在云遷移過程中���,許多網(wǎng)絡(luò)功能仍留在企業(yè)內(nèi)部����,造成容量限制、高總擁有成本�����、支持挑戰(zhàn)和安全缺口等問題���。Cloudflare為您講述這些挑戰(zhàn)����,并對其結(jié)果進(jìn)行量化��,提出了通過基于云的解決方案來提高混合云基礎(chǔ)設(shè)施的速度��、可負(fù)擔(dān)性和安全性���。
摘要:在云遷移過程中�,許多網(wǎng)絡(luò)功能仍留在企業(yè)內(nèi)部�����,造成容量限制、高總擁有成本����、支持挑戰(zhàn)和安全缺口等問題。Cloudflare為您講述這些挑戰(zhàn)�����,并對其結(jié)果進(jìn)行量化�����,提出了通過基于云的解決方案來提高混合云基礎(chǔ)設(shè)施的速度����、可負(fù)擔(dān)性和安全性。
事實證明,云遷移是降低基礎(chǔ)設(shè)施成本����、提高數(shù)據(jù)和應(yīng)用程序可用性以及增強運營敏捷性的有效策略�。
不過,這種遷移極少能夠一步到位。許多大型組織發(fā)現(xiàn)自己混合部署了云和內(nèi)部基礎(chǔ)設(shè)施��,形成一種復(fù)雜的異構(gòu)體:
這樣的混合基礎(chǔ)設(shè)施不一定是壞事����,但確實帶來了麻煩。具體來說,它會造成各種網(wǎng)絡(luò)功能(例如 DDoS 緩解����、負(fù)載平衡����、防火墻和 VPN)留在本地的情況����。
在以云為中心的世界中�����,這些網(wǎng)絡(luò)硬件設(shè)備不能勝任保護(hù)和加速關(guān)鍵基礎(chǔ)設(shè)施的任務(wù)。它們本身雜亂無章且成本高昂。一旦讓云加入進(jìn)來,安全漏洞便會迅速出現(xiàn),性能損失和其他支持挑戰(zhàn)也會隨之而來。
接下來 Cloudflare 將會帶您解讀在遷移到云服務(wù)的世界中維護(hù)網(wǎng)絡(luò)硬件的風(fēng)險�����,并提供規(guī)避這些風(fēng)險的策略�。
網(wǎng)絡(luò)硬件設(shè)備具有多種特定功能,其使用方式在組織之間也有一定程度的差異。常見的例子包括:
這類硬件部署到本地時,所形成的架構(gòu)通常會面臨四類風(fēng)險:容量限制����、高總體擁有成本�、支持挑戰(zhàn)和安全漏洞�����。前兩類總是在某種程度上引發(fā)問題�,后兩類則因為云遷移而加劇。
容量限制
鑒于網(wǎng)絡(luò)硬件設(shè)備的本質(zhì)�����,在流量意外激增時,無論流量是否合法,都會使其不堪重負(fù)����,這一點就不足為奇了�。但近期的一些趨勢表明�����,達(dá)到這些極限是更為普遍的擔(dān)憂�。
以 DDoS 緩解為例。據(jù)稱�,史上最大的 DDoS 攻擊發(fā)生于 2020 年 2 月��,最大容量達(dá)到 2.3 Tbps����。這兩年內(nèi),其他攻擊則達(dá)到了 1.7 和 1.3 Tbps�。 即便是市面上最先進(jìn)的 DDoS 緩解硬件設(shè)備,這些攻擊造成的負(fù)擔(dān)均是它們承受能力的許多倍��,這些硬件設(shè)備通常僅提供緩解此類攻擊所需容量的一小部分���。
并非所有組織都會吸引如此規(guī)模的攻擊���,但也不是所有組織都能夠或已經(jīng)部署最先進(jìn)的DDoS 緩解硬件�。Cloudflare 的一項研究發(fā)現(xiàn)�����,2020 年第二季度大約 2.4% 的網(wǎng)絡(luò)層DDoS 攻擊最大規(guī)模超過 100 Gbps�,這會讓許多所謂基于高容量硬件的緩解解決方案不堪重負(fù)�����。
此外��,攻擊量還未算上可能同時到達(dá)數(shù)據(jù)中心的合法流量����。如果規(guī)模較小的攻擊在高流量時段到達(dá)��,其造成的流量激增仍可能足以使安全防護(hù)硬件超過其極限。
