F5知識站 | 詳解多云及用例，以及對安全性的影響（上）

本系列文章將帶您了解多云安全戰(zhàn)略，包括新興全云實踐、函數(shù)即服務(wù)、容器即服務(wù)、云安全狀態(tài)管理和數(shù)據(jù)主權(quán)。閱讀本篇文章，您將會了解到多云的定義、類型、模式及用例。

1

走進多云

“多云”是指在一個組織單位內(nèi)使用多個公有云服務(wù)提供商產(chǎn)品的模式?！禙5應(yīng)用策略現(xiàn)狀報告》指出，每年都有越來越多的企業(yè)和機構(gòu)使用多云戰(zhàn)略。那么多云究竟是什么意思？它對安全性有何影響？我們先了解一下基礎(chǔ)知識。

什么是云計算？

云計算有哪些特征？根據(jù)“云計算的NIST定義”1（NIST 800-145），如果計算平臺具有以下特征，則被視為云：

·一個自助服務(wù)系統(tǒng)，可以自動上線虛擬化計算資源

·廣泛的網(wǎng)絡(luò)連接，包括云內(nèi)外每個資源之間的豐富連接

·多個消費者（多租戶）之間具有一定獨立性和抽象性的共享資源

·能夠按需快速擴展或縮減資源（出色的彈性），讓這些資源在用戶看來沒有限制

·通常以一些抽象的方式測量和計量使用

所有這些云功能都可以自動化運行，甚至能夠在更復(fù)雜的配置中進行編排。云技術(shù)的真正強大之處在于，它能夠提供出色的運營敏捷性?！鞍词褂酶顿M”模式允許您隨時按需租賃，將一筆大額資本支出（CapEx）變成多次小額運營支出（OpEx）。根據(jù)“專注核心業(yè)務(wù)，其余外包”的商業(yè)理論，云戰(zhàn)略允許您專注于應(yīng)用業(yè)務(wù)，云提供商則負責(zé)服務(wù)器、機架、電纜、服務(wù)器機房、設(shè)施和必要的高技能人才等方面。這些云提供商可以利用規(guī)模效益拓展深度（更多服務(wù)）和廣度（更多資源）。考慮到云平臺可以幫助快速展開新想法，把它轉(zhuǎn)化成實實在在的產(chǎn)品和服務(wù)，也就不難理解為什么多數(shù)企業(yè)和機構(gòu)都希望使用云來實施應(yīng)用現(xiàn)代化了。

云計算服務(wù)的類型

市面上有一些技術(shù)服務(wù)是作為云服務(wù)來提供的，客戶一般會根據(jù)需求混搭使用。這些服務(wù)包括：

·軟件即服務(wù)（SaaS）

通過API或Web服務(wù)提供的云業(yè)務(wù)應(yīng)用，例如Dropbox、Zoom、Office 365、Salesforce和ServiceNow。

·平臺即服務(wù)（PaaS）

支持使用云端運行組件快速構(gòu)建應(yīng)用的彈性軟件平臺，例如Azure、SAP Cloud、Google App Engine、Heroku、亞馬遜云科技（AWS）Lambda、Salesforce Lightning、Cloud Foundry和Openshift。

·函數(shù)即服務(wù)（FaaS）

一種特殊形式的PaaS，可以在無服務(wù)器環(huán)境（僅代碼，無服務(wù)器）中運行微服務(wù)或一個功能。

·微服務(wù)

是一種小型單一用途應(yīng)用組件，用于構(gòu)成更大、更復(fù)雜的應(yīng)用。您可以為一個函數(shù)編寫一個微服務(wù)程序，并且由于每個函數(shù)都著重解決一個特定的功能，它們能夠相對較快地開發(fā)出來和融合在一起。

·容器即服務(wù)（CaaS）

另一種形式的PaaS，為容器提供了一個平臺。容器（容器：一種輕量級應(yīng)用虛擬化方法，能夠?qū)?yīng)用封裝和隔離在自己的操作環(huán)境中。它能夠幫助開發(fā)人員更快地構(gòu)建和部署應(yīng)用，同時降低與虛擬機相關(guān)的開銷）是一種輕量級應(yīng)用虛擬化方法，能夠?qū)?yīng)用封裝和隔離在自己的操作環(huán)境中。它能夠幫助開發(fā)人員更快地構(gòu)建和部署應(yīng)用，同時降低與虛擬機相關(guān)的開銷。CaaS通常運行Kubernetes或Docker Swarm等系統(tǒng)來管理容器。

