F5知識站 | 詳解多云及用例，以及對安全性的影響（上）

本系列文章將帶您了解多云安全戰略，包括新興全云實踐、函數即服務、容器即服務、云安全狀態管理和數據主權。閱讀本篇文章，您將會了解到多云的定義、類型、模式及用例。

1

走進多云

“多云”是指在一個組織單位內使用多個公有云服務提供商產品的模式?！禙5應用策略現狀報告》指出，每年都有越來越多的企業和機構使用多云戰略。那么多云究竟是什么意思？它對安全性有何影響？我們先了解一下基礎知識。

什么是云計算？

云計算有哪些特征？根據“云計算的NIST定義”1（NIST 800-145），如果計算平臺具有以下特征，則被視為云：

·一個自助服務系統，可以自動上線虛擬化計算資源

·廣泛的網絡連接，包括云內外每個資源之間的豐富連接

·多個消費者（多租戶）之間具有一定獨立性和抽象性的共享資源

·能夠按需快速擴展或縮減資源（出色的彈性），讓這些資源在用戶看來沒有限制

·通常以一些抽象的方式測量和計量使用

所有這些云功能都可以自動化運行，甚至能夠在更復雜的配置中進行編排。云技術的真正強大之處在于，它能夠提供出色的運營敏捷性?！鞍词褂酶顿M”模式允許您隨時按需租賃，將一筆大額資本支出（CapEx）變成多次小額運營支出（OpEx）。根據“專注核心業務，其余外包”的商業理論，云戰略允許您專注于應用業務，云提供商則負責服務器、機架、電纜、服務器機房、設施和必要的高技能人才等方面。這些云提供商可以利用規模效益拓展深度（更多服務）和廣度（更多資源）?？紤]到云平臺可以幫助快速展開新想法，把它轉化成實實在在的產品和服務，也就不難理解為什么多數企業和機構都希望使用云來實施應用現代化了。

云計算服務的類型

市面上有一些技術服務是作為云服務來提供的，客戶一般會根據需求混搭使用。這些服務包括：

·軟件即服務（SaaS）

通過API或Web服務提供的云業務應用，例如Dropbox、Zoom、Office 365、Salesforce和ServiceNow。

·平臺即服務（PaaS）

支持使用云端運行組件快速構建應用的彈性軟件平臺，例如Azure、SAP Cloud、Google App Engine、Heroku、亞馬遜云科技（AWS）Lambda、Salesforce Lightning、Cloud Foundry和Openshift。

·函數即服務（FaaS）

一種特殊形式的PaaS，可以在無服務器環境（僅代碼，無服務器）中運行微服務或一個功能。

·微服務

是一種小型單一用途應用組件，用于構成更大、更復雜的應用。您可以為一個函數編寫一個微服務程序，并且由于每個函數都著重解決一個特定的功能，它們能夠相對較快地開發出來和融合在一起。

·容器即服務（CaaS）

另一種形式的PaaS，為容器提供了一個平臺。容器（容器：一種輕量級應用虛擬化方法，能夠將應用封裝和隔離在自己的操作環境中。它能夠幫助開發人員更快地構建和部署應用，同時降低與虛擬機相關的開銷）是一種輕量級應用虛擬化方法，能夠將應用封裝和隔離在自己的操作環境中。它能夠幫助開發人員更快地構建和部署應用，同時降低與虛擬機相關的開銷。CaaS通常運行Kubernetes或Docker Swarm等系統來管理容器。

·基礎架構即服務（IaaS）

企業和機構加載操作系統和運行軟件所用的虛擬計算機。云系統能夠將所有系統的計算、內存和存儲子系統虛擬化，包括Google Compute Engine、DigitaloCean、Linode和亞馬遜云科技等。

云計算模式

另一種分類方法是按照云服務的位置分類。這些部署位置或模式包括：

·公有云：

任何人付費即可使用的共享互聯網云服務，這是最常見的云計算模式。

·私有云

企業或機構在自己的硬件上為自己構建的內部專用云平臺。亞馬遜云科技最初就是一個支持亞馬遜電子零售業務的私有云。一些企業和機構甚至將其公有云工作負載卸載和遷移到自己的私有云上，這種現象叫做“云遣返”。

·混合云：

將一部分服務放到私有云上，一部分服務放到公有云上。這通常是為了更好地控制數據和成本。

·社區云

多租戶云系統，允許具有相似需求和關注點的多個組織在同一平臺上協作。政府機構傾向于使用這一部署模式。

2

詳解多云

我們已經確立了定義，現在我們再來探討一下多云的不同用例。剛才提到過，最常見的多云形式是使用來自兩個或更多公有云提供商的服務（SaaS/PaaS/IaaS）。如果企業和機構在亞馬遜云科技中部署了應用（IaaS）、在Salesforce中安裝了客戶關系管理系統（PaaS）并使用Dropbox進行存儲（SaaS），即可被視為采用了多云配置?？上攵?，多云環境是多么的常見。

