前言:
2017年5月,由國(guó)家發(fā)改委主管、國(guó)家信息中心主辦的《信息安全研究》期刊特別策劃,以信息安全國(guó)際合作為主題,推出微軟中國(guó)專題欄目。期刊邀請(qǐng)了微軟公司資深副總裁、微軟大中華區(qū)董事長(zhǎng)兼首席執(zhí)行官柯睿杰、微軟亞洲研究院主管研究員朱斌、世紀(jì)互聯(lián)藍(lán)云技術(shù)運(yùn)維總經(jīng)理湯濤、微軟中國(guó)首席安全官邵江寧和微軟亞太研發(fā)集團(tuán)法律事務(wù)總經(jīng)理羅立凡等人撰寫論文。其中,世紀(jì)互聯(lián)藍(lán)云技術(shù)運(yùn)維總經(jīng)理湯濤在《云服務(wù)的安全運(yùn)維平臺(tái)》一文中展現(xiàn)了世紀(jì)互聯(lián)藍(lán)云在云安全領(lǐng)域的實(shí)踐,并向業(yè)界介紹了如何打造世界一流本土可信云的經(jīng)驗(yàn)。
早在2015年1月,國(guó)務(wù)院印發(fā)《關(guān)于促進(jìn)
云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》,為促進(jìn)創(chuàng)業(yè)興業(yè)、釋放創(chuàng)新活力提供有力支持,為經(jīng)濟(jì)社會(huì)持續(xù)健康發(fā)展注入新的動(dòng)力。《意見》提出,要加快發(fā)展云計(jì)算,打造信息產(chǎn)業(yè)新業(yè)態(tài),推動(dòng)傳統(tǒng)產(chǎn)業(yè)升級(jí)和新興產(chǎn)業(yè)成長(zhǎng),培育形成新的增長(zhǎng)點(diǎn),促進(jìn)國(guó)民經(jīng)濟(jì)提質(zhì)增效升級(jí)。到目前,我國(guó)云計(jì)算服務(wù)能力大幅提升,創(chuàng)新能力明顯增強(qiáng),在降低創(chuàng)業(yè)門檻、服務(wù)民生、培育新業(yè)態(tài)、探索電子政務(wù)建設(shè)新模式等方面取得積極成效,云計(jì)算數(shù)據(jù)中心區(qū)域布局初步優(yōu)化,發(fā)展環(huán)境更加安全可靠。預(yù)計(jì)到2020年,云計(jì)算將成為我國(guó)信息化重要形態(tài)和建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的重要支撐。
云計(jì)算是一種新興的計(jì)算模型,它是在網(wǎng)絡(luò)計(jì)算的基礎(chǔ)上發(fā)展起來(lái)的,目前已經(jīng)在社會(huì)各個(gè)領(lǐng)域發(fā)揮著多方面的作用,從支持網(wǎng)站的發(fā)布,支撐企業(yè)應(yīng)用,移動(dòng)互聯(lián)網(wǎng),
物聯(lián)網(wǎng),大數(shù)據(jù)等等這些往往在底層都離不開云計(jì)算的支持。云計(jì)算本質(zhì)上是一種按使用量付費(fèi)的服務(wù)模式,類似于水電等公共服務(wù),這種服務(wù)模式可以為用戶提供無(wú)所不在、便捷的、按需的網(wǎng)絡(luò)訪問(wèn),進(jìn)入可配置的計(jì)算資源共享池(這些資源包括網(wǎng)絡(luò),服務(wù)器,存儲(chǔ),應(yīng)用和服務(wù)),這些資源在只需投入微乎其微的管理工作,或與云服務(wù)提供商進(jìn)行極少的交互就能被快速獲取或者釋放。