·基礎(chǔ)架構(gòu)即服務(wù)（IaaS）

企業(yè)和機構(gòu)加載操作系統(tǒng)和運行軟件所用的虛擬計算機。云系統(tǒng)能夠?qū)⑺邢到y(tǒng)的計算、內(nèi)存和存儲子系統(tǒng)虛擬化，包括Google Compute Engine、DigitaloCean、Linode和亞馬遜云科技等。

云計算模式

另一種分類方法是按照云服務(wù)的位置分類。這些部署位置或模式包括：

·公有云：

任何人付費即可使用的共享互聯(lián)網(wǎng)云服務(wù)，這是最常見的云計算模式。

·私有云

企業(yè)或機構(gòu)在自己的硬件上為自己構(gòu)建的內(nèi)部專用云平臺。亞馬遜云科技最初就是一個支持亞馬遜電子零售業(yè)務(wù)的私有云。一些企業(yè)和機構(gòu)甚至將其公有云工作負載卸載和遷移到自己的私有云上，這種現(xiàn)象叫做“云遣返”。

·混合云：

將一部分服務(wù)放到私有云上，一部分服務(wù)放到公有云上。這通常是為了更好地控制數(shù)據(jù)和成本。

·社區(qū)云

多租戶云系統(tǒng)，允許具有相似需求和關(guān)注點的多個組織在同一平臺上協(xié)作。政府機構(gòu)傾向于使用這一部署模式。

2

詳解多云

我們已經(jīng)確立了定義，現(xiàn)在我們再來探討一下多云的不同用例。剛才提到過，最常見的多云形式是使用來自兩個或更多公有云提供商的服務(wù)（SaaS/PaaS/IaaS）。如果企業(yè)和機構(gòu)在亞馬遜云科技中部署了應(yīng)用（IaaS）、在Salesforce中安裝了客戶關(guān)系管理系統(tǒng)（PaaS）并使用Dropbox進行存儲（SaaS），即可被視為采用了多云配置?？上攵?，多云環(huán)境是多么的常見。

多云蔓延

由于將不同的應(yīng)用部署到了不同的云平臺上，各個組織團隊和業(yè)務(wù)流程可能還在運行符合自身獨特需求的專屬云環(huán)境。不同的云提供商會針對不同的應(yīng)用提供更優(yōu)的功能，業(yè)務(wù)用戶一般會從中選擇最佳解決方案。這是一個動態(tài)的過程，不同的團隊會發(fā)現(xiàn)更新更好的解決方案，并將傳統(tǒng)系統(tǒng)遷移到不同的云空間。這可能會導(dǎo)致IT治理碎片化，進而導(dǎo)致IT安全碎片化。這個問題很嚴重。

隨著企業(yè)和機構(gòu)的成熟，他們通常會意識到他們需要使用一個統(tǒng)一的戰(zhàn)略（和安全策略）將這些多云部署整合在一起。接下來我們詳細探討一下這個問題。

多個云上的單一應(yīng)用

云計算的流行離不開容器和微服務(wù)這兩大神器的加持。這些工具能夠提高應(yīng)用的可移植性，允許用戶根據(jù)需要將它們快速部署到不同的FaaS或CaaS云中。這意味著企業(yè)和機構(gòu)可以動態(tài)調(diào)整應(yīng)用的運行位置，從而獲得更優(yōu)的報價、確保應(yīng)用靠近用戶并應(yīng)對不斷變化的法律要求，或者快速響應(yīng)可用性事件，最終有效進行超大規(guī)模擴展，在全球多個云提供商產(chǎn)品中實現(xiàn)負載均衡。這種形式的多云有時被稱為“全云”。

請注意，此處并非一定要借助微服務(wù)或容器，您還可以在IaaS中使用普通的傳統(tǒng)常規(guī)計算實例。但是使用容器和微服務(wù)器會更快一些，因為它們更小、更易于部署。

為何將應(yīng)用放到多個云上？

我們知道，一些企業(yè)和機構(gòu)使用多云并非是刻意為之，而是水到渠成。實際上，影子IT的存在加上獲取/部署云應(yīng)用的便捷性，讓很多企業(yè)在還沒有制定通用戰(zhàn)略之前，就自然而然地就引入了多云配置。但是，企業(yè)和機構(gòu)選擇多云的原因有很多：

