云计算平台能为组织带来特殊收益,并具备多种卓越能力,包括性能和可伸缩性 (Scalability)、消除了硬件依赖、帮助组织将工作重点聚焦于业务运营需求,以及可计量服务 (Measured Service)一 所有特性都可能比组织运营自有数据中心的总体成本和投资更低。然 而,基于同样的因素,云平台也带来特定的风险和挑战,有时,成本节约效果并不像设想的 那样好,或未达到预期的规模。下面将讨论云平台的相关风险和挑战,分析如何应对和减轻 这些风险和挑战,介绍云环境中的业务持续和灾难恢复(BCDR)的要求和收益。

理解云基础架构组件

云基础架构由许多与传统数据中心相同的组件构成,只是从云计算环境的角度部署而已。 云基础架构添加了一些特有组件

物理环境

虽然云计算模型已经成为一项革命性技术,但组织所托管的系统和应用程序,在云环境模型中的基础架构和需求与传统数据中心模型没有差异;云环境只是从云客户那里抽象出关 注程度较高的部分和细节。然而,特别是对于大型公有云系统,云环境中所需的规模效应和 协调工作要复杂得多。

传统组织数据中心,特别是对于大型组织而言,将拥有数于台计算机和令人难以置信的 冷却及公用设施需求。在大型云环境中,通常会看到数万或数十万台服务器,分布在几个(有 时是几十个)物理位置。

拥有如此大规模的数据中心需要大量电力和冷却资源。在具备高可用性和韧性的云环境 中,所有系统必须都是高度冗余的,并以一种不会导致任何停机或允许在任何维护期间产生 单点故障的方式执行维护工作。由于云环境大多承载着大量的云客户,任何停机时间都将产 生巨大影响,并对云客户和云服务提供商而言影响非常明显。积极的一面是,由于如此多的云 客户汇集资源云服务提供商专注于为其云产品构建专用基础架构,而不是托管具有不同需求 的众多不同类型的系统因此规模经济效益是组织托管其自有数据中心时无法做到的。
在内部数据中心需要冗余的电源和冷却设施,而实际的物理环境还有额外的冗余问题。 云服务提供商需要多路独立的电力供给,此外,通常还需要在过渡期间或在电力供应不可用 时提供发电和电池备份服务。

外部冗余内部冗余
电力供给/线路配电装置
变电站机房供电
发电机冷却器和装置
发电机燃料箱网络系统
网络闭路系统存储单元
建筑物接入点物理接入点
制冷/冷却基础架构

为将环境和自然灾害带来的风险降至最低,云服务提供商应为其数据中心寻找合适的物 理位置,而不必像传统组织那样在地理上与总部或办公地点绑定。根据定义,云环境是通过 网络(而不是物理访问)访问的,只要云服务提供商拥有大量且足够的网络带宽,云环境的位 置就可位于国家或世界的任何地方,以便利用更便宜的设施、土地和公用设施。云环境的另 一个物理安全优势来自于大型数据中心的规模经济以及租用这些数据中心的云客户数量。对 于一个数据中心而言,复杂和冗余的安全级别可能非常昂贵,但当成本可分摊到所有云客户 中时,每个云客户都可享受到远远超过其承受能力的、技术更先进的安全保障。

网络与通信网络

对云环境至关重要,因为网络是为云客户和用户提供访问其系统、应用程序和软件 工具的唯一途径。从云服务的意义上讲,网络完全是云服务提供商的责任,云客户和用户只 希望能一直保持工作,永远不会出现网络无法访问的情形。
网络硬件
当涉及构建一套网络时,多个层将开始发挥作用,即便云客户和用户没有亲眼看到所有 层,但每一层都有自己的问题和挑战。基本层是物理网络组件,如物理的线缆和布线。特别 是在大型数据中心,布线工作量非常大,而团队通常只专注于组织的物理布线(Physical Wiring)。
一旦物理布线到位,就必须将其连接到设备和机器上。这构成了数据中心网络的下一层, 即由交换机、路由器和网络安全设备组成的大型网络。这个层通常在分层系统中构建,该系 统在物理上将网络分段,以实现多层的隔离和安全性。通过分离不同的服务器层或限制特定 区域内的流量,物理上对网络实施分段可提供额外的安全性。如果攻击方的攻击成功地渗透 到数据中心的网络层,这种物理隔离可将漏洞和访问的程度降至最低。
除了在物理上将网络分段之外,软件/虚拟分离是通过虚拟局域网(Virtual Local Area Network, VLAN)等机制实现的。VLAN允许为属于同一类或属于同一应用程序或客户的服 务器提供专IP地址间隔从而提高了安全性,并在网络级别与其他系统隔离。VLAN不依 赖于物理网络设备,因此,无论硬件物理位置如何,都可以跨越数据中心;服务器不需要位 于同一机架中,甚至不需要连接到相同的交换机或路由器。
软件定义网络

