F5知識(shí)站 | 詳解多云及用例，以及對(duì)安全性的影響（上）

本系列文章將帶您了解多云安全戰(zhàn)略，包括新興全云實(shí)踐、函數(shù)即服務(wù)、容器即服務(wù)、云安全狀態(tài)管理和數(shù)據(jù)主權(quán)。閱讀本篇文章，您將會(huì)了解到多云的定義、類型、模式及用例。

1

走進(jìn)多云

“多云”是指在一個(gè)組織單位內(nèi)使用多個(gè)公有云服務(wù)提供商產(chǎn)品的模式?！禙5應(yīng)用策略現(xiàn)狀報(bào)告》指出，每年都有越來(lái)越多的企業(yè)和機(jī)構(gòu)使用多云戰(zhàn)略。那么多云究竟是什么意思？它對(duì)安全性有何影響？我們先了解一下基礎(chǔ)知識(shí)。

什么是云計(jì)算？

云計(jì)算有哪些特征？根據(jù)“云計(jì)算的NIST定義”1（NIST 800-145），如果計(jì)算平臺(tái)具有以下特征，則被視為云：

·一個(gè)自助服務(wù)系統(tǒng)，可以自動(dòng)上線虛擬化計(jì)算資源

·廣泛的網(wǎng)絡(luò)連接，包括云內(nèi)外每個(gè)資源之間的豐富連接

·多個(gè)消費(fèi)者（多租戶）之間具有一定獨(dú)立性和抽象性的共享資源

·能夠按需快速擴(kuò)展或縮減資源（出色的彈性），讓這些資源在用戶看來(lái)沒(méi)有限制

·通常以一些抽象的方式測(cè)量和計(jì)量使用

所有這些云功能都可以自動(dòng)化運(yùn)行，甚至能夠在更復(fù)雜的配置中進(jìn)行編排。云技術(shù)的真正強(qiáng)大之處在于，它能夠提供出色的運(yùn)營(yíng)敏捷性。“按使用付費(fèi)”模式允許您隨時(shí)按需租賃，將一筆大額資本支出（CapEx）變成多次小額運(yùn)營(yíng)支出（OpEx）。根據(jù)“專注核心業(yè)務(wù)，其余外包”的商業(yè)理論，云戰(zhàn)略允許您專注于應(yīng)用業(yè)務(wù)，云提供商則負(fù)責(zé)服務(wù)器、機(jī)架、電纜、服務(wù)器機(jī)房、設(shè)施和必要的高技能人才等方面。這些云提供商可以利用規(guī)模效益拓展深度（更多服務(wù)）和廣度（更多資源）?？紤]到云平臺(tái)可以幫助快速展開新想法，把它轉(zhuǎn)化成實(shí)實(shí)在在的產(chǎn)品和服務(wù)，也就不難理解為什么多數(shù)企業(yè)和機(jī)構(gòu)都希望使用云來(lái)實(shí)施應(yīng)用現(xiàn)代化了。

云計(jì)算服務(wù)的類型

市面上有一些技術(shù)服務(wù)是作為云服務(wù)來(lái)提供的，客戶一般會(huì)根據(jù)需求混搭使用。這些服務(wù)包括：

·軟件即服務(wù)（SaaS）

通過(guò)API或Web服務(wù)提供的云業(yè)務(wù)應(yīng)用，例如Dropbox、Zoom、Office 365、Salesforce和ServiceNow。

·平臺(tái)即服務(wù)（PaaS）

支持使用云端運(yùn)行組件快速構(gòu)建應(yīng)用的彈性軟件平臺(tái)，例如Azure、SAP Cloud、Google App Engine、Heroku、亞馬遜云科技（AWS）Lambda、Salesforce Lightning、Cloud Foundry和Openshift。

·函數(shù)即服務(wù)（FaaS）

一種特殊形式的PaaS，可以在無(wú)服務(wù)器環(huán)境（僅代碼，無(wú)服務(wù)器）中運(yùn)行微服務(wù)或一個(gè)功能。

·微服務(wù)

