年4月1日，国家颁布了GB/T31167-2014《信息安全技术云计算服务安全指南》和GB/T 31168-2014《信息安全技术云计算服务安全能力要求》两个旨在评估云服务安全性的国家标准。混合云作为一种云部署方案，除要满足以上两个标准外，还更偏向于私有云的更高安全性、合规性要求。

1. 逐步提高用户的受培训程度和加强与他们的沟通。

让我们的客户了解应与我们共同承担的责任——通过尽可能坦率的对话来讨论他们如何安全地访问他们的数据。

2.使用更强大的身份验证方法来保护云访问。

身份认证、授权和身份认证管理需要在公有云和私有云中共同工作。仅要一个用户名和密码就能够任意使用你的所有资源时过于简单，可采用多模式身份验证方法(MFA)和单点登陆方法(SSO)、联合身份认证，以更好地保护用户的资产。

3. 数据传输加密和静态数据存储加密

现有混合云的两种部署方案，不管是内网VPC，还是专线方式，都是网络层面进行连接，因此必然涉及到数据传输安全问题。除数据中心原有的数据进行加密外，传输过程加密也是重中之重。这包括文件、邮件的传输存储，数据的操作、数据的缓存加密等。

VPC高速通道专线接入和第三方安全厂商VPN公网接入两种方式都是混合云安全传输的模式，两种方式有各自的使用场景。VPC高速通道特点是速度快、稳 定、延时低，非常适合对带宽、速度和稳定些要求很高，需要长时间传输大批量数据的用户。VPN公网接入的特点是数据自主加密、使用方便、价格低廉、实施时 间短，适合对价格敏感、数据传输量小、线路质量要求一般的客户。

4. 实施更好的访问角色定义以控制虚拟机(VM)。

随着用户部署越来越多的虚拟基础设施，您需要加强保护措施以保护用户对虚拟机的访问。诸如 HyTrust和Catbird产品可以用于部署更细粒度的访问控制，如用户可以运行驻留在虚拟机中的应用，而无法启动、停止或删除整个虚拟机。

这些工具不仅可以在数据中心内运行，而且可以在云中正常工作。这些技术还可用于对访问进行日志记录，就如同其它拥有基于角色访问控制的安全工具产品一样。

5. 安全管理可控、可视化

6.定义合理的服务等级协议

混合云中对服务等级协议提前协商好，明确各自应负的责任和所需达到的标准。

总结

混合云实质上实现了公有云和私有云的网络连接，它的安全涉及到共有云原有安全策略和私有云更高一些的安全策略，私有云的安全防护不能因为接入共有云而降级，相反，在不违反各自的SLA的前提下，在连接的点最好设置安全网关、防火强等设备，保证内网或专线的网路传输防护，并设置安全策略保护数据中心或者私有云的数据安全。