上云時租戶需要配備怎樣的瑞士軍刀.pdf

1、上云時，租戶需要配備怎樣的“瑞士軍刀”？首席科學家目錄1.租戶上云需要配備什么？2.租戶上云的典型場景及應對3.云安寶的云安全實踐一、租戶上云需要配備什么？租戶跟云平臺該如何劃分責任？Infrastructure as a ServiceIaaS數據應用中間件OS虛擬化服務器網絡Platform as a ServicePaaS數據應用中間件OS虛擬化服務器網絡Software as a ServiceSaaS數據應用中間件OS虛擬化服務器網絡租戶責任云服務商責任存儲存儲存儲共有責任租戶上云需要配備什么工具呢？云租戶云服務商提供基礎安全防DDoS入侵檢測防火墻應用和數據都上云后，如何安全訪問？

2、云平臺的資源、賬號、訪問權限，如何統一管理？Apache、Mysql等中間件的使用、配置都正確了么？租戶上云后還需要的能力虛擬化資源池物理資源池SaaSPaaSIaaS租戶難道還需要買一堆盒子，自己組裝解決方案？租戶需要的是“瑞士軍刀”！二、租戶上云的典型場景及應對場景一：云上資產管理需要“云堡壘機”租戶上云需要一款真正極致易用的資產管理工具，能夠有效解決云上資產管理混亂、運維不透明的問題，呼喚“云堡壘機”的出現。云堡壘機必須具備哪些條件呢人員分工細化資產規模龐大權限粒度細分安全等級提高移動終端接入數據規模更大虛擬化技術公有云私有云混合云工作業績評估自動化運維軟件定義數據中心終端BYOD云堡壘

3、機具備的新特性云堡壘機是傳統堡壘機超集虛擬機鏡像分發手機運維和審計與云的接口打通IT資源監控集群、水平可擴展賬號集中管理單點登錄訪問控制與授權操作審計新舊云堡壘機為什么不是傳統堡壘機，而一定是“云堡壘機”？成本高體驗差部署難n 運輸成本：硬件設備需交通工具和人力運輸。n 基礎設施成本：需準備機房、機柜，電源，網線，Ip地址。n 售后成本：現場排查，更換設備時需郵寄。n 報廢成本：資源浪費，還占據地方。n 硬件設備需來回運輸。n 需要準備機房、機柜，電源，網線，Ip地址等基礎設施。n 售后需現場排查，更換設備時需郵寄。n 設備報廢，不僅浪費資源，還占據空間。n VPC內需要虛擬的堡壘機；硬件堡壘

4、機無法管理虛擬機n 多個機房、異地部署、集群部署時，需要運輸設備，需要機房現場部署運維痛點：運維人員累成狗7*24小時值班緊急電話領導現場授權7*24小時值班，確保機房運轉正常，運維人員累成狗。在機房的時候一切正常，一腳邁出機房，緊急支援電話響起，只能趕回機房。需要執行特權操作時，領導需要在場授權?？诖\維：運維不能只在PC上進行睡覺時度假時聚餐時隨時隨地運維虛擬化資源池物理資源池傳統資源監控費時費力手動命令手動敲free、top等命令，查看性能、負載情況，費時費力。主機性能不透明主機性能咋樣！我登錄主機看看不能實時掌握主機性能情況。后知后覺出了故障，業務中斷，才知道是性能或可靠性導致。輕量級

5、、一站式的監控租戶上云需要輕量級、一站式的資源監控，不僅能對基礎的CPU、內存、硬盤、網絡進行監控，還應對中間件狀態、系統賬號異動進行監控?；A狀態網絡狀態中間件&應用進出流量端口協議進程狀態中間件狀態系統賬號變化CPU內存硬盤Scale Out集群管理當云上資產達到一定規模后，單機已經不能滿足業務上的需求，云上更需要集群。而傳統集群的部署往往復雜且價格昂貴，云上需要一種傻瓜式且廉價的集群管理，租戶只要動動鼠標即可完成一個集群的創建和部署。云上大規模資產的特點云上集群的優勢機房多資源多跨云部署混合組網阿里云騰訊云華為云部署簡單跨云管理彈性好統一管控場景二：如何安全、方便的遠程訪問？應用和數據上

6、云后，需要能夠安全、快捷的訪問這些應用和數據。但實際過程中面臨的挑戰有：如何防止有風險的URL對租戶的侵害？如何防止云上的數據被竊??？如何防止云上的業務系統的惡意攻擊？桌面應用如何在移動端進行訪問？Remote Browser訪問隔離通過應用發布的方式，使用遠程的Browser進行應用、數據的訪問，它的優勢是：有風險的URL只在Remote Browser上運行，不會侵害到用戶的終端 Remote Browser運行在Docker環境中，隔離性好 對于敏感數據，用戶只能在Remote Browser中瀏覽，無法通過拷貝、下載等手段對數據進行竊取 關鍵的業務應用系統只接受來自Remote Bro

