企业环境下的云安全及发展趋势

发表评论 / 技术 / 作者: / 2019-07-26
打印 .PDF 电子书

在传统企业网络中,总部和各分支机构之间一般以专线互联,所有用户都直接或通过VPN接入企业内网。

传统的企业网络架构

企业的各种应用可以分为两类:内部应用和对外业务。每个应用均由相应的硬件设备、应用软件和权限管控构成。内部应用部署在企业内网,位于内部机房或数据中心;对外业务部署在DMZ(Demilitarized Zone,非军事区),常常会交给第三方IDC托管;同时,企业会部署各种IT管理和安全防护机制,以保证应用能够正常提供服务。

企业应用的分类和构成-示例

企业上云是将外部业务或内部应用向云上迁移的过程,具体包括对公有云、私有云和混合云的使用。

公有云
企业对公有云的使用,主要有三种情景:

  1. 使用公有云服务器等虚拟硬件设备(IaaS)或云平台(PaaS)提供对外业务,由企业管理和维护对外业务的应用软件;
  2. 使用公有云服务器等虚拟硬件设备(IaaS)或云平台(PaaS)提供内部应用,由企业管理和维护内部应用的应用软件;
  3. 使用公共的云应用(SaaS)替代企业原先的内部应用,企业不参与对应用软件的管理和维护。

企业在使用公有云服务时,与云服务提供商共同承担安全责任,因此需要部署相应的安全措施。同时,即使企业尚未计划将业务或应用整体向云上迁移,也可以利用基于云的安全技术服务,提高业务能力,增加部署的灵活性,并降低成本。

私有云
企业使用私有云时,对从物理设施到应用和数据都负有完全责任,具体可参考第二章的说明。

混合云
由于同时存在私有云和公有云环境,不同业务的部署和使用也可能有较大差异,企业在不同场景下的安全能力和责任要仔细厘定,综合考虑各种传统和新的云安全技术,妥善实施。一方面,企业对私有云以及企业内部的传统IT系统负有完全的责任,需要从物理设施到数据等各方面进行保护;另一方面,企业对公有云上的设施、应用和数据在不同场景下的安全责任不同,具有的控制能力也不尽相同,通常很难设定统一的规则和做法。同时,由于私有云甚至传统IT设施的存在,企业还必须明确物理基础设施和网络的边界,并基于对边界的认定构建纵深的安全防御体系。

混合结构的企业网络

随着技术和应用的进一步发展,我认为云计算将从根本上革新企业的信息和数据网络架构,未来将表现为云原生和多云:

  • 云原生(Cloud-native)
    • 企业的所有业务和应用都将基于公有云实现,云即基础设施(Cloud as the infrastructure)
    • 企业的所有应用对用户都表现为云服务。用户直接从公众网络访问企业资源,传统的企业内网将不复存在
  • 多云(Multi-cloud)
    • 企业将同时使用IaaS、PaaS和SaaS等多种模式的云服务
    • 企业使用的云服务可能以公有、私有、混合和社区等不同的模式部署
    • 云服务将来自多个不同的供应商

基于云的新架构

与目前的混合结构相比,基于云的新架构更灵活,易于管理和维护,而且企业只需要为实际使用的功能按时间付费。如果企业尚未建立成熟的IT架构和安全体系,直接基于云构建业务和应用将是更好的选择。同时,云安全技术是新架构的基础,将主要表现在四个方面:

  • 提供安全的业务和应用基础,如虚拟私有云、微隔离、容器安全、不可变基础设施
  • 对业务和应用的保障和管理,如云资源管理和监控、云灾备、云WAF、云应用管理
  • 对用户的管理和授权,如软件定义边界、IDaaS、云用户验证
  • 保护企业数据,如云端数据加密、云DLP、云密钥管理

———————————————————-

对于云计算未来的发展,公有云和混合云的争论一直非常激烈。在欧美市场,部分研究数据显示混合云市场的增长近年超过了公有云,并且不断有案例显示企业在选择公有云后继续建设和部署私有云设施;在国内,公有云和私有云市场的发展更加接近,从部分云计算相关的提供商和服务商看,私有云在近期对于业绩增长的贡献甚至已经超过了公有云。因此,尽管普遍认可未来最终将以公有云为主的说法,很多人相信混合云将在相当长的一段时间内是市场主流,但我们认为,欧美市场的争论可能会继续持续一段时间,但国内企业市场中,公有云在起步阶段之后将迅速成为主流。

如前所述,这样判断的基本依据是,国内企业的传统IT基础设施和相应管理普遍都非常薄弱,使得企业整体迁移到公有云的代价很低;同时,国内企业与欧美企业在传统IT基础设施上的差距,使得国内企业在对公有云架构及有关厂商和服务的使用上将更为激进。国内公有云市场的发展在整体将与移动互联网类似,最终将领先欧美。

以对微软Active Directory及类似目录服务的使用为例。目录服务能够实现对用户信息的集中管理,帮助企业内部各个应用和系统实现关联并形成统一的流程,是企业IT系统的基础性组成部分,也可以作为衡量企业IT建设阶段的基本参考。如果没有部署目录服务,企业对各种软件的使用通常只限于具体的功能,企业重新部署软件或使用替代软件的成本和顾虑也将仅限于软件的功能和直接成本;如果企业已经部署了目录服务,则还需要考虑与其他软件的协作和对整个工作流程的影响——整体而言,这一部分的成本远高于相应软件直接相关的部分。因此,在向公有云迁移的过程中,如果企业部署有目录服务并且建立了比较完善的IT系统和工作流程,将需要仔细规划迁移的步骤,保证迁移过程中业务能够持续和稳定进行,逐步实施。

我们在实际工作中得到的初步数据显示,欧美企业市场的目标客户中超过90%都部署有AD或其他目录服务,而国内企业中这一数字大约不到5%,成规模的企业中也不到10%,甚至有大量企业的用户管理是在使用钉钉或企业微信之后才建立起来。在这种情况下,与欧美企业普遍需要考虑使用私有云等设施进行过渡不同,国内大部分企业使用公有云的实质障碍只有软件的功能和直接成本。

当然,安全性一直是企业对公有云的重要顾虑,但这更多的只是观念问题。除了某些特殊的行业和应用场景,公有云的安全性普遍超过私有设施和系统,而且这一点将随着市场的发展被更多的企业和个人熟知。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注