一、多云業(yè)務(wù)需求

根據(jù)Gartner的定義，多云是指企業(yè)同時(shí)擁有兩個(gè)或多個(gè)云計(jì)算平臺(tái)，在部署的時(shí)候可能會(huì)使用公有云、私有云或兩者的某種組合。

用戶(hù)的業(yè)務(wù)需求主要集中在以下幾個(gè)方面：

1. 多云接入

• 對(duì)于國(guó)內(nèi)公有云廠商，需要支持阿里云、騰訊云、華為云
• 對(duì)于國(guó)外公有云廠商，需要支持AWS、Azure、googleCloud
• 對(duì)于私有云需要兼容VMware、openstack、X-stack(公有云)等

2. 異構(gòu)資源納管

• 對(duì)基礎(chǔ)設(shè)施(計(jì)算實(shí)例、存儲(chǔ)、網(wǎng)絡(luò)、安全)和應(yīng)用程序資源統(tǒng)一管理(OpenAPI)
• 針對(duì)虛擬機(jī)、容器、服務(wù)網(wǎng)格等服務(wù)編排(自動(dòng)化模板)
• 高速互聯(lián)網(wǎng)接入與跨平臺(tái)的聯(lián)合網(wǎng)絡(luò)管理

3. 計(jì)量計(jì)費(fèi)

• 通過(guò)資源優(yōu)化和賬單估算進(jìn)行成本管理
• 云計(jì)算費(fèi)用報(bào)告和預(yù)算

4. 運(yùn)維監(jiān)控

• 需要支持跨云協(xié)調(diào)的功能，并提供對(duì)不同云服務(wù)性能的可見(jiàn)性
• 對(duì)基礎(chǔ)設(shè)施(計(jì)算實(shí)例、存儲(chǔ)、網(wǎng)絡(luò)、安全)和應(yīng)用程序的性能進(jìn)行監(jiān)控;
• 多云服務(wù)遷移(自動(dòng)執(zhí)行某些維護(hù)任務(wù)，例如將工作負(fù)載從一個(gè)云動(dòng)態(tài)移動(dòng)到另一個(gè)云)

5. 安全管理

• 安全性，包括身份管理和數(shù)據(jù)保護(hù)/加密
• 針對(duì)多云環(huán)境基礎(chǔ)架構(gòu)的安全保障
• 任務(wù)批準(zhǔn)工作流以及策略合規(guī)性審核

二、多云業(yè)務(wù)安全架構(gòu)

首先給大家分享一下多云安全架構(gòu)全景圖

我們先從多云基礎(chǔ)架構(gòu)說(shuō)起：

• 首先，多云基礎(chǔ)架構(gòu)建議全部選擇Kubernetes自動(dòng)化編排與Pod容器方式部署，盡量不要選擇虛擬機(jī)，因?yàn)樘摂M機(jī)無(wú)法編排其他公有云的網(wǎng)絡(luò)，無(wú)法實(shí)施更靈活的網(wǎng)絡(luò)隔離策略。雖然google為了重新定義云市場(chǎng)使用的伎倆，但是話說(shuō)回來(lái)，用戶(hù)是喜歡這個(gè)思路的，不會(huì)受單個(gè)云的限制，而且開(kāi)源免費(fèi)。
• 分離多云OpenAPI管理與容器編排管理，多云OpenAPI管理需要屏蔽底層多云的差異，創(chuàng)建云主機(jī)、基礎(chǔ)網(wǎng)絡(luò)、存儲(chǔ)等基礎(chǔ)設(shè)施。容器編排系統(tǒng)，則負(fù)責(zé)更高級(jí)的管理需求(第一點(diǎn)說(shuō)的)。
• 需要分離本地部署的kubernetes和中央控制中心。這樣獨(dú)立出一層，可以幫助用戶(hù)快速遷移部署。
• 使用lstio標(biāo)準(zhǔn)的網(wǎng)絡(luò)架構(gòu)一統(tǒng)多云。

有了標(biāo)準(zhǔn)的多云基礎(chǔ)架構(gòu)，那么我們的安全基礎(chǔ)架構(gòu)就容易規(guī)劃了。個(gè)人認(rèn)為每家的多云管理系統(tǒng)差異化主要體現(xiàn)基礎(chǔ)安全部分，應(yīng)用安全部分可以使用多家產(chǎn)品。

1. 如果我們把底層架構(gòu)都統(tǒng)一使用Kubernetes與Pod，那么，我們的多云基礎(chǔ)架構(gòu)安全其實(shí)是以容器安全為基礎(chǔ)。那么基于容器的安全生態(tài)需要建立起來(lái)。

