云遷移在網(wǎng)絡(luò)硬件設(shè)備的消亡下，將何去何從？Cloudflare 為您在線剖析！

事實(shí)證明，云遷移是降低基礎(chǔ)設(shè)施成本、提高數(shù)據(jù)和應(yīng)用程序可用性以及增強(qiáng)運(yùn)營(yíng)敏捷性的有效策略。

不過(guò)，這種遷移極少能夠一步到位。許多大型組織發(fā)現(xiàn)自己混合部署了云和內(nèi)部基礎(chǔ)設(shè)施，形成一種復(fù)雜的異構(gòu)體：

這樣的混合基礎(chǔ)設(shè)施不一定是壞事，但確實(shí)帶來(lái)了麻煩。具體來(lái)說(shuō)，它會(huì)造成各種網(wǎng)絡(luò)功能（例如 DDoS 緩解、負(fù)載平衡、防火墻和 VPN）留在本地的情況。

在以云為中心的世界中，這些網(wǎng)絡(luò)硬件設(shè)備不能勝任保護(hù)和加速關(guān)鍵基礎(chǔ)設(shè)施的任務(wù)。它們本身雜亂無(wú)章且成本高昂。一旦讓云加入進(jìn)來(lái)，安全漏洞便會(huì)迅速出現(xiàn)，性能損失和其他支持挑戰(zhàn)也會(huì)隨之而來(lái)。

接下來(lái) Cloudflare 將會(huì)帶您解讀在遷移到云服務(wù)的世界中維護(hù)網(wǎng)絡(luò)硬件的風(fēng)險(xiǎn)，并提供規(guī)避這些風(fēng)險(xiǎn)的策略。

網(wǎng)絡(luò)硬件設(shè)備具有多種特定功能，其使用方式在組織之間也有一定程度的差異。常見的例子包括：

這類硬件部署到本地時(shí)，所形成的架構(gòu)通常會(huì)面臨四類風(fēng)險(xiǎn)：容量限制、高總體擁有成本、支持挑戰(zhàn)和安全漏洞。前兩類總是在某種程度上引發(fā)問(wèn)題，后兩類則因?yàn)樵七w移而加劇。

容量限制

鑒于網(wǎng)絡(luò)硬件設(shè)備的本質(zhì)，在流量意外激增時(shí)，無(wú)論流量是否合法，都會(huì)使其不堪重負(fù)，這一點(diǎn)就不足為奇了。但近期的一些趨勢(shì)表明，達(dá)到這些極限是更為普遍的擔(dān)憂。

以 DDoS 緩解為例。據(jù)稱，史上最大的 DDoS 攻擊發(fā)生于 2020 年 2 月，最大容量達(dá)到 2.3 Tbps。這兩年內(nèi)，其他攻擊則達(dá)到了 1.7 和 1.3 Tbps。 即便是市面上最先進(jìn)的 DDoS 緩解硬件設(shè)備，這些攻擊造成的負(fù)擔(dān)均是它們承受能力的許多倍，這些硬件設(shè)備通常僅提供緩解此類攻擊所需容量的一小部分。

并非所有組織都會(huì)吸引如此規(guī)模的攻擊，但也不是所有組織都能夠或已經(jīng)部署最先進(jìn)的DDoS 緩解硬件。Cloudflare 的一項(xiàng)研究發(fā)現(xiàn)，2020 年第二季度大約 2.4% 的網(wǎng)絡(luò)層DDoS 攻擊最大規(guī)模超過(guò) 100 Gbps，這會(huì)讓許多所謂基于高容量硬件的緩解解決方案不堪重負(fù)。

此外，攻擊量還未算上可能同時(shí)到達(dá)數(shù)據(jù)中心的合法流量。如果規(guī)模較小的攻擊在高流量時(shí)段到達(dá)，其造成的流量激增仍可能足以使安全防護(hù)硬件超過(guò)其極限。

DDoS緩解只是本地硬件容量限制的一個(gè)例子。其他例子包括：

• 負(fù)載平衡器：獨(dú)立的本地負(fù)載平衡器很容易因合法流量猛然激增而超負(fù)荷。發(fā)生這種情況時(shí), 可能需要很長(zhǎng)時(shí)間才能置備和安裝額外硬件。替代方案是保持可應(yīng)對(duì)最壞狀況的充足容量， 但這種方法需要組織以高昂代價(jià)持續(xù)運(yùn)轉(zhuǎn)大量硬件。