云计算的一个主要方面是使用软件定义网络(Softw are-D e finedNetworking, SDN)。在SDN 中,关于在何处过滤或发送流量的决策与流量的实际转发是完全独立的。对于云计算而言, 这种分离非常重要,因为分离允许云网络管理员根据当前需求和云客户的诉求快速、动态地 调整网络流量和资源。通过与网络组件的分离,云服务提供商可构建管理工具;允许使用 Web门户或云管理界面的人员变更网络,而不必登录实际网络组件或需要网络管理员的知识 技能来完成变更。由于所提供的访问级别和可控制的资源类型,任何SDN实现都需要附加 高等级的安全性,并对访问执行严格控制措施和日常监测。

计算

与传统数据中心模型一样,云计算是围绕处理能力建设的。简单地说,计算和处理能力 定义为系统和环境的CPU和内存伬心小。在使用物理服务器的传统服务器设置中,很容易定 义和管理这两类资源,因为每台服务器代表一个有限且唯一的单元,无论是在配置、还是在 运行指标和观察趋势的能力上。在云环境中,考虑到资源池和多租户的因素,计算能力在规 划和管理方面变得更复杂。对于大型虚拟环境,云服务提供商已经建设了大量的资源,全部 资源都可以在所有系统、应用程序和云客户之间共享,并以这样的方式实施:每个系统、应 用程序和云客户在任何特定的时间点都能拥有所需的资源,以满足高可用性、性能和可伸缩 性需求。
预留
预留(Reservation)是云环境中向云客户保证的最小资源。预留可涉及计算的两个主要方 面:内存和处理。有了预留功能,云服务提供商保证云客户总是至少拥有必要的可用资源来 启动和运行云客户的服务。在服务于大量云客户的大型云环境中,预留功能在拒绝服务攻击 或来自可能使用大量云资源的其他主机和系统的高利用率服务的情况下尤其重要,因为预留 为所有云客户提供了最低级别的运营保证。
限制
与预留相反限制(Li.rnit)是为强制云客户最大限度地利用内存或处理。限制功能可在虚 拟机级别或云客户的综合级别实施。限制旨在确保庞大的云资源不会由单个主机或云客户分 配或消耗,从而损害其他虚拟主机和云客户的利益。取决于云计算的特性,如自动伸缩和按 需自助服务,限制可以是“硬性的”或“固定的",但也可是灵活的,允许动态变化。通常情 况下,当允许限制根据当前条件和消费量动态变化时,这是通过“借用"额外资源而不是对 限制本身执行实际更改来实现的。
共享
在云环境中,共享(Share)的概念用于减轻和控制云客户对资源分配的请求,前提是云环 境当前没有能力提供足够资源。共享功能是通过云服务提供商定义的权重系统对云环境中的 主机实行优先级排序来实现的。判断哪些主机可以访问有限的剩余资源。特定主机的权重值 越高,主机可使用的资源就越多。

存储

从硬件的角度看,云环境中的海量存储与传统数据中心或服务器模型没有太大区别。存 储通常由独立冗余磁盘阵列(RedundantArrayof Inexpensive Disk, RAID)实现或存储区域网络 (Storage Area Network, SAN)组成 然后连接到虚拟化服务器基础架构。
卷存储

卷存储(Vblume Storage)指将存储分配给虚拟机,并在服务器上配置为典 型的硬盘驱动器和文件系统。尽管存储来自集中存储系统和I或已连接的网络,但对服务器而 言,卷存储将作为一个专用资源 就像其他计算和基础架构服务对虚拟化操作系统的表现一 样。使用卷存储系统,主基础架构存储分割为称为逻辑单元(LogicalUnit, LUN)的部分,由 虚拟机管理程序分配给特定的虚拟机,然后根据主机的操作系统通过特定方法加载。从存储 分配的角度看,这只是分配给虚拟机存储的预留部分。所有参数配置、格式化、使用率和文 件系统级安全性都由主机虚拟机的特定操作系统和主机的管理员处理。对象存储

对象存储(O bjectStorage)指将数据存储在与应用程序分离的系统上,用 户可通过A PI、网络请求或Web界面访问数据。通常,对象存储是作为额外的冗余步骤和性 能度量实现的。通过将对象存储从实际的主机实例中移除,云服务提供商可将专用资源集中 在管理对象存储系统上,从而优化存储性能和安全性。对象存储还具有独立于主机的冗余和 可伸缩系统还可优化特定功能或目标系统。
与传统的具有目录和树状结构的文件系统不同,对象存储使用平面系统,并为文件和对 象分配一个键值,然后使用该键值访问文件和对象。对象存储的不同实现可能会将这个值命 名为不同的名称但最终概念相同一 与使用传统的文件名命名法相比,使用一个唯一的键 值(通常是密文)来访问数据。许多云服务提供商使用对象存储作为基础架构的中心部分,如 虚拟主机镜像库。