云計(jì)算作為一種服務(wù),必然會(huì)深刻影響和改變軟件開發(fā)、軟件架構(gòu)、軟件測(cè)試、系統(tǒng)運(yùn)維等包括整個(gè)軟件生命周期的各個(gè)階段各個(gè)方面。隨著云計(jì)算的不斷發(fā)展壯大,云又可以按照共享的模型分為公有云、私有云和混合云等。本文從多個(gè)角度多層面探討公有云的云運(yùn)維,云安全以及與傳統(tǒng)
IT運(yùn)維的關(guān)系和區(qū)別。
云運(yùn)維時(shí)代的變遷
由于云計(jì)算服務(wù)與傳統(tǒng)的IT的計(jì)算有所不同,傳統(tǒng)IT是硬件廠商提供硬件,平臺(tái)軟件服務(wù)商提供平臺(tái)軟件,應(yīng)用軟件服務(wù)商提供應(yīng)用軟件,通常由企業(yè)IT部門負(fù)責(zé)企業(yè)的這些硬件、平臺(tái)軟件和應(yīng)用軟件的運(yùn)行維護(hù)。而在云計(jì)算應(yīng)用場(chǎng)景中,這些運(yùn)行維護(hù)通常就會(huì)切分成由云計(jì)算服務(wù)商和企業(yè)IT部門分別負(fù)責(zé)各自的服務(wù)。一般而言,由云服務(wù)商負(fù)責(zé)機(jī)房、網(wǎng)絡(luò)硬件、服務(wù)器硬件、云平臺(tái)、虛擬機(jī)以及一些相關(guān)的網(wǎng)絡(luò)服務(wù)等組成部分的運(yùn)維;而由用戶負(fù)責(zé)虛機(jī)內(nèi)的操作系統(tǒng),應(yīng)用程序等的運(yùn)行維護(hù)。由于云本身通常又分為三層,即基礎(chǔ)結(jié)構(gòu)即服務(wù)(Infrastructure as a Service,IaaS)、平臺(tái)即服務(wù)(Platform as a Service,PaaS)和軟件即服務(wù)(Software as a Service,
SaaS),在云服務(wù)這3個(gè)層面,云服務(wù)商和用戶各自負(fù)責(zé)的部分又有差異,如下圖所示:
傳統(tǒng)軟件應(yīng)用與云應(yīng)用
其中,IaaS在虛機(jī)及虛機(jī)以下,皆由云服務(wù)商負(fù)責(zé)運(yùn)維,而虛機(jī)內(nèi)的操作系統(tǒng)以及之上的部分則由用戶自主負(fù)責(zé)管理。對(duì)于PaaS而言,在運(yùn)行時(shí)以及以下部分,是由云服務(wù)商負(fù)責(zé)運(yùn)維,而用戶只需要負(fù)責(zé)數(shù)據(jù)和應(yīng)用。如果是使用SaaS,對(duì)于用戶而言,就會(huì)變得相對(duì)簡(jiǎn)單,因?yàn)橛脩艋旧喜恍枰?fù)責(zé)與應(yīng)用相關(guān)的任何運(yùn)維,都是由云服務(wù)商提供,也就是說(shuō)就這些系統(tǒng)而言,用戶的IT部門基本上不需要任何相關(guān)的運(yùn)維。
因此,在云時(shí)代,就IaaS和PaaS而言,傳統(tǒng)的IT運(yùn)維發(fā)生了根本性的變化,原有的運(yùn)維體系切分成兩部分,云平臺(tái)部分由云運(yùn)營(yíng)商負(fù)責(zé),而云平臺(tái)之上的部分則由用戶的IT部門負(fù)責(zé)。對(duì)于SaaS,傳統(tǒng)的IT運(yùn)維則完全轉(zhuǎn)移到云運(yùn)營(yíng)商負(fù)責(zé)。
