《上云时租户需要配备怎样的瑞士军刀.pdf》由会员分享,可在线阅读,更多相关《上云时租户需要配备怎样的瑞士军刀.pdf(29页珍藏版)》请在三个皮匠报告上搜索。
1、上云时,租户需要配备怎样的“瑞士军刀”?首席科学家目录1.租户上云需要配备什么?2.租户上云的典型场景及应对3.云安宝的云安全实践一、租户上云需要配备什么?租户跟云平台该如何划分责任?Infrastructure as a ServiceIaaS数据应用中间件OS虚拟化服务器网络Platform as a ServicePaaS数据应用中间件OS虚拟化服务器网络Software as a ServiceSaaS数据应用中间件OS虚拟化服务器网络租户责任云服务商责任存储存储存储共有责任租户上云需要配备什么工具呢?云租户云服务商提供基础安全防DDoS入侵检测防火墙应用和数据都上云后,如何安全访问?
2、云平台的资源、账号、访问权限,如何统一管理?Apache、Mysql等中间件的使用、配置都正确了么?租户上云后还需要的能力虚拟化资源池物理资源池SaaSPaaSIaaS租户难道还需要买一堆盒子,自己组装解决方案?租户需要的是“瑞士军刀”!二、租户上云的典型场景及应对场景一:云上资产管理需要“云堡垒机”租户上云需要一款真正极致易用的资产管理工具,能够有效解决云上资产管理混乱、运维不透明的问题,呼唤“云堡垒机”的出现。云堡垒机必须具备哪些条件呢人员分工细化资产规模庞大权限粒度细分安全等级提高移动终端接入数据规模更大虚拟化技术公有云私有云混合云工作业绩评估自动化运维软件定义数据中心终端BYOD云堡垒
3、机具备的新特性云堡垒机是传统堡垒机超集虚拟机镜像分发手机运维和审计与云的接口打通IT资源监控集群、水平可扩展账号集中管理单点登录访问控制与授权操作审计新旧云堡垒机为什么不是传统堡垒机,而一定是“云堡垒机”?成本高体验差部署难n 运输成本:硬件设备需交通工具和人力运输。n 基础设施成本:需准备机房、机柜,电源,网线,Ip地址。n 售后成本:现场排查,更换设备时需邮寄。n 报废成本:资源浪费,还占据地方。n 硬件设备需来回运输。n 需要准备机房、机柜,电源,网线,Ip地址等基础设施。n 售后需现场排查,更换设备时需邮寄。n 设备报废,不仅浪费资源,还占据空间。n VPC内需要虚拟的堡垒机;硬件堡垒
4、机无法管理虚拟机n 多个机房、异地部署、集群部署时,需要运输设备,需要机房现场部署运维痛点:运维人员累成狗7*24小时值班紧急电话领导现场授权7*24小时值班,确保机房运转正常,运维人员累成狗。在机房的时候一切正常,一脚迈出机房,紧急支援电话响起,只能赶回机房。需要执行特权操作时,领导需要在场授权。口袋运维:运维不能只在PC上进行睡觉时度假时聚餐时随时随地运维虚拟化资源池物理资源池传统资源监控费时费力手动命令手动敲free、top等命令,查看性能、负载情况,费时费力。主机性能不透明主机性能咋样!我登录主机看看不能实时掌握主机性能情况。后知后觉出了故障,业务中断,才知道是性能或可靠性导致。轻量级
5、、一站式的监控租户上云需要轻量级、一站式的资源监控,不仅能对基础的CPU、内存、硬盘、网络进行监控,还应对中间件状态、系统账号异动进行监控。基础状态网络状态中间件&应用进出流量端口协议进程状态中间件状态系统账号变化CPU内存硬盘Scale Out集群管理当云上资产达到一定规模后,单机已经不能满足业务上的需求,云上更需要集群。而传统集群的部署往往复杂且价格昂贵,云上需要一种傻瓜式且廉价的集群管理,租户只要动动鼠标即可完成一个集群的创建和部署。云上大规模资产的特点云上集群的优势机房多资源多跨云部署混合组网阿里云腾讯云华为云部署简单跨云管理弹性好统一管控场景二:如何安全、方便的远程访问?应用和数据上
6、云后,需要能够安全、快捷的访问这些应用和数据。但实际过程中面临的挑战有:如何防止有风险的URL对租户的侵害?如何防止云上的数据被窃取?如何防止云上的业务系统的恶意攻击?桌面应用如何在移动端进行访问?Remote Browser访问隔离通过应用发布的方式,使用远程的Browser进行应用、数据的访问,它的优势是:有风险的URL只在Remote Browser上运行,不会侵害到用户的终端 Remote Browser运行在Docker环境中,隔离性好 对于敏感数据,用户只能在Remote Browser中浏览,无法通过拷贝、下载等手段对数据进行窃取 关键的业务应用系统只接受来自Remote Bro