(1) 針對(duì)基礎(chǔ)能力模型中的鏡像倉(cāng)庫(kù)，我們需要有鏡像倉(cāng)庫(kù)掃描，保證進(jìn)入到整個(gè)安全平臺(tái)的鏡像是安全的。

• 需要對(duì)上傳的容器鏡像有策略下發(fā)掃描能力，完成操作系統(tǒng)、軟件的已知CVE漏洞在線檢查功能，并且輸出報(bào)告。
• 需要對(duì)上傳的容器鏡像，對(duì)其關(guān)鍵位置文件做病毒木馬檢測(cè)、webshell檢測(cè)，并且輸出報(bào)告。
• 需要對(duì)上傳的容器鏡像，對(duì)其關(guān)鍵位置文件做敏感信息檢測(cè)，并且輸出報(bào)告。

(2) 針對(duì)Kubernetes與Pod需要做基線檢查，當(dāng)然部分基線配置需要在多云管理平臺(tái)側(cè)設(shè)置。這部分其實(shí)用過(guò)CIS_Kubernetes_benchmark 標(biāo)準(zhǔn)檢測(cè)即可。

(3) 容器運(yùn)行時(shí)安全，針對(duì)容器運(yùn)行非授信進(jìn)程、文件、網(wǎng)絡(luò)連接需要限制。同時(shí)聯(lián)動(dòng)停止或者刪除容器，控制網(wǎng)絡(luò)連接。形成閉環(huán)容器安全治理。

2. 多云基礎(chǔ)架構(gòu)容器安全，需要寄生在宿主機(jī)上(例如：云主機(jī)、裸金屬服務(wù)器、物理服務(wù)器)。所以主機(jī)安全需要支持安裝在任何上述環(huán)境中。

3. 為了更好的了解整個(gè)多云集群操作狀態(tài)，Kubernetes日志審計(jì)系統(tǒng)也是多云基礎(chǔ)安全必備的功能之一。

4. 最后，能上多云管理系統(tǒng)的公司，肯定是組織架構(gòu)復(fù)雜的，需要多方人員協(xié)調(diào)才能把安全運(yùn)營(yíng)閉環(huán)做好。

多云的應(yīng)用安全部分

1. 多云抗D與多云WAF

很多游戲公司都很早就集成多云抗D解決方案了。前幾年棋牌類(lèi)游戲。公有云A的解決方案不行，馬上通過(guò)調(diào)度系統(tǒng)切換，或者通過(guò)HTTPDNS，DNS自動(dòng)切換。保證游戲業(yè)務(wù)的可用性。云WAF也是一個(gè)道理。 

2. 自動(dòng)化漏掃服務(wù)與安全眾測(cè)

在多云場(chǎng)景中，可以選擇購(gòu)買(mǎi)多個(gè)自動(dòng)化漏洞掃描工具，獲取差異化漏洞掃描報(bào)告，同時(shí)目前國(guó)內(nèi)公有云大部分都可以按次計(jì)費(fèi)，方便在特定場(chǎng)景中實(shí)施(例如：重保、業(yè)務(wù)系統(tǒng)上線、例行安全巡檢等)。

再談?wù)劙踩姕y(cè)的事，其實(shí)安全眾測(cè)在安全圈也不是什么新鮮概念，但是伴隨著多云安全的概念重新粉飾，將會(huì)得到極大的應(yīng)用。畢竟多云的核心理念是獲得各家廠商的安全能力。

三、多云安全的未來(lái)

雖然現(xiàn)在階段多云管理安全解決方案是一個(gè)比較新的概念，在商業(yè)落地方面還比較薄弱，但是絕對(duì)是一個(gè)大的趨勢(shì)，趕不上這個(gè)風(fēng)口的公有云廠商未來(lái)的2~3年發(fā)展空間不會(huì)很大。google在這個(gè)浪潮中應(yīng)該是最大的贏家，通過(guò)開(kāi)源的容器編排系統(tǒng)Kubernetes，讓企業(yè)級(jí)消費(fèi)者接受并且可免費(fèi)使用自己管控的系統(tǒng)，獲得很大收益，其次通過(guò)Anthos架設(shè)多云管理平臺(tái)，最終商業(yè)落地使用谷歌云變現(xiàn)。大廠就是有資源，玩顛覆，對(duì)抗AWS。針對(duì)國(guó)內(nèi)后進(jìn)公有云廠商，快速落地其多云管理產(chǎn)品，快速推向用戶(hù)是當(dāng)務(wù)之急。