• 虛擬專用網(wǎng)絡(luò)（VPN）: VPN 的使用變得更難提前預(yù)測(cè)。2020 年 5 月對(duì)美國(guó)雇主的一項(xiàng)調(diào)查發(fā)現(xiàn)，新冠肺炎疫情導(dǎo)致 53% 的全職員工居家辦公，相當(dāng)于 2019年的 7 倍，其中 22% 的人預(yù)計(jì)疫情過(guò)后仍留在家里工作。如果這些遠(yuǎn)程訪問(wèn)的數(shù)量超過(guò)企業(yè)本地 VPN 的容 量，員工會(huì)面臨登錄困難、延遲的困擾，最終導(dǎo)致生產(chǎn)力下降。

面對(duì)這些問(wèn)題，一種應(yīng)對(duì)方法是購(gòu)置更多、更新、更高容量的硬件。但這樣的方法會(huì)帶來(lái)許多其他問(wèn)題。

擁有成本

與容量限制一樣，數(shù)據(jù)中心硬件價(jià)格昂貴也不足為奇。例如，要獲得約 100 Gbps 的DDoS 緩解能力，所需硬件的前期投入可能介乎 40 萬(wàn)到 50 萬(wàn)美元。

而且，這些費(fèi)用只是硬件設(shè)備總體擁有成本的一部分。還請(qǐng)考慮以下支出：

• 團(tuán)隊(duì)成本：購(gòu)買、運(yùn)行和維護(hù)硬件以抵御 0SI 模型中每一層的威脅，并提供現(xiàn)代網(wǎng)站和互聯(lián) 網(wǎng)應(yīng)用程序應(yīng)有的性能和可靠性，這需要團(tuán)隊(duì)成員在每一種網(wǎng)絡(luò)功能方面達(dá)到專家水平。組建具有如此廣度和專業(yè)知識(shí)的團(tuán)隊(duì)是一項(xiàng)代價(jià)昂貴的提議。技能缺口也使它難以實(shí)現(xiàn)：2020 年的一項(xiàng) ISACA 調(diào)查發(fā)現(xiàn)，有 62% 的公司反映其 IT 團(tuán)隊(duì)人手不足。

• 維護(hù)成本：Forrester 在 2019 年發(fā)布的一份報(bào)告將已過(guò)三載的數(shù)據(jù)中心硬件定義為“老化”，但以上整個(gè)期間的保修通常需要額外支出。替代方案是由廠商或第三方進(jìn)行計(jì)劃外——因此也沒有預(yù)算——的維修。硬件故障也可能導(dǎo)致數(shù)據(jù)中心停機(jī)，其平均機(jī)會(huì)成本在每分鐘 8,800 美元以上。

• 更換成本：倘若每三年更換一次硬件設(shè)備，組織不僅需要償還其初始投資，還要投入資源來(lái)運(yùn)送和安裝新硬件。延遲更換通常會(huì)導(dǎo)致故障更加頻繁，進(jìn)而造成維護(hù)成本增多。

云交付的網(wǎng)絡(luò)服務(wù)與這種模式形成鮮明對(duì)比。它們有可能通過(guò)一個(gè)更靈活的團(tuán)隊(duì)來(lái)運(yùn)行，不會(huì)產(chǎn)生維護(hù)和運(yùn)輸成本，也不會(huì)迫使組織在代價(jià)高昂的升級(jí)和更頻繁的故障之間權(quán)衡取舍。

支持挑戰(zhàn)

為網(wǎng)絡(luò)硬件設(shè)備提供支持不僅是一項(xiàng)昂貴的提議，也是一個(gè)后勤上的挑戰(zhàn)。硬件需要經(jīng)常打補(bǔ)丁, 才能應(yīng)對(duì)最新的漏洞和攻擊手段，這一過(guò)程通常依靠手動(dòng)實(shí)施，因此容易受到人為錯(cuò)誤的影響。

組織使用的硬件設(shè)備越多，因?yàn)槭韬龃笠饣驌?dān)心影響重要系統(tǒng)而最終疏于安裝補(bǔ)丁的幾率就越高。2020 年 6 月，因?yàn)橛性S多公司未能及時(shí)安裝 VPN 設(shè)備補(bǔ)丁，美國(guó)國(guó)防部下屬的網(wǎng)絡(luò)司令部不得不發(fā)出警告，指出漏洞有可能會(huì)被敵對(duì)國(guó)家利用。實(shí)際上，修補(bǔ)硬件的復(fù)雜性非常高, 以至于衍生了一整類幫助公司保持最新狀態(tài)的軟件。

并且，只是遺漏一個(gè)補(bǔ)丁的后果也可能非常嚴(yán)重。這不僅是因?yàn)橛布匀淮嬖诼┒?，而且一旦發(fā)布了補(bǔ)丁，相應(yīng)漏洞就會(huì)成為機(jī)會(huì)主義攻擊者更高調(diào)的目標(biāo)。與之形成對(duì)比的是基于云的安全防護(hù)服務(wù)，后者默認(rèn)自動(dòng)修復(fù)漏洞并安裝更新，而且傳播時(shí)間可以短至  30 秒，具體因云提供商網(wǎng)絡(luò)速度而異。