同時(shí)對(duì)于云服務(wù)商而言,為了滿足多用戶的不同需求,使得云平臺(tái)底層硬件和數(shù)據(jù)中心的規(guī)模都需要擴(kuò)大,數(shù)據(jù)中心機(jī)房、機(jī)架、核心路由設(shè)備和服務(wù)器等硬件基礎(chǔ)設(shè)施也需要相應(yīng)地投入,這就與之前傳統(tǒng)互聯(lián)網(wǎng)數(shù)據(jù)中心(Internet Data Center,IDC)的運(yùn)維又不一樣。正是由于云服務(wù)需要大量的物理基礎(chǔ)設(shè)施,因此,對(duì)于傳統(tǒng)的IDC在業(yè)務(wù)模型上向云轉(zhuǎn)移更有得天獨(dú)厚的優(yōu)勢(shì),同時(shí)由于云業(yè)務(wù)的興起和蓬勃發(fā)展,也在一定程度上倒逼傳統(tǒng)的IDC在云業(yè)務(wù)方面通過(guò)多種不同方式在轉(zhuǎn)型。
云運(yùn)維與傳統(tǒng)運(yùn)維
傳統(tǒng)IT運(yùn)維本質(zhì)上而言是面向單服務(wù)器機(jī)或者服務(wù)器聚群的運(yùn)維,而云運(yùn)維則是相當(dāng)于把整個(gè)數(shù)據(jù)中心,甚至多個(gè)數(shù)據(jù)中心當(dāng)成一套大而全的物理硬件設(shè)備,在其上部署云操作系統(tǒng),實(shí)現(xiàn)在云操作系統(tǒng)的虛擬主機(jī)內(nèi)部署客戶的應(yīng)用程序,如下圖所示:
傳統(tǒng)IT運(yùn)維與云運(yùn)維
由此,傳統(tǒng)IT運(yùn)維向云運(yùn)維的轉(zhuǎn)變就不再是簡(jiǎn)單的單服務(wù)器到多服務(wù)器,而是涉及大規(guī)模硬件,云操作系統(tǒng),虛擬主機(jī),虛擬網(wǎng)絡(luò),跨虛擬主機(jī)的協(xié)同等等多層面多方位的增加。同時(shí)云服務(wù)的業(yè)務(wù)模型也決定了云運(yùn)維與傳統(tǒng)運(yùn)維的差異,本質(zhì)上云運(yùn)維是綜合了IDC基礎(chǔ)設(shè)施運(yùn)維和企業(yè)級(jí)IT運(yùn)維,涉及面從底層IDC基礎(chǔ)設(shè)施運(yùn)維,即業(yè)內(nèi)常說(shuō)的風(fēng)火水電等,到服務(wù)器物理硬件,再到云操作系統(tǒng),然后是虛擬網(wǎng)絡(luò)、虛擬機(jī)等等,一整套全方位多層面的運(yùn)維體系。如果直接給一個(gè)相應(yīng)的定義,云運(yùn)維就包含了IDC基礎(chǔ)設(shè)施運(yùn)維、傳統(tǒng)企業(yè)級(jí)IT運(yùn)維的底層部分,當(dāng)然其規(guī)模要大出很多,以及云業(yè)務(wù)相關(guān)的一系列外圍系統(tǒng)。由于云業(yè)務(wù)與傳統(tǒng)IDC以及企業(yè)IT業(yè)務(wù)也完全不同,因此,還需要很多額外的外圍系統(tǒng)作為云業(yè)務(wù)的支撐,這些系統(tǒng)也是云運(yùn)維的一個(gè)重要組成部分。這些外圍系統(tǒng)通常就包括業(yè)務(wù)和運(yùn)維支撐服務(wù)系統(tǒng)(Business and Operation Support Service, BOSS),或者也會(huì)經(jīng)常拆分開來(lái)成業(yè)務(wù)支撐服務(wù)系統(tǒng)(Business Support Service,BSS)和運(yùn)維支撐服務(wù)系統(tǒng)OSS(Operation Support Service,OSS),如下圖所示:
云服務(wù)模型