多云蔓延

由于將不同的應用部署到了不同的云平臺上，各個組織團隊和業務流程可能還在運行符合自身獨特需求的專屬云環境。不同的云提供商會針對不同的應用提供更優的功能，業務用戶一般會從中選擇最佳解決方案。這是一個動態的過程，不同的團隊會發現更新更好的解決方案，并將傳統系統遷移到不同的云空間。這可能會導致IT治理碎片化，進而導致IT安全碎片化。這個問題很嚴重。

隨著企業和機構的成熟，他們通常會意識到他們需要使用一個統一的戰略（和安全策略）將這些多云部署整合在一起。接下來我們詳細探討一下這個問題。

多個云上的單一應用

云計算的流行離不開容器和微服務這兩大神器的加持。這些工具能夠提高應用的可移植性，允許用戶根據需要將它們快速部署到不同的FaaS或CaaS云中。這意味著企業和機構可以動態調整應用的運行位置，從而獲得更優的報價、確保應用靠近用戶并應對不斷變化的法律要求，或者快速響應可用性事件，最終有效進行超大規模擴展，在全球多個云提供商產品中實現負載均衡。這種形式的多云有時被稱為“全云”。

請注意，此處并非一定要借助微服務或容器，您還可以在IaaS中使用普通的傳統常規計算實例。但是使用容器和微服務器會更快一些，因為它們更小、更易于部署。

為何將應用放到多個云上？

我們知道，一些企業和機構使用多云并非是刻意為之，而是水到渠成。實際上，影子IT的存在加上獲取/部署云應用的便捷性，讓很多企業在還沒有制定通用戰略之前，就自然而然地就引入了多云配置。但是，企業和機構選擇多云的原因有很多：

·獲取最佳功能

每個云提供商都有自己的明星產品和長處，而不同的部門又有不同的工具和功能需求，可以各取所需。

·獲取更好的報價

每個云提供商對不同的服務有不同的收費標準，企業和機構可以根據需要從中選擇最經濟的方案。

·減少云單一化風險

何必將所有雞蛋放在一個云提供商的籃子里呢？企業和機構都希望能夠靈活遷移到效果最好、最合需求的云平臺上。如果是大規模部署，還可以貨比三家，擇優從之。

·增加彈性

多云可以減少對廠商的依賴性，即使一個云提供商的產品遇到中斷，也還有更多其他備份選項。這可以幫助企業和機構在全球所有云提供商應用中實現負載均衡。

·讓連接更靠近用戶/客戶

不同的云提供商在不同的地理區域提供不同的服務。通過混合使用云平臺，企業和機構可以在最靠近用戶和客戶的地區提供更全面的服務。

·實現數據主權（數據主權：一個國家或地區制定的關于在境內存儲和處理公民數據的特定條例）：

許多國家和地區都制定了關于在國家或地區境內存儲和處理公民數據的具體法律條例。通過使用多云配置，企業和機構可以將不同云提供商的產品與不同的區域站點相組合，從而在實現全局覆蓋的同時仍遵守數據主權法律的規定。

多云計算的興起也帶來了新的安全挑戰：更多云服務就意味著要操作更多的按鈕和控桿，查看更多的儀表盤，以及控制更多的內置安全與管理工具。

關于作者

Raymond Pompon

F5 Labs主管

Raymond Pompon現任F5 Labs主管，擁有20多年的互聯網安全工作經驗，經常密切協助聯邦執法部門開展網絡犯罪調查。他曾直接參與了幾起重大入侵案件的調查，包括FBI臥底飛鉤行動和西北醫院僵尸網絡起訴案件。他撰寫了《IT安全風險控制管理：審計預備方案》并經由Apress出版。

Peter Scheffler

獨立顧問

Peter在軟件行業擁有超過30年的從業經驗，并在此前做過近十年的業余程序員，已經深耕Web應用開發和應用安全領域20余年。作為一名獨立顧問，Peter潛心為財富1000強企業和注重安全的政府組織開發網絡和應用訪問安全解決方案。Peter目前在F5 Networks擔任網絡安全解決方案架構師，幫助當今的企業和機構遠離網絡攻擊。

Lori Mac Vittie

F5云計算、云和應用安全、應用交付

業務的首席技術宣傳官

Lori Mac Vittie是F5云計算、云和應用安全、應用交付業務的首席技術宣傳官，負責F5整個產品套件的宣傳和推廣。Mac Vittie在高科技公司和大型企業中積累了豐富的開發和技術架構經驗。在加入F5之前，Mac Vittie是《網絡計算雜志》（Network Computing Magazine）備受贊譽的資深技術編輯，期間撰寫了大量面向IT專業人士的各種主題的文章。她擁有威斯康星大學格林灣分校的信息與計算科學學士學位，以及諾瓦東南大學的計算機科學碩士學位。她還是國際開發運維考試協會（DevOps Institute）和Cloudnow評議委員會的成員，被譽為DevOps界最有影響力的女性之一。