7、wser的访问,有效防止业务系统免受DDOS攻击HTML5技术取代传统远程访问客户端软件传统的远程访问还依赖Putty、SecureCRT、MSTSC等工具软件,其弊端是无法在多终端上使用,账号需要在本地客户端软件中驻留极易引起安全风险。使用HTML5技术,在主流浏览器中呈现Putty、SecureCRT、MSTSC同样的功能,使用流畅程度也一点不差 账号不需要在本地驻留,切换终端账号不丢失。账号可以随时被回收 HTML5技术可以运行在Windows、MacOS、Android、iOS等多个OS中,可以实现多终端下同样的操作体验场景三:资产管理管理与服务发现挑战一:因为安全的需要,会使用堡垒机
8、对几百台服务器进行批量的自动改密。但自动改密之后,可能会对业务带来致命的影响,如:l Jenkins持续部署的流水线业务,因连接目标服务器密码错误,部署失败!l 用Ansible每天执行的自动巡检与配置管理等自动化运维脚本,因连接目标服务器密码错误,执行失败!如何保证密码改安全的同时,服务与业务也稳定运行?场景三:资产管理管理与服务发现挑战二:l 企业IT环境愈加复杂,数量庞大、种类繁多的IT设备很难被有效管理,以这些IT设备为基础的各种IT服务更难管理。l 企业IT环境不断变化,设备或服务的变更和事故,排查愈加困难,影响难以评估。政企一批一批购买服务器,但到底运行哪些应用?服务器-中间件-业
9、务应用如何映射?服务宕掉或被攻破,如何确定是哪个中间件、哪台服务器出了问题?场景四:自动化运维租户上云后,传统的自动化运维工具(如Puppet,Ansible)失效或部分失效,主要表现在:传统自动化工具无法与堡垒机的资产账号打通传统自动化工具操作缺乏审计与管控传统自动化工具基于命令行手动执行,不易用传统自动化工具不够智能自动化运维与云堡垒机联动传统自动化工具无法直接与云堡垒机联动,最大的瓶颈是传统堡垒机上的资产、账号、权限等无法直接与传统自动化工具打通。传统自动化工具虚拟化资源池物理资源池云堡垒机云堡垒机在设计上要满足:提供SSH、TELNET、FTP、SFTP等协议的账号API接口,满足传统
10、自动化工具访问设备的要求;提供执行命令API接口,满足传统自动化工具远程执行命令的要求;轻量级自动化运维成为云堡垒机的必备租户上云后日常的自动化运维工作完全可以由云堡垒机胜任,通过在云堡垒机中内置轻量级的自动化运维插件,并为用户提供简单易用的操作界面,让普通用户也能享受自动化运维带来的便捷。1批量添加主机2选择脚本或直接输入命令3选择是否sudo执行4查看结果还可以一键运行执行过的脚本或命令智能运维及时发现系统潜在问题租户上云后,面临的一个问题是:由于中间件的配置不合理而引发性能和安全的问题。自动化运维须更智能,对不合理的中间件配置、异常行为进行发现、处理、优化等。中间件配置异常账号异常其它异
11、常三、云安宝的云安全实践云安宝Portfolio努力打造成为租户上云的“资产管理、业务访问、数据保护”的入口!(公有云、私有云、混合云)资产汇聚+运维4A+安全接入云应用加密CASB虚拟化资源池物理资源池SaaS、网盘、邮箱数据保护、威胁防护应用可视、合规资产/账号/访问权限管理操作与审计、自动运维与公有云的合作云匣子已登陆云加密已登陆示范应用国家某中心北京A地北京B地上海广州业务痛点n 部署了大数据平台,缺乏4A安全管控;n 单个机房资源数量超过3万,传统堡垒机性能急速下降;n 传统堡垒机缺乏多地统一集中管控能力;n 单点故障会导致局部机房不可访问;n 部署了多台传统堡垒机,但无法联动。云匣
12、子集群集中管控解决方案云安宝公司专门为中心部署了集群化的云匣子,把四地机房统一管控起来,解决了单点故障问题、性能等问题。产品效益n 4个机房资产集中管理,运维工作更加高效、快捷、安全;n 数据同步,避免因单机房故障导致的业务中断;n 审计日志集中存储,减少了人力搬运审计日志的工作量。示范应用重庆联通云安宝负责承建的“中国联通重庆数据中心基于云匣子的云平台安全管控与审计系统”已入选工信部电信行业网络安全试点示范项目使用情况重庆联通通过“云匣子”管理其数据中心500台服务器和网络设备,资产价值8000万元以上;使用用户200人产品效益“云匣子”有效管控设备资产,提升运营能力,支撑重庆联通1亿元以上营业收入业务痛点n 多个人员使用同一个账号登录系统,造成管理混乱,如何有效集中账号管理?n 针对核心服务业务,如何分析运维人员的工作情况和敏感操作?n 终端需要安装不同的运维工具,操作不便谢谢