在云時(shí)代,運(yùn)維模型發(fā)生了根本性變化,云技術(shù)提供商與傳統(tǒng)解決方案技術(shù)提供商類似,但是由于云本身的特殊性,需要不斷的在生產(chǎn)環(huán)境,即云環(huán)境中不斷升級(jí)底層應(yīng)用系統(tǒng)。這就使得云技術(shù)提供商需要更多的團(tuán)隊(duì)來(lái)管理和分發(fā)部署包,而且是在生產(chǎn)環(huán)境中升級(jí),不像之前企業(yè)級(jí)IT運(yùn)維那樣,可以隨時(shí)對(duì)某部分服務(wù)器停機(jī)來(lái)升級(jí),就有點(diǎn)類似于給行駛中的汽車換輪胎,需要多工種一起協(xié)同才能達(dá)成。這樣就需要增加很多的不同的角色來(lái)負(fù)責(zé)協(xié)調(diào)和管理,比如云服務(wù)整合經(jīng)理和云服務(wù)提供經(jīng)理等等諸多傳統(tǒng)IT并不需要的一些角色。云產(chǎn)品交付后,也不再是直接交給用戶去使用和運(yùn)行維護(hù),而是交付給云服務(wù)提供商。而云服務(wù)提供商則需要比傳統(tǒng)IT擴(kuò)充更多的角色,不單單是增加BOSS系統(tǒng),而且更為重要地是需要增加云服務(wù)和業(yè)務(wù)服務(wù)、客戶支持、部署管理、過(guò)渡和遷移管理、運(yùn)維管理、安全和風(fēng)險(xiǎn)管理等等諸多涉及跨用戶的服務(wù)。而這其中大部分服務(wù)都需要7x24x365的支持。因?yàn)樵品⻊?wù)上的用戶多種多樣,業(yè)務(wù)系統(tǒng)也多種多樣,有的用戶要求高,有的用戶要求低,有的用戶可以接受5x8(5個(gè)工作日,每天8小時(shí)支持),有的客戶則需要7x24(全天候支持)等等,作為基礎(chǔ)服務(wù)平臺(tái)的運(yùn)維而言,往往就只能選擇最高的要求作為服務(wù)基線。就像五星級(jí)酒店一樣,不管客戶什么時(shí)候來(lái)、什么時(shí)候需要,熱水等等都可以隨時(shí)提供服務(wù)。
對(duì)于云用戶而言,就不再像以前那樣需要完整的運(yùn)維系統(tǒng)及運(yùn)維人員,云用戶只需要關(guān)心應(yīng)用解決方案層面的運(yùn)維,也就是說(shuō)更專注于業(yè)務(wù)系統(tǒng),而不再需要關(guān)心什么時(shí)候需要采購(gòu)擴(kuò)充物理硬件。這樣一來(lái),對(duì)于云運(yùn)維而言,就比傳統(tǒng)IT運(yùn)維提出了更高的要求,也對(duì)云運(yùn)維從業(yè)工程師提出了更高的要求,傳統(tǒng)IT運(yùn)維往往只需要考量單個(gè)或者基于群集的多臺(tái)服務(wù)器,而在云運(yùn)維階段,云運(yùn)維工程師需要考慮更多云服務(wù)組件的部署,多租戶的資源分配,虛擬主機(jī)和網(wǎng)絡(luò)協(xié)同等等,對(duì)工程師的要求也更高。就云運(yùn)維而言,這就需要通盤考慮,特別是不能停機(jī)的情況下升級(jí)系統(tǒng)等等,這是一個(gè)很典型地從量變到質(zhì)變的過(guò)程。
云運(yùn)維平臺(tái)
云運(yùn)維的廣度和復(fù)雜度在一定程度上就決定了對(duì)運(yùn)維人員和相關(guān)運(yùn)維系統(tǒng)的要求高度。如何能保障云平臺(tái)的穩(wěn)定可靠,就需要有相關(guān)的外圍系統(tǒng)的支撐,這些系統(tǒng)主要包含云平臺(tái)管理系統(tǒng)和云服務(wù)系統(tǒng),其中,云平臺(tái)管理系統(tǒng)又可以分為如下4個(gè)類別:
1、運(yùn)維支持服務(wù)系統(tǒng)
運(yùn)維支持服務(wù)系統(tǒng)主要提供云平臺(tái)后臺(tái)的運(yùn)維支持相關(guān)服務(wù),比如云平臺(tái)的監(jiān)控和事件管理、變更和配置管理、容量和性能管理、IT資產(chǎn)和許可管理、平臺(tái)和基礎(chǔ)結(jié)構(gòu)管理等等,其功能通常如下表所示:
2、業(yè)務(wù)支持服務(wù)系統(tǒng)
業(yè)務(wù)支持服務(wù)系統(tǒng)通常包括與客戶相關(guān)的商務(wù)和服務(wù)系統(tǒng),比如客戶管理系統(tǒng)、合同和協(xié)議管理系統(tǒng)、訂閱管理和價(jià)格管理等等,這些相關(guān)系統(tǒng)以及其功能描述如下表所示:
3、業(yè)務(wù)管理流程及API管理系統(tǒng)
由于云服務(wù)涉及多樣化的流程,甚至是跨業(yè)務(wù)部門的流程,因此,業(yè)務(wù)流程的管理和各個(gè)系統(tǒng)之間以及系統(tǒng)內(nèi)的API管理就很重要。業(yè)務(wù)流程有的可以整合到云運(yùn)維平臺(tái)中,即是系統(tǒng)對(duì)系統(tǒng)的業(yè)務(wù)流程,有的可能是信息系統(tǒng)與紙質(zhì)或者郵件的結(jié)合。
4、云服務(wù)內(nèi)部管理或第三方合作伙伴管理系統(tǒng)
云服務(wù)運(yùn)維平臺(tái)通?赡苄枰峁┕芾淼谌胶献骰锇榈南到y(tǒng)等,以及內(nèi)部的管理系統(tǒng),比如內(nèi)部辦公系統(tǒng)、內(nèi)部郵件系統(tǒng)等等。這些與常規(guī)的企業(yè)內(nèi)部
信息化管理系統(tǒng)類似,在此不再一一復(fù)述。
云安全與合規(guī)
云安全是個(gè)比較大的范疇的問(wèn)題,涉及到云的安全防護(hù),比如反病毒、防攻擊、防滲透等外來(lái)攻擊,還涵蓋用戶的數(shù)據(jù)安全,比如防泄漏、防監(jiān)守自盜等多方面。這些問(wèn)題都是云運(yùn)維中不可避免,而且需要著重強(qiáng)調(diào)和考慮的。
通常在云平臺(tái)中,需要有多重的防DDOS攻擊和黑客攻擊滲透的工具和手段。在防DDOS方面通常業(yè)界有比較流行的處理方法,比如軟硬防火墻、協(xié)議分析、流量清洗、黑洞等等。由于云平臺(tái)用戶的多樣性和復(fù)雜性,不僅要防由外而內(nèi)的攻擊,還需要注意由內(nèi)向外的攻擊,這種往往就是用戶的虛擬機(jī)被劫持或者是惡意用戶通過(guò)云平臺(tái)對(duì)外的DDOS攻擊。而防黑客攻擊方面,包含日常的漏洞掃描、及時(shí)打補(bǔ)丁、針對(duì)一些開源技術(shù)的可能漏洞進(jìn)行跟蹤。為了防止帳號(hào)和服務(wù)等的劫持,除了采用必要的雙因子認(rèn)證以外,還需要加強(qiáng)對(duì)堡壘機(jī)的安全加固,并且構(gòu)建威脅分析模型,對(duì)所有可能的威脅做全面的分析,必要時(shí)執(zhí)行包含白客掃描在內(nèi)的多樣化的掃描的模擬攻擊以便找到并堵住這些潛在的風(fēng)險(xiǎn)和漏洞。
在用戶之間做好嚴(yán)格的隔離也非常重要,比如在Azure平臺(tái)中,就有多方面的隔離措施:首先在網(wǎng)絡(luò)上有完全的邏輯隔離技術(shù),內(nèi)網(wǎng)IP在跨用戶賬戶之間不可以訪問(wèn),在用戶訪問(wèn)權(quán)限上有邏輯隔離,而且在數(shù)據(jù)存儲(chǔ)上也通過(guò)加密及讀寫隔離措施防止用戶訪問(wèn)之前磁盤上別的用戶存儲(chǔ)的但已邏輯刪除的數(shù)據(jù)等方式。