DDoS緩解只是本地硬件容量限制的一個例子�。其他例子包括:
負(fù)載平衡器:獨立的本地負(fù)載平衡器很容易因合法流量猛然激增而超負(fù)荷���。發(fā)生這種情況時, 可能需要很長時間才能置備和安裝額外硬件。替代方案是保持可應(yīng)對最壞狀況的充足容量�����, 但這種方法需要組織以高昂代價持續(xù)運轉(zhuǎn)大量硬件���。
虛擬專用網(wǎng)絡(luò)(VPN): VPN 的使用變得更難提前預(yù)測。2020 年 5 月對美國雇主的一項調(diào)查發(fā)現(xiàn)��,新冠肺炎疫情導(dǎo)致 53% 的全職員工居家辦公���,相當(dāng)于 2019年的 7 倍��,其中 22% 的人預(yù)計疫情過后仍留在家里工作��。如果這些遠(yuǎn)程訪問的數(shù)量超過企業(yè)本地 VPN 的容 量��,員工會面臨登錄困難�����、延遲的困擾��,最終導(dǎo)致生產(chǎn)力下降�����。
面對這些問題�����,一種應(yīng)對方法是購置更多����、更新、更高容量的硬件��。但這樣的方法會帶來許多其他問題��。
擁有成本
與容量限制一樣����,數(shù)據(jù)中心硬件價格昂貴也不足為奇。例如�,要獲得約 100 Gbps 的DDoS 緩解能力,所需硬件的前期投入可能介乎 40 萬到 50 萬美元�����。
而且��,這些費用只是硬件設(shè)備總體擁有成本的一部分�。還請考慮以下支出:
團(tuán)隊成本:購買、運行和維護(hù)硬件以抵御 0SI 模型中每一層的威脅���,并提供現(xiàn)代網(wǎng)站和互聯(lián) 網(wǎng)應(yīng)用程序應(yīng)有的性能和可靠性�,這需要團(tuán)隊成員在每一種網(wǎng)絡(luò)功能方面達(dá)到專家水平�����。組建具有如此廣度和專業(yè)知識的團(tuán)隊是一項代價昂貴的提議��。技能缺口也使它難以實現(xiàn):2020 年的一項 ISACA 調(diào)查發(fā)現(xiàn)����,有 62% 的公司反映其 IT 團(tuán)隊人手不足。
維護(hù)成本:Forrester 在 2019 年發(fā)布的一份報告將已過三載的數(shù)據(jù)中心硬件定義為“老化”���,但以上整個期間的保修通常需要額外支出�。替代方案是由廠商或第三方進(jìn)行計劃外——因此也沒有預(yù)算——的維修�����。硬件故障也可能導(dǎo)致數(shù)據(jù)中心停機,其平均機會成本在每分鐘 8,800 美元以上�����。
更換成本:倘若每三年更換一次硬件設(shè)備����,組織不僅需要償還其初始投資,還要投入資源來運送和安裝新硬件��。延遲更換通常會導(dǎo)致故障更加頻繁����,進(jìn)而造成維護(hù)成本增多。
云交付的網(wǎng)絡(luò)服務(wù)與這種模式形成鮮明對比�。它們有可能通過一個更靈活的團(tuán)隊來運行,不會產(chǎn)生維護(hù)和運輸成本�����,也不會迫使組織在代價高昂的升級和更頻繁的故障之間權(quán)衡取舍����。
支持挑戰(zhàn)
為網(wǎng)絡(luò)硬件設(shè)備提供支持不僅是一項昂貴的提議,也是一個后勤上的挑戰(zhàn)����。硬件需要經(jīng)常打補丁, 才能應(yīng)對最新的漏洞和攻擊手段�����,這一過程通常依靠手動實施,因此容易受到人為錯誤的影響��。
組織使用的硬件設(shè)備越多�����,因為疏忽大意或擔(dān)心影響重要系統(tǒng)而最終疏于安裝補丁的幾率就越高�。2020 年 6 月,因為有許多公司未能及時安裝 VPN 設(shè)備補丁��,美國國防部下屬的網(wǎng)絡(luò)司令部不得不發(fā)出警告���,指出漏洞有可能會被敵對國家利用�����。實際上�����,修補硬件的復(fù)雜性非常高, 以至于衍生了一整類幫助公司保持最新狀態(tài)的軟件�。
