本文來自微信公眾號“開源云中文社區(qū)”。
多云和混合云架構都涉及連接不同的基礎設施。那么,你可能會認為,多云安全工具和策略也應該適用于混合云安全。這就錯了——至少部分錯了。盡管多云和混合云架構有很多共同點,但過去幾年市場的發(fā)展方式意味著多云安全通常需要與混合云安全不同的方法。
多云與混合云安全:基礎
為了理解為什么多云和混合云安全是不同的,讓我們先看看多云和混合云有什么共同點,從每個術語的定義開始:
——多云是一種云計算策略,企業(yè)可以同時使用多個云(如AWS和Azure,或AWS和私有云)。
——混合是將公共云基礎設施和私有基礎設施作為通過中央控制平面管理的單一統(tǒng)一云環(huán)境的一部分。
多云和混合云的共同點是,它們都涉及同時使用不同的基礎設施。無論使用多云還是混合云策略,你都依賴于位于不同位置的多組服務器。
也就是說,多云和混合云架構在其他關鍵方面有著根本的不同:
——控制平面:使用混合云,有一個中央控制平面來管理所有基礎設施的工作負載。多云通常不是這樣。對于多云,你可以同時使用多個云,每個云具有不同的控制平面。
——一致性:使用中央控制平面管理混合云,這意味著以一致的方式配置和管理混合云工作負載。換句話說,你可以對所有混合云工作負載使用相同的身份和訪問管理(IAM)框架、相同的監(jiān)控工具等。多云的情況并非如此,因為每個云都以不同的方式實現(xiàn)其服務,因此通常需要處理不同類型的云服務。例如,AWS IAM與Azure IAM截然不同,如果你使用涉及AWS和Azure的多云架構,則需要掌握這兩種框架。
——供應商控制:今天,主導市場的混合云平臺由公共云提供商銷售。AWS提供Outposts。Azure提供Azure Stack和Azure Arc。谷歌提供Anthos。這意味著,如果現(xiàn)在運行一個混合云,你可能正在使用公共云提供的服務和一組工具來管理它。
為什么混合云安全需要不同的方法
上述多云和混合云的區(qū)別是多云安全需要不同于混合云安全的方法的原因。
在混合環(huán)境中,工作負載以一致、集中的方式進行配置和管理——通常通過特定公共云平臺的原生工具。這意味著你可以使用支持特定公共云的任何安全工具來保護混合云工作負載。例如,大多數(shù)支持AWS的安全解決方案都適用于基于AWS Outposts的混合云。這對于基于Azure和Azure Stack的混合云,或者基于GCP和Anthos的混合云來說都是一樣的。從安全工具的角度來看,使用這些框架構建的混合云環(huán)境與標準公共云環(huán)境基本相同。
但是,使用多云,你將擁有兩個或更多基本上不同的云環(huán)境。因此,你需要能夠支持所有這些環(huán)境的安全解決方案。例如,如果你想保護AWS Azure多云環(huán)境,你需要同時適用于AWS和Azure的安全工具。
在混合和多云安全解決方案之間進行選擇
從安全平臺市場的角度來看,多云和混合云安全之間的差異并不巨大,因為許多云安全平臺支持所有主要的公共云。因此,無論你使用哪種混合云框架,或者使用哪組公共云來構建多云架構,都可以使用支持所有主要云的安全平臺來保護它。
但并非所有安全平臺都能做到這一點。例如,有些只迎合AWS或只迎合Azure。它們可能適用于僅使用AWS或Azure技術運行的混合云,但不適用于需要同時保護這兩種云的能力的多云環(huán)境。
此外,關于混合云安全,還需要考慮一些細微差別。盡管混合云工作負載在大多數(shù)方面看起來像公共云工作負載,但了解混合云環(huán)境的獨特網絡配置的能力對于需要在網絡級別檢測威脅的安全解決方案可能很重要。支持“空氣間隙”混合云工作負載(即與互聯(lián)網完全斷開連接的工作負載)也可能是實踐空氣間隙的企業(yè)的一個考慮因素。而且,檢測混合云環(huán)境特有的合規(guī)性問題的能力,例如在公共云基礎設施上存儲數(shù)據(jù)時,數(shù)據(jù)應留在本地,可能會影響混合云安全解決方案的有效性。
結論:選擇正確的云安全架構
底線:不要假設多云安全解決方案也能夠實現(xiàn)混合云安全,反之亦然。你需要評估需要保護的環(huán)境背后有哪些特定的云平臺和框架,然后找到支持所有這些的安全平臺。還請記住,如果復雜的混合云網絡配置或數(shù)據(jù)存儲要求適用于你的工作負載,請注意這些細微差別。