在次就是增強(qiáng)用戶數(shù)據(jù)的安全性方面,需要提供多種加密方式可以供用戶選擇用于保護(hù)用戶存儲(chǔ)的數(shù)據(jù)。將所有數(shù)據(jù)訪問(wèn)活動(dòng)記入日志,并且讓用戶可以訪問(wèn)自己的日志也是用戶數(shù)據(jù)安全防護(hù)的重要手段之一。數(shù)據(jù)的異地同步、異地容災(zāi)也有利于增強(qiáng)用戶數(shù)據(jù)的安全性。云運(yùn)維工程師對(duì)客戶數(shù)據(jù)無(wú)常設(shè)的訪問(wèn)權(quán)限,只有在客戶提供書面授權(quán)的情況下才按照客戶要求訪問(wèn)客戶的數(shù)據(jù),而且用戶的書面授權(quán)書和相應(yīng)的操作日志都完整保存,并保證可追溯。這樣也是滿足國(guó)家信息安全三級(jí)等級(jí)的審計(jì)要求,以及滿足工信部可信云認(rèn)證的要求的重要保障,同時(shí)也是防止監(jiān)守自盜的重要方法,對(duì)于用戶而言這樣的用戶數(shù)據(jù)安全性就會(huì)比較有信心。
在云合規(guī)方面,根據(jù)國(guó)家法律法規(guī)的要求,不僅需要把數(shù)據(jù)物理上保存在境內(nèi),而且需要嚴(yán)格地提供針對(duì)各種相關(guān)法律法規(guī)的要求,以及政策方面的要求的十分嚴(yán)格又易于理解的解釋,以便用戶了解能做什么不能什么。按照這些要求,針對(duì)用戶的數(shù)據(jù)進(jìn)行存儲(chǔ)和管理。在合規(guī)方面,還需要定期開展第三方獨(dú)立審計(jì),以便滿足上述不同的合規(guī)要求。由于云平臺(tái)作為底層平臺(tái),用戶部署在其上的系統(tǒng)需要滿足合規(guī)的要求時(shí),云服務(wù)商往往也可能需要配合并滿足用戶相關(guān)的合規(guī)要求。
結(jié)語(yǔ):
云服務(wù)的質(zhì)量不僅僅取決于技術(shù)的先進(jìn)性,同樣重要的是也取決于云運(yùn)維的服務(wù)質(zhì)量。本文從云運(yùn)維的變遷入手,簡(jiǎn)要地描述了云運(yùn)維與傳統(tǒng)運(yùn)維的區(qū)別,著重描述了云運(yùn)維平臺(tái)的各個(gè)系統(tǒng)以及這些系統(tǒng)的基本功能,同時(shí)也簡(jiǎn)明扼要地闡述了云安全以及云合規(guī)的基本要求。這些都是云運(yùn)維的重要組成部分,也是云服務(wù)商日常需要考慮和涉及的。世紀(jì)互聯(lián)全資子公司上海藍(lán)云網(wǎng)絡(luò)科技有限公司在4年多來(lái)提供Azure和O365云服務(wù)過(guò)程,一直致力于為國(guó)內(nèi)用戶提供世界級(jí)的云技術(shù)和云服務(wù),為提升國(guó)內(nèi)云技術(shù)和服務(wù)水平,為促進(jìn)國(guó)內(nèi)經(jīng)濟(jì)和社會(huì)的發(fā)展起到了積極作用。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:世紀(jì)互聯(lián)藍(lán)云湯濤:云服務(wù)的安全運(yùn)維平臺(tái)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839720717.html