·獲取最佳功能

每個云提供商都有自己的明星產(chǎn)品和長處，而不同的部門又有不同的工具和功能需求，可以各取所需。

·獲取更好的報價

每個云提供商對不同的服務(wù)有不同的收費標準，企業(yè)和機構(gòu)可以根據(jù)需要從中選擇最經(jīng)濟的方案。

·減少云單一化風(fēng)險

何必將所有雞蛋放在一個云提供商的籃子里呢？企業(yè)和機構(gòu)都希望能夠靈活遷移到效果最好、最合需求的云平臺上。如果是大規(guī)模部署，還可以貨比三家，擇優(yōu)從之。

·增加彈性

多云可以減少對廠商的依賴性，即使一個云提供商的產(chǎn)品遇到中斷，也還有更多其他備份選項。這可以幫助企業(yè)和機構(gòu)在全球所有云提供商應(yīng)用中實現(xiàn)負載均衡。

·讓連接更靠近用戶/客戶

不同的云提供商在不同的地理區(qū)域提供不同的服務(wù)。通過混合使用云平臺，企業(yè)和機構(gòu)可以在最靠近用戶和客戶的地區(qū)提供更全面的服務(wù)。

·實現(xiàn)數(shù)據(jù)主權(quán)（數(shù)據(jù)主權(quán)：一個國家或地區(qū)制定的關(guān)于在境內(nèi)存儲和處理公民數(shù)據(jù)的特定條例）：

許多國家和地區(qū)都制定了關(guān)于在國家或地區(qū)境內(nèi)存儲和處理公民數(shù)據(jù)的具體法律條例。通過使用多云配置，企業(yè)和機構(gòu)可以將不同云提供商的產(chǎn)品與不同的區(qū)域站點相組合，從而在實現(xiàn)全局覆蓋的同時仍遵守數(shù)據(jù)主權(quán)法律的規(guī)定。

多云計算的興起也帶來了新的安全挑戰(zhàn)：更多云服務(wù)就意味著要操作更多的按鈕和控桿，查看更多的儀表盤，以及控制更多的內(nèi)置安全與管理工具。

關(guān)于作者

Raymond Pompon

F5 Labs主管

Raymond Pompon現(xiàn)任F5 Labs主管，擁有20多年的互聯(lián)網(wǎng)安全工作經(jīng)驗，經(jīng)常密切協(xié)助聯(lián)邦執(zhí)法部門開展網(wǎng)絡(luò)犯罪調(diào)查。他曾直接參與了幾起重大入侵案件的調(diào)查，包括FBI臥底飛鉤行動和西北醫(yī)院僵尸網(wǎng)絡(luò)起訴案件。他撰寫了《IT安全風(fēng)險控制管理：審計預(yù)備方案》并經(jīng)由Apress出版。

Peter Scheffler

獨立顧問

Peter在軟件行業(yè)擁有超過30年的從業(yè)經(jīng)驗，并在此前做過近十年的業(yè)余程序員，已經(jīng)深耕Web應(yīng)用開發(fā)和應(yīng)用安全領(lǐng)域20余年。作為一名獨立顧問，Peter潛心為財富1000強企業(yè)和注重安全的政府組織開發(fā)網(wǎng)絡(luò)和應(yīng)用訪問安全解決方案。Peter目前在F5 Networks擔(dān)任網(wǎng)絡(luò)安全解決方案架構(gòu)師，幫助當(dāng)今的企業(yè)和機構(gòu)遠離網(wǎng)絡(luò)攻擊。

Lori Mac Vittie

F5云計算、云和應(yīng)用安全、應(yīng)用交付

業(yè)務(wù)的首席技術(shù)宣傳官

Lori Mac Vittie是F5云計算、云和應(yīng)用安全、應(yīng)用交付業(yè)務(wù)的首席技術(shù)宣傳官，負責(zé)F5整個產(chǎn)品套件的宣傳和推廣。Mac Vittie在高科技公司和大型企業(yè)中積累了豐富的開發(fā)和技術(shù)架構(gòu)經(jīng)驗。在加入F5之前，Mac Vittie是《網(wǎng)絡(luò)計算雜志》（Network Computing Magazine）備受贊譽的資深技術(shù)編輯，期間撰寫了大量面向IT專業(yè)人士的各種主題的文章。她擁有威斯康星大學(xué)格林灣分校的信息與計算科學(xué)學(xué)士學(xué)位，以及諾瓦東南大學(xué)的計算機科學(xué)碩士學(xué)位。她還是國際開發(fā)運維考試協(xié)會（DevOps Institute）和Cloudnow評議委員會的成員，被譽為DevOps界最有影響力的女性之一。