硬件的其他維護(hù)挑戰(zhàn)包括：

• 故障排除：在僅有硬件的場(chǎng)景中，故障排除通常會(huì)迫使 IT 團(tuán)隊(duì)經(jīng)歷一次艱辛的過(guò)程，逐一拔掉負(fù)載平衡器、防火墻和其他本地設(shè)備，如此才能發(fā)現(xiàn)問(wèn)題所在。

  使用云服務(wù)會(huì)使此過(guò)程更加復(fù)雜。依賴硬件的組織往往通過(guò)集中式數(shù)據(jù)中心及其所有獨(dú)立設(shè)備來(lái)管理對(duì)這些服務(wù)的訪問(wèn)。當(dāng)員工無(wú)法訪問(wèn)某項(xiàng)服務(wù)時(shí)，IT 團(tuán)隊(duì)還要檢查一個(gè)額外位置來(lái)排查問(wèn)題。在大型組織中，這種額外努力會(huì)迅速增長(zhǎng)。2019 年的一項(xiàng)調(diào)查發(fā)現(xiàn)，員工超過(guò) 1000 人的公司平均訂閱 200 多個(gè) SaaS 應(yīng)用程序。

• 物理維護(hù)：當(dāng)硬件設(shè)備發(fā)生損壞時(shí)，IT 團(tuán)隊(duì)必須斷開其物理連接，訂購(gòu)替換設(shè)備，測(cè)試并安裝到位。這又是一個(gè)艱難的過(guò)程。

安全漏洞

即使組織具備所需的資源來(lái)持續(xù)置備和維護(hù)最新、最大容量的本地硬件，所形成的基礎(chǔ)設(shè)施仍將面臨嚴(yán)重的安全缺陷，尤其是在云計(jì)算趨勢(shì)日益明顯的大環(huán)境中。

以員工訪問(wèn)管理為例。盡管 VPN 硬件可以在遠(yuǎn)程員工設(shè)備和運(yùn)行于企業(yè)本地?cái)?shù)據(jù)中心的應(yīng)用程序之間建立加密隧道，但在建立此隧道后，它無(wú)法監(jiān)控和保護(hù)用戶活動(dòng)。

如果員工的設(shè)備受到惡意軟件入侵，或者網(wǎng)絡(luò)釣魚攻擊竊取了他們的 VPN 憑據(jù)，則攻擊者或可利用該 VPN 連接來(lái)訪問(wèn)各種敏感信息。網(wǎng)絡(luò)釣魚和惡意軟件繼續(xù)構(gòu)成嚴(yán)重風(fēng)險(xiǎn)。2020 年 4 月，Google 報(bào)稱每天攔截 1800 萬(wàn)與新冠肺炎疫情相關(guān)的惡意軟件和網(wǎng)絡(luò)釣魚電子郵件。（基于云的 VPN 也受到這個(gè)問(wèn)題困擾，但事實(shí)依然是，單靠本地硬件無(wú)法對(duì)內(nèi)部應(yīng)用程序提供真正安全的遠(yuǎn)程訪問(wèn)。）

云服務(wù)和 SaaS 應(yīng)用程序使以硬件為中心的基礎(chǔ)設(shè)施面臨更復(fù)雜的安全問(wèn)題。以混合云模型為例，組織會(huì)同時(shí)運(yùn)行本地和云基礎(chǔ)設(shè)施。組織無(wú)法簡(jiǎn)單地將安全硬件運(yùn)送給云提供商。如果想要繼續(xù)將本地硬件用于自己的數(shù)據(jù)中心，那么基礎(chǔ)設(shè)施的不同部分將受到不同方式的保護(hù)， 使安全團(tuán)隊(duì)無(wú)法了解和控制即將到來(lái)的攻擊。

但若部署不周全，云網(wǎng)絡(luò)服務(wù)也會(huì)面臨自身的風(fēng)險(xiǎn)：

如果您對(duì)我們的產(chǎn)品感興趣，請(qǐng)點(diǎn)擊此處留下您的聯(lián)絡(luò)方式，讓我們的專業(yè)團(tuán)隊(duì)幫助您更多了解 Cloudflare 如何為關(guān)鍵業(yè)務(wù)應(yīng)用程序和網(wǎng)絡(luò)提供集成安全性、性能和可靠性。

我們的銷售團(tuán)隊(duì)將會(huì)在第一時(shí)間與您取得聯(lián)系。完成后，您即可獲得我們提供的價(jià)值100美金的獎(jiǎng)品：