是一種小型單一用途應(yīng)用組件，用于構(gòu)成更大、更復(fù)雜的應(yīng)用。您可以為一個(gè)函數(shù)編寫一個(gè)微服務(wù)程序，并且由于每個(gè)函數(shù)都著重解決一個(gè)特定的功能，它們能夠相對(duì)較快地開發(fā)出來(lái)和融合在一起。

·容器即服務(wù)（CaaS）

另一種形式的PaaS，為容器提供了一個(gè)平臺(tái)。容器（容器：一種輕量級(jí)應(yīng)用虛擬化方法，能夠?qū)?yīng)用封裝和隔離在自己的操作環(huán)境中。它能夠幫助開發(fā)人員更快地構(gòu)建和部署應(yīng)用，同時(shí)降低與虛擬機(jī)相關(guān)的開銷）是一種輕量級(jí)應(yīng)用虛擬化方法，能夠?qū)?yīng)用封裝和隔離在自己的操作環(huán)境中。它能夠幫助開發(fā)人員更快地構(gòu)建和部署應(yīng)用，同時(shí)降低與虛擬機(jī)相關(guān)的開銷。CaaS通常運(yùn)行Kubernetes或Docker Swarm等系統(tǒng)來(lái)管理容器。

·基礎(chǔ)架構(gòu)即服務(wù)（IaaS）

企業(yè)和機(jī)構(gòu)加載操作系統(tǒng)和運(yùn)行軟件所用的虛擬計(jì)算機(jī)。云系統(tǒng)能夠?qū)⑺邢到y(tǒng)的計(jì)算、內(nèi)存和存儲(chǔ)子系統(tǒng)虛擬化，包括Google Compute Engine、DigitaloCean、Linode和亞馬遜云科技等。

云計(jì)算模式

另一種分類方法是按照云服務(wù)的位置分類。這些部署位置或模式包括：

·公有云：

任何人付費(fèi)即可使用的共享互聯(lián)網(wǎng)云服務(wù)，這是最常見的云計(jì)算模式。

·私有云

企業(yè)或機(jī)構(gòu)在自己的硬件上為自己構(gòu)建的內(nèi)部專用云平臺(tái)。亞馬遜云科技最初就是一個(gè)支持亞馬遜電子零售業(yè)務(wù)的私有云。一些企業(yè)和機(jī)構(gòu)甚至將其公有云工作負(fù)載卸載和遷移到自己的私有云上，這種現(xiàn)象叫做“云遣返”。

·混合云：

將一部分服務(wù)放到私有云上，一部分服務(wù)放到公有云上。這通常是為了更好地控制數(shù)據(jù)和成本。

·社區(qū)云

多租戶云系統(tǒng)，允許具有相似需求和關(guān)注點(diǎn)的多個(gè)組織在同一平臺(tái)上協(xié)作。政府機(jī)構(gòu)傾向于使用這一部署模式。

2

詳解多云

我們已經(jīng)確立了定義，現(xiàn)在我們?cè)賮?lái)探討一下多云的不同用例。剛才提到過(guò)，最常見的多云形式是使用來(lái)自兩個(gè)或更多公有云提供商的服務(wù)（SaaS/PaaS/IaaS）。如果企業(yè)和機(jī)構(gòu)在亞馬遜云科技中部署了應(yīng)用（IaaS）、在Salesforce中安裝了客戶關(guān)系管理系統(tǒng)（PaaS）并使用Dropbox進(jìn)行存儲(chǔ)（SaaS），即可被視為采用了多云配置?？上攵?，多云環(huán)境是多么的常見。