7、wser的訪問，有效防止業務系統免受DDOS攻擊HTML5技術取代傳統遠程訪問客戶端軟件傳統的遠程訪問還依賴Putty、SecureCRT、MSTSC等工具軟件，其弊端是無法在多終端上使用，賬號需要在本地客戶端軟件中駐留極易引起安全風險。使用HTML5技術，在主流瀏覽器中呈現Putty、SecureCRT、MSTSC同樣的功能，使用流暢程度也一點不差 賬號不需要在本地駐留，切換終端賬號不丟失。賬號可以隨時被回收 HTML5技術可以運行在Windows、MacOS、Android、iOS等多個OS中，可以實現多終端下同樣的操作體驗場景三：資產管理管理與服務發現挑戰一：因為安全的需要，會使用堡壘機

8、對幾百臺服務器進行批量的自動改密。但自動改密之后，可能會對業務帶來致命的影響，如：l Jenkins持續部署的流水線業務，因連接目標服務器密碼錯誤，部署失??！l 用Ansible每天執行的自動巡檢與配置管理等自動化運維腳本，因連接目標服務器密碼錯誤，執行失??！如何保證密碼改安全的同時，服務與業務也穩定運行？場景三：資產管理管理與服務發現挑戰二：l 企業IT環境愈加復雜，數量龐大、種類繁多的IT設備很難被有效管理，以這些IT設備為基礎的各種IT服務更難管理。l 企業IT環境不斷變化，設備或服務的變更和事故，排查愈加困難，影響難以評估。政企一批一批購買服務器，但到底運行哪些應用？服務器-中間件-業

9、務應用如何映射？服務宕掉或被攻破，如何確定是哪個中間件、哪臺服務器出了問題？場景四：自動化運維租戶上云后，傳統的自動化運維工具（如Puppet，Ansible）失效或部分失效，主要表現在：傳統自動化工具無法與堡壘機的資產賬號打通傳統自動化工具操作缺乏審計與管控傳統自動化工具基于命令行手動執行，不易用傳統自動化工具不夠智能自動化運維與云堡壘機聯動傳統自動化工具無法直接與云堡壘機聯動，最大的瓶頸是傳統堡壘機上的資產、賬號、權限等無法直接與傳統自動化工具打通。傳統自動化工具虛擬化資源池物理資源池云堡壘機云堡壘機在設計上要滿足：提供SSH、TELNET、FTP、SFTP等協議的賬號API接口，滿足傳統

10、自動化工具訪問設備的要求；提供執行命令API接口，滿足傳統自動化工具遠程執行命令的要求；輕量級自動化運維成為云堡壘機的必備租戶上云后日常的自動化運維工作完全可以由云堡壘機勝任，通過在云堡壘機中內置輕量級的自動化運維插件，并為用戶提供簡單易用的操作界面，讓普通用戶也能享受自動化運維帶來的便捷。1批量添加主機2選擇腳本或直接輸入命令3選擇是否sudo執行4查看結果還可以一鍵運行執行過的腳本或命令智能運維及時發現系統潛在問題租戶上云后，面臨的一個問題是：由于中間件的配置不合理而引發性能和安全的問題。自動化運維須更智能，對不合理的中間件配置、異常行為進行發現、處理、優化等。中間件配置異常賬號異常其它異

11、常三、云安寶的云安全實踐云安寶Portfolio努力打造成為租戶上云的“資產管理、業務訪問、數據保護”的入口?。ü性?、私有云、混合云）資產匯聚+運維4A+安全接入云應用加密CASB虛擬化資源池物理資源池SaaS、網盤、郵箱數據保護、威脅防護應用可視、合規資產/賬號/訪問權限管理操作與審計、自動運維與公有云的合作云匣子已登陸云加密已登陸示范應用國家某中心北京A地北京B地上海廣州業務痛點n 部署了大數據平臺，缺乏4A安全管控；n 單個機房資源數量超過3萬，傳統堡壘機性能急速下降；n 傳統堡壘機缺乏多地統一集中管控能力；n 單點故障會導致局部機房不可訪問；n 部署了多臺傳統堡壘機，但無法聯動。云匣

12、子集群集中管控解決方案云安寶公司專門為中心部署了集群化的云匣子，把四地機房統一管控起來，解決了單點故障問題、性能等問題。產品效益n 4個機房資產集中管理，運維工作更加高效、快捷、安全；n 數據同步，避免因單機房故障導致的業務中斷；n 審計日志集中存儲，減少了人力搬運審計日志的工作量。示范應用重慶聯通云安寶負責承建的“中國聯通重慶數據中心基于云匣子的云平臺安全管控與審計系統”已入選工信部電信行業網絡安全試點示范項目使用情況重慶聯通通過“云匣子”管理其數據中心500臺服務器和網絡設備，資產價值8000萬元以上；使用用戶200人產品效益“云匣子”有效管控設備資產，提升運營能力，支撐重慶聯通1億元以上營業收入業務痛點n 多個人員使用同一個賬號登錄系統，造成管理混亂，如何有效集中賬號管理？n 針對核心服務業務，如何分析運維人員的工作情況和敏感操作？n 終端需要安裝不同的運維工具，操作不便謝謝