并且,只是遺漏一個補丁的后果也可能非常嚴(yán)重��。這不僅是因為硬件仍然存在漏洞�,而且一旦發(fā)布了補丁,相應(yīng)漏洞就會成為機會主義攻擊者更高調(diào)的目標(biāo)�����。與之形成對比的是基于云的安全防護(hù)服務(wù)����,后者默認(rèn)自動修復(fù)漏洞并安裝更新,而且傳播時間可以短至 30 秒��,具體因云提供商網(wǎng)絡(luò)速度而異�。
硬件的其他維護(hù)挑戰(zhàn)包括:
故障排除:在僅有硬件的場景中,故障排除通常會迫使 IT 團(tuán)隊經(jīng)歷一次艱辛的過程�,逐一拔掉負(fù)載平衡器、防火墻和其他本地設(shè)備�,如此才能發(fā)現(xiàn)問題所在。
使用云服務(wù)會使此過程更加復(fù)雜��。依賴硬件的組織往往通過集中式數(shù)據(jù)中心及其所有獨立設(shè)備來管理對這些服務(wù)的訪問�。當(dāng)員工無法訪問某項服務(wù)時�����,IT 團(tuán)隊還要檢查一個額外位置來排查問題��。在大型組織中���,這種額外努力會迅速增長��。2019 年的一項調(diào)查發(fā)現(xiàn)���,員工超過 1000 人的公司平均訂閱 200 多個 SaaS 應(yīng)用程序�。
物理維護(hù):當(dāng)硬件設(shè)備發(fā)生損壞時���,IT 團(tuán)隊必須斷開其物理連接���,訂購替換設(shè)備,測試并安裝到位����。這又是一個艱難的過程。
安全漏洞
即使組織具備所需的資源來持續(xù)置備和維護(hù)最新���、最大容量的本地硬件��,所形成的基礎(chǔ)設(shè)施仍將面臨嚴(yán)重的安全缺陷�,尤其是在云計算趨勢日益明顯的大環(huán)境中。
以員工訪問管理為例�����。盡管 VPN 硬件可以在遠(yuǎn)程員工設(shè)備和運行于企業(yè)本地數(shù)據(jù)中心的應(yīng)用程序之間建立加密隧道����,但在建立此隧道后,它無法監(jiān)控和保護(hù)用戶活動��。
如果員工的設(shè)備受到惡意軟件入侵��,或者網(wǎng)絡(luò)釣魚攻擊竊取了他們的 VPN 憑據(jù)��,則攻擊者或可利用該 VPN 連接來訪問各種敏感信息����。網(wǎng)絡(luò)釣魚和惡意軟件繼續(xù)構(gòu)成嚴(yán)重風(fēng)險。2020 年 4 月����,Google 報稱每天攔截 1800 萬與新冠肺炎疫情相關(guān)的惡意軟件和網(wǎng)絡(luò)釣魚電子郵件�����。(基于云的 VPN 也受到這個問題困擾��,但事實依然是����,單靠本地硬件無法對內(nèi)部應(yīng)用程序提供真正安全的遠(yuǎn)程訪問�。)
云服務(wù)和 SaaS 應(yīng)用程序使以硬件為中心的基礎(chǔ)設(shè)施面臨更復(fù)雜的安全問題。以混合云模型為例�,組織會同時運行本地和云基礎(chǔ)設(shè)施���。組織無法簡單地將安全硬件運送給云提供商�����。如果想要繼續(xù)將本地硬件用于自己的數(shù)據(jù)中心��,那么基礎(chǔ)設(shè)施的不同部分將受到不同方式的保護(hù)���, 使安全團(tuán)隊無法了解和控制即將到來的攻擊。
第三部分 基于云的安全和性能服務(wù):優(yōu)勢和挑戰(zhàn)
云交付網(wǎng)絡(luò)服務(wù)優(yōu)勢
容量:由于云具有分布性和軟件定義性,組織可隨業(yè)務(wù)規(guī)模擴大而輕松置備更多容量�����。
成本:硬件附加成本要么不存在�����,要么更容易提前計劃�����。此外���,云服務(wù)通常被歸類為運營支出, 而不是資本支出����,這為許多企業(yè)帶來稅務(wù)和會計方面的好處�����。