多云蔓延

由于將不同的應(yīng)用部署到了不同的云平臺(tái)上，各個(gè)組織團(tuán)隊(duì)和業(yè)務(wù)流程可能還在運(yùn)行符合自身獨(dú)特需求的專屬云環(huán)境。不同的云提供商會(huì)針對(duì)不同的應(yīng)用提供更優(yōu)的功能，業(yè)務(wù)用戶一般會(huì)從中選擇最佳解決方案。這是一個(gè)動(dòng)態(tài)的過(guò)程，不同的團(tuán)隊(duì)會(huì)發(fā)現(xiàn)更新更好的解決方案，并將傳統(tǒng)系統(tǒng)遷移到不同的云空間。這可能會(huì)導(dǎo)致IT治理碎片化，進(jìn)而導(dǎo)致IT安全碎片化。這個(gè)問(wèn)題很嚴(yán)重。

隨著企業(yè)和機(jī)構(gòu)的成熟，他們通常會(huì)意識(shí)到他們需要使用一個(gè)統(tǒng)一的戰(zhàn)略（和安全策略）將這些多云部署整合在一起。接下來(lái)我們?cè)敿?xì)探討一下這個(gè)問(wèn)題。

多個(gè)云上的單一應(yīng)用

云計(jì)算的流行離不開容器和微服務(wù)這兩大神器的加持。這些工具能夠提高應(yīng)用的可移植性，允許用戶根據(jù)需要將它們快速部署到不同的FaaS或CaaS云中。這意味著企業(yè)和機(jī)構(gòu)可以動(dòng)態(tài)調(diào)整應(yīng)用的運(yùn)行位置，從而獲得更優(yōu)的報(bào)價(jià)、確保應(yīng)用靠近用戶并應(yīng)對(duì)不斷變化的法律要求，或者快速響應(yīng)可用性事件，最終有效進(jìn)行超大規(guī)模擴(kuò)展，在全球多個(gè)云提供商產(chǎn)品中實(shí)現(xiàn)負(fù)載均衡。這種形式的多云有時(shí)被稱為“全云”。

請(qǐng)注意，此處并非一定要借助微服務(wù)或容器，您還可以在IaaS中使用普通的傳統(tǒng)常規(guī)計(jì)算實(shí)例。但是使用容器和微服務(wù)器會(huì)更快一些，因?yàn)樗鼈兏?、更易于部署?/p>

為何將應(yīng)用放到多個(gè)云上？

我們知道，一些企業(yè)和機(jī)構(gòu)使用多云并非是刻意為之，而是水到渠成。實(shí)際上，影子IT的存在加上獲取/部署云應(yīng)用的便捷性，讓很多企業(yè)在還沒(méi)有制定通用戰(zhàn)略之前，就自然而然地就引入了多云配置。但是，企業(yè)和機(jī)構(gòu)選擇多云的原因有很多：

·獲取最佳功能

每個(gè)云提供商都有自己的明星產(chǎn)品和長(zhǎng)處，而不同的部門又有不同的工具和功能需求，可以各取所需。

·獲取更好的報(bào)價(jià)

每個(gè)云提供商對(duì)不同的服務(wù)有不同的收費(fèi)標(biāo)準(zhǔn)，企業(yè)和機(jī)構(gòu)可以根據(jù)需要從中選擇最經(jīng)濟(jì)的方案。

·減少云單一化風(fēng)險(xiǎn)

何必將所有雞蛋放在一個(gè)云提供商的籃子里呢？企業(yè)和機(jī)構(gòu)都希望能夠靈活遷移到效果最好、最合需求的云平臺(tái)上。如果是大規(guī)模部署，還可以貨比三家，擇優(yōu)從之。

·增加彈性

多云可以減少對(duì)廠商的依賴性，即使一個(gè)云提供商的產(chǎn)品遇到中斷，也還有更多其他備份選項(xiàng)。這可以幫助企業(yè)和機(jī)構(gòu)在全球所有云提供商應(yīng)用中實(shí)現(xiàn)負(fù)載均衡。

·讓連接更靠近用戶/客戶

不同的云提供商在不同的地理區(qū)域提供不同的服務(wù)。通過(guò)混合使用云平臺(tái)，企業(yè)和機(jī)構(gòu)可以在最靠近用戶和客戶的地區(qū)提供更全面的服務(wù)。