虚拟化技术

虚拟化技术是云环境及其所有托管模型的主体。虚拟化 帮助云 环境为客户提供最大的收益,特别是资源池、按需自助服务和可伸缩性。运用虚拟化技术打 破了单一服务器的旧有模式和限制,即主机需要与服务器绑定在一起。相反,虚拟化允许在 许多主机和应用程序之间利用海量资源池。虚拟化技术还允许通过虚拟机管理程序 (Hypervisor)完成硬件抽象任务。
虚拟化中有两种类型的虚拟 机管理程序:类型l和类型2
类型1虚拟机管理程序

是直接与底层硬件绑定 运行的本机实现。换言之,类型l虚拟机管理程序在本地直接运行在硬件上,可直接访问硬 件组件和资源。类型l虚拟机管理程序是经过专门编写和优化的,可在裸机上运行并提供托 管环境正因为如此,类型l虚拟机管理程序编写的代码非常紧凑,总体上较精简,不需要 满足任何额外的需求。因此,类型l虚拟机管理程序还允许更严格的安全性和控制措施,因 为除了用于完成预期任务的应用程序或实用程序外,类型l虚拟机管理程序中没有运行其他 应用程序或实用程序。因此,与设计为高度灵活的传统操作系统相比,潜在的攻击向量和漏 洞要少得多。
类型2虚拟机管理程序
与类型l虚拟机管理程 序的不同之处在于:类型2虚拟机管理程序在主机操作系统上运行,而不是直接绑定到虚拟 主机服务器的底层硬件上。在类型2的实现中,当操作系统和虚拟机管理程序之间的交互成 为一个关键环节时,就需要考虑额外的安全性和架构问题。类型2 虚拟机管理程序不再直接 控制底层硬件,也不直接交互,这意味着由于中间位置的操作系统需要自己的资源、补丁需 求和运营监督,并可能损失部分性能。类型2虚拟机管理程序也意味着底层操作系统中的任 何安全问题都会影响虚拟机管理程序。
类型2虚拟机管理程序的本质及其对底层操作系统的依赖性,云安全专家在保 护虚拟机管理程序和主机时需要格外警惕,因为类型2虚拟机管理程序增加了复杂 性。如果云服务提供商具有健壮的虚拟机管理程序安全控制措施,但缺乏主机安全 性,整个平台就会变得脆弱且易于暴露。但大多数大型或公有云部署都不会使用 类型2虚拟机管理程序,因此对类型2的攻击受到较好的规避。然而应该注意,组 织必须知道当前使用的是哪类虚拟机管理程序。

管理平面

云计算环境中“管理平面”的概念与传统网络管理平面的定义略有不 同,尽管总体概念非常相似。在云环境中,管理平面集中于环境和其中所有主机的管理。不 必利用云环境中的单个主机,就可从一台独立服务器上执行某个物理位置的管理任务。管理 平面通常运行在专用服务器上,管理平面有自己与底层硬件的物理连接,以便将其功能和依 赖关系与环境的任何其他方面(包括虚拟机管理程序)分离开来。
管理平面可用来完成大量任务,帮助云计算成为特有技术。从管理平面看,可为虚拟服 务器配置分配给虚拟服务器的适当资源,例如,网络配置、处理、内存和存储。管理平面除 了可完成资源的发放和分配外,还可启动和停止虚拟主机和服务。
管理平面的功能通常为一系列公开的远程调用和功能执行,或者公开为一组API。API 通常通过客户端或更常见的Web门户来管理设备。Web门户通常在每个云环境实现中都是私 有的,具有针对本环境适用的底层脚本和功能,以及云服务提供商希望通过管理平面访问的 公开级别。
考虑到管理平面操作的访问权限和特权,组织对安全性的关注是最高级别的。因为管理 平面控制多个虚拟机管理程序, 一旦管理平面受到攻击,将导致攻击方完全控制整个环境, 并导致整个云环境脆弱不堪,这远高于受损的虚拟机管理程序可能带来的风险和威胁。只有 经过最严格审查和限制的管理人员才能访问管理平面,所有的访问和功能都应定期执行严格 的审计和审查。

关于云安全的延伸阅读
GB/T 37950-2019 信息安全技术 桌面云安全技术要求
艾瑞咨询 中国云安全行业研究报告 2021
CSA 云安全的新技术、新趋势、新研究 2022

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