支持:后勤和資源需求由服務(wù)提供商解決����。此外,也不會有遺漏補丁的可能,因為更新是自動進(jìn)行的���。
安全:軟件定義的網(wǎng)絡(luò)服務(wù)可以在單個保護(hù)層下統(tǒng)一不同的基礎(chǔ)設(shè)施�����。
但若部署不周全��,云網(wǎng)絡(luò)服務(wù)也會面臨自身的風(fēng)險:
尋找同時適用云和本地基礎(chǔ)設(shè)施的提供商�。
這種能力可使 IT 和安全團(tuán)隊能夠設(shè)置一致的控制并從一個地方監(jiān)視全局流量��。
尋找提供能協(xié)同工作的多種網(wǎng)絡(luò)功能的云提供商����。
這通常會減少流量必須經(jīng)歷的網(wǎng)絡(luò)躍點���,從而縮短最終用戶延遲��,提高應(yīng)用程序性能�。此外,在對網(wǎng)絡(luò)問題進(jìn)行故障排除時�����,您只需要聯(lián)絡(luò)一家供應(yīng)商��。最后���,將多種功能捆綁在一起通?�?梢越档统杀?。
尋找可以從其網(wǎng)絡(luò)中每一個位置執(zhí)行多種聯(lián)網(wǎng)功能的云提供商��。
通過收購來擴展其服務(wù)組合的提供商不一定會全面整合這些新服務(wù)����,導(dǎo)致某些功能只能由某些數(shù)據(jù)中心交付。因此���,要考慮在整個網(wǎng)絡(luò)中提供這些功能的提供商��,從而避免上文列出的那些問題����。
尋找網(wǎng)絡(luò)覆蓋全球的云提供商。
這一能力支持上一項能力���,確保最終用戶無論身在何處都始終接近其網(wǎng)絡(luò)����。同時也能形成一個大型網(wǎng)絡(luò)表面�����,既可吸收 DDoS 流量�����,又能執(zhí)行其他需要大量的聯(lián)網(wǎng)功能�����。
Cloudflare 建設(shè)了一個提供廣泛服務(wù)的全球化云平臺,幫助企業(yè)增強安全性,提高業(yè)務(wù)關(guān)鍵應(yīng)用程序的性能����,并消除管理不同網(wǎng)絡(luò)硬件的成本與復(fù)雜性��。這個平臺充當(dāng)一個可擴展���、易于使用的統(tǒng)一控制面��,為本地���、混合��、云和軟件即服務(wù) (SaaS) 應(yīng)用程序提供極佳的安全����、性能和可靠性�。
至關(guān)重要的是,在 Cloudflare 覆蓋 200 多個城市的全球網(wǎng)絡(luò)中,每個數(shù)據(jù)中心都能提供這些服務(wù)中的每一項�����,減少了使云實施復(fù)雜化的延退�。
與 Cloudflare 專業(yè)的中國銷售團(tuán)隊取得聯(lián)絡(luò)
如果您對我們的產(chǎn)品感興趣�,請點擊此處留下您的聯(lián)絡(luò)方式�,讓我們的專業(yè)團(tuán)隊幫助您更多了解 Cloudflare 如何為關(guān)鍵業(yè)務(wù)應(yīng)用程序和網(wǎng)絡(luò)提供集成安全性�、性能和可靠性。
我們的銷售團(tuán)隊將會在第一時間與您取得聯(lián)系����。完成后����,您即可獲得我們提供的價值100美金的獎品:
立即登錄�,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于Cloudflare��,本站不擁有所有權(quán)����,不承擔(dān)相關(guān)法律責(zé)任����。文章內(nèi)容系作者個人觀點,不代表快出海對觀點贊同或支持�����。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除�!
閩公網(wǎng)安備 35010202001226號