·實(shí)現(xiàn)數(shù)據(jù)主權(quán)（數(shù)據(jù)主權(quán)：一個(gè)國(guó)家或地區(qū)制定的關(guān)于在境內(nèi)存儲(chǔ)和處理公民數(shù)據(jù)的特定條例）：

許多國(guó)家和地區(qū)都制定了關(guān)于在國(guó)家或地區(qū)境內(nèi)存儲(chǔ)和處理公民數(shù)據(jù)的具體法律條例。通過(guò)使用多云配置，企業(yè)和機(jī)構(gòu)可以將不同云提供商的產(chǎn)品與不同的區(qū)域站點(diǎn)相組合，從而在實(shí)現(xiàn)全局覆蓋的同時(shí)仍遵守?cái)?shù)據(jù)主權(quán)法律的規(guī)定。

多云計(jì)算的興起也帶來(lái)了新的安全挑戰(zhàn)：更多云服務(wù)就意味著要操作更多的按鈕和控桿，查看更多的儀表盤，以及控制更多的內(nèi)置安全與管理工具。

關(guān)于作者

Raymond Pompon

F5 Labs主管

Raymond Pompon現(xiàn)任F5 Labs主管，擁有20多年的互聯(lián)網(wǎng)安全工作經(jīng)驗(yàn)，經(jīng)常密切協(xié)助聯(lián)邦執(zhí)法部門開展網(wǎng)絡(luò)犯罪調(diào)查。他曾直接參與了幾起重大入侵案件的調(diào)查，包括FBI臥底飛鉤行動(dòng)和西北醫(yī)院僵尸網(wǎng)絡(luò)起訴案件。他撰寫了《IT安全風(fēng)險(xiǎn)控制管理：審計(jì)預(yù)備方案》并經(jīng)由Apress出版。

Peter Scheffler

獨(dú)立顧問(wèn)

Peter在軟件行業(yè)擁有超過(guò)30年的從業(yè)經(jīng)驗(yàn)，并在此前做過(guò)近十年的業(yè)余程序員，已經(jīng)深耕Web應(yīng)用開發(fā)和應(yīng)用安全領(lǐng)域20余年。作為一名獨(dú)立顧問(wèn)，Peter潛心為財(cái)富1000強(qiáng)企業(yè)和注重安全的政府組織開發(fā)網(wǎng)絡(luò)和應(yīng)用訪問(wèn)安全解決方案。Peter目前在F5 Networks擔(dān)任網(wǎng)絡(luò)安全解決方案架構(gòu)師，幫助當(dāng)今的企業(yè)和機(jī)構(gòu)遠(yuǎn)離網(wǎng)絡(luò)攻擊。

Lori Mac Vittie

F5云計(jì)算、云和應(yīng)用安全、應(yīng)用交付

業(yè)務(wù)的首席技術(shù)宣傳官

Lori Mac Vittie是F5云計(jì)算、云和應(yīng)用安全、應(yīng)用交付業(yè)務(wù)的首席技術(shù)宣傳官，負(fù)責(zé)F5整個(gè)產(chǎn)品套件的宣傳和推廣。Mac Vittie在高科技公司和大型企業(yè)中積累了豐富的開發(fā)和技術(shù)架構(gòu)經(jīng)驗(yàn)。在加入F5之前，Mac Vittie是《網(wǎng)絡(luò)計(jì)算雜志》（Network Computing Magazine）備受贊譽(yù)的資深技術(shù)編輯，期間撰寫了大量面向IT專業(yè)人士的各種主題的文章。她擁有威斯康星大學(xué)格林灣分校的信息與計(jì)算科學(xué)學(xué)士學(xué)位，以及諾瓦東南大學(xué)的計(jì)算機(jī)科學(xué)碩士學(xué)位。她還是國(guó)際開發(fā)運(yùn)維考試協(xié)會(huì)（DevOps Institute）和Cloudnow評(píng)議委員會(huì)的成員，被譽(yù)為DevOps界最有影響力的女性之一。