本文来自微信公众号“开源云中文社区”。
多云和混合云架构都涉及连接不同的基础设施。那么,你可能会认为,多云安全工具和策略也应该适用于混合云安全。这就错了——至少部分错了。尽管多云和混合云架构有很多共同点,但过去几年市场的发展方式意味着多云安全通常需要与混合云安全不同的方法。
多云与混合云安全:基础
为了理解为什么多云和混合云安全是不同的,让我们先看看多云和混合云有什么共同点,从每个术语的定义开始:
——多云是一种云计算策略,企业可以同时使用多个云(如AWS和Azure,或AWS和私有云)。
——混合是将公共云基础设施和私有基础设施作为通过中央控制平面管理的单一统一云环境的一部分。
多云和混合云的共同点是,它们都涉及同时使用不同的基础设施。无论使用多云还是混合云策略,你都依赖于位于不同位置的多组服务器。
也就是说,多云和混合云架构在其他关键方面有着根本的不同:
——控制平面:使用混合云,有一个中央控制平面来管理所有基础设施的工作负载。多云通常不是这样。对于多云,你可以同时使用多个云,每个云具有不同的控制平面。
——一致性:使用中央控制平面管理混合云,这意味着以一致的方式配置和管理混合云工作负载。换句话说,你可以对所有混合云工作负载使用相同的身份和访问管理(IAM)框架、相同的监控工具等。多云的情况并非如此,因为每个云都以不同的方式实现其服务,因此通常需要处理不同类型的云服务。例如,AWS IAM与Azure IAM截然不同,如果你使用涉及AWS和Azure的多云架构,则需要掌握这两种框架。
——供应商控制:今天,主导市场的混合云平台由公共云提供商销售。AWS提供Outposts。Azure提供Azure Stack和Azure Arc。谷歌提供Anthos。这意味着,如果现在运行一个混合云,你可能正在使用公共云提供的服务和一组工具来管理它。
为什么混合云安全需要不同的方法
上述多云和混合云的区别是多云安全需要不同于混合云安全的方法的原因。
在混合环境中,工作负载以一致、集中的方式进行配置和管理——通常通过特定公共云平台的原生工具。这意味着你可以使用支持特定公共云的任何安全工具来保护混合云工作负载。例如,大多数支持AWS的安全解决方案都适用于基于AWS Outposts的混合云。这对于基于Azure和Azure Stack的混合云,或者基于GCP和Anthos的混合云来说都是一样的。从安全工具的角度来看,使用这些框架构建的混合云环境与标准公共云环境基本相同。
但是,使用多云,你将拥有两个或更多基本上不同的云环境。因此,你需要能够支持所有这些环境的安全解决方案。例如,如果你想保护AWS Azure多云环境,你需要同时适用于AWS和Azure的安全工具。
在混合和多云安全解决方案之间进行选择
从安全平台市场的角度来看,多云和混合云安全之间的差异并不巨大,因为许多云安全平台支持所有主要的公共云。因此,无论你使用哪种混合云框架,或者使用哪组公共云来构建多云架构,都可以使用支持所有主要云的安全平台来保护它。
但并非所有安全平台都能做到这一点。例如,有些只迎合AWS或只迎合Azure。它们可能适用于仅使用AWS或Azure技术运行的混合云,但不适用于需要同时保护这两种云的能力的多云环境。
此外,关于混合云安全,还需要考虑一些细微差别。尽管混合云工作负载在大多数方面看起来像公共云工作负载,但了解混合云环境的独特网络配置的能力对于需要在网络级别检测威胁的安全解决方案可能很重要。支持“空气间隙”混合云工作负载(即与互联网完全断开连接的工作负载)也可能是实践空气间隙的企业的一个考虑因素。而且,检测混合云环境特有的合规性问题的能力,例如在公共云基础设施上存储数据时,数据应留在本地,可能会影响混合云安全解决方案的有效性。
结论:选择正确的云安全架构
底线:不要假设多云安全解决方案也能够实现混合云安全,反之亦然。你需要评估需要保护的环境背后有哪些特定的云平台和框架,然后找到支持所有这些的安全平台。还请记住,如果复杂的混合云网络配置或数据存储要求适用于你的工作负载,请注意这些细微差别。
