日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

現(xiàn)代公共云環(huán)境給世界提供了無數(shù)可能。主流云服務(wù)(如：亞馬遜AWS、微軟Azure和谷歌云平臺(GCP))不僅有健壯的解決方案，其服務(wù)和功能還在不斷增加。

創(chuàng)新互聯(lián)是一家專注于成都網(wǎng)站設(shè)計、做網(wǎng)站與策劃設(shè)計,肅北網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)十余年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:肅北等地區(qū)。肅北做網(wǎng)站價格咨詢:028-86922220

時至今日，81%的公司企業(yè)與多家云服務(wù)提供商(CSP)合作。

采用多云戰(zhàn)略的原因各不相同：可能是想在另一個云平臺上創(chuàng)建災(zāi)難恢復(fù)(DR)，或者按最適宜的云服務(wù)來平衡工作負(fù)載，也可能是公司并購的產(chǎn)物。無論多云環(huán)境是如何引入的，保護(hù)多云平臺的安全始終是擺在公司企業(yè)面前的一大挑戰(zhàn)。

云供應(yīng)商爭先恐后地補齊自己的功能短板，并努力在產(chǎn)品上出新出彩，以求吸引并留住客戶。他們的安全服務(wù)發(fā)展很快，能跨不同安全領(lǐng)域提供強大的安全功能，但安全功能的實現(xiàn)方式卻多種多樣。有些服務(wù)可能看起來差不多，但細(xì)微的差異也能導(dǎo)致安全問題和配置錯誤。

多云部署中安全公司會面臨哪些挑戰(zhàn)呢?

1. 不同供應(yīng)商引入不同賬戶模式

***個挑戰(zhàn)就出現(xiàn)在部署之初：每個云供應(yīng)商都有自己的一套獨特的賬戶管理模式。安全公司常需將資源匹配給云供應(yīng)商的客戶。為此，他們必須理解需應(yīng)用的正確權(quán)限模式。使用多個異構(gòu)CSP的情況下，此項任務(wù)就頗具挑戰(zhàn)性了。

AWS模式基于云賬戶，可以將賬戶分配給某個公司，讓用戶來指定的計費和策略繼承。

GCP基于項目。任何GCP資源都必須屬于某個項目。項目放置在目錄中，支持多級目錄。

Azure基于訂閱，一個賬戶可以包含多個訂閱。Azure資源被分組為資源組，按訂閱管理。

雖然這些不同的概念相互關(guān)聯(lián)，但還是存在可以影響到安全的細(xì)微差別。要理解資源層級，就需知道該應(yīng)用哪種安全模型。

2. 控制不同平臺上的安全組

IT工程師積累了數(shù)十年的私有網(wǎng)絡(luò)經(jīng)驗。但雖然實體域控制器(DC)中他們控制從電纜到應(yīng)用的一切東西，在云環(huán)境下，卻是亞馬遜、微軟和谷歌控制著物理層，并創(chuàng)建了運行在虛擬網(wǎng)絡(luò)上的不同服務(wù)。云解決方案使用的路由模型不同于DC所用的，不同云解決方案使用的模型也各不相同。DC的網(wǎng)絡(luò)防火墻嵌入到基礎(chǔ)設(shè)施即安全組(SG)里，而SG之間各有不同。

AWS SG 包含入站和出站流量規(guī)則，都是些“允許”規(guī)則，作為白名單起到流量放行作用。用戶可以將多個SG接入每個彈性計算云(EC2)實例(實際上是彈性網(wǎng)絡(luò)接口(ENI))，每個安全組的規(guī)則被有效聚合，創(chuàng)建出一整套規(guī)則。SG可被應(yīng)用到不同實體，包括實例或負(fù)載平衡器之類的托管服務(wù)。

Azure網(wǎng)絡(luò)安全組(NSG)和谷歌彈性計算云(GCP) SG 提供的體驗更近似經(jīng)典防火墻，擁有允許和禁止兩張規(guī)則列表。規(guī)則的順序很重要：高優(yōu)先級規(guī)則控制著流量是允許還是禁止的決策權(quán)。Azure只允許一臺虛擬機(jī)有一個NSG，而NSG也可應(yīng)用到連接虛擬機(jī)的子網(wǎng)或網(wǎng)絡(luò)接口(NIC)上。GCP安全組基于標(biāo)簽，允許將規(guī)則附加到虛擬機(jī)之類資產(chǎn)上。

創(chuàng)建網(wǎng)絡(luò)時需得考慮到實現(xiàn)正確模型的需求。Azure中規(guī)則優(yōu)先級設(shè)置錯誤，可能導(dǎo)致流量被誤允許。AWS中的虛擬機(jī)若被指派了多個安全組，原始SG拒絕掉的流量就有可能被誤允許。主要與AWS打交道的工程師可以修改拒絕優(yōu)先規(guī)則并阻止對服務(wù)的訪問(或者，在不應(yīng)該暴露服務(wù)的情況下將其暴露到互聯(lián)網(wǎng)上)。配置安全需要清醒的頭腦，總在不同部署中間切換的IT工程師就很容易出錯。

3. 云中虛擬網(wǎng)絡(luò)的行為模式不同

進(jìn)一步深入到網(wǎng)絡(luò)層。AWS虛擬專用云(VPC)子網(wǎng)可以是私有的，也可以是公共的;連接互聯(lián)網(wǎng)網(wǎng)關(guān)(IGW)就是公共的。只有公共子網(wǎng)允許自身部署的資源訪問互聯(lián)網(wǎng)。Azure VNet 沒有私有或公共子網(wǎng);連接VNet的資源默認(rèn)可以訪問互聯(lián)網(wǎng)。習(xí)慣了AWS的工程師依賴AWS來阻止實例訪問互聯(lián)網(wǎng)。但在Azure上創(chuàng)建DR站點時，工程師就得顯式阻止互聯(lián)網(wǎng)訪問了。上下文切換問題可能是有危險的。

AWS組網(wǎng)中的另一個問題與網(wǎng)絡(luò)訪問控制(NACL)有關(guān)。NACL檢測流量出入子網(wǎng)情況，運行在子網(wǎng)層級，而SG運行在虛擬機(jī)層級(實際上是彈性網(wǎng)絡(luò)接口層)。NACL是無狀態(tài)的，也就是說幾百年入站流量被允許了，其響應(yīng)也未必就自動允許——除非子網(wǎng)規(guī)則中顯示允許。AWS提供的下列圖表闡明了跨不同安全層的流量流。

Azure和GCP不采用NACL的概念，于是從這些平臺遷移到AWS的工程師常常搞不清楚為什么SG中明明允許了的流量還會被封堵了。

一些建議

以上例子還只是多云解決方案帶給我們的真實體驗與挑戰(zhàn)當(dāng)中的一小部分。成為一個云平臺的專家就需要很多時間的磨練，在多云環(huán)境下工作就更困難更容易出錯了。為減小風(fēng)險，可以遵循以下建議：

• 自動化過程。人工改動容易出錯;自動化可以減少出錯概率。
• 采購跨云系統(tǒng)。提供不同云平臺上的抽象和類似體驗的解決方案，可以消除上下文切換的問題。
• 采納改動審核機(jī)制。

【本文是專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

新聞名稱：多云環(huán)境下安全面臨的概念性及技術(shù)性挑戰(zhàn)
本文路徑：http://www.5511xx.com/article/djpecii.html