混合云安全怎么做 | FreeBuf甲方群话题讨论
2022-10-14 19:4:10 Author: FreeBuf(查看原文) 阅读量:8 收藏

《中国混合云用户调查报告》曾指出,中国企业将广泛拥抱多云混合部署模式,但企业IT基础设施演进到混合云架构,在如何保障安全,同时兼顾高效管理与成本控制方面还存在一些痛点和挑战。本期话题我们就围绕“混合云安全怎么做”为主题,就相关问题展开讨论。

一些企业认为混合云就是公有云和私有云的组合,在实际部署中是否确实如此?在向混合云迁移过程中的迁移方案该如何制订,避免出现兼容性或数据安全等问题?

A1:

一般默认的好像混合云就是公有云和私有云的组合。

A2:

理解是没有问题,公有云、私有云、内部计算环境/基础架构,毕竟很多没有能力或有能力搭建私有云的,同时也具有内部计算环境,也是计算在内的。

A3:

兼容性问题我不知道,数据安全知道一点、首先评估本地的数据,可以先尝试迁移数据上去,等稳定运行再切换,第二就是针对上云数据的合规评估,第三就是进行权限管理,因为在进行数据迁移过程中难免会出现过度授权或者授权混乱的情况,第四就是在传输过程中进行加密,私有云可以使用专线传输,稳定、安全,第五就是针对迁移上云的数据销毁或者保存的工作,还有最重要的一点就是私有云/本地网络环境,网络域分割控制,要不然出事直接玩完。

A4:

一般说的都是公有云和私有云。因为标准不统一,所以混合云是万恶之源,会带来很多工作量。多家公有云叫跨云或者多云。

A5:

现在大部分混合云状态,就是把公有云和私有云的服务打通了,说实话安全做得很不好。很多公司都是这么做,也是没办法,想少花钱,都是无奈之举,其实安全可做的事情很多。

Q:混合云本身具有的动态弹性、大规模和服务多样及复杂性等特点,在管理上似乎面临较大的挑战,大家对此在运维和统一管理上有没有什么思路或见解?

A1:

其实成熟方案就是混合云管,我们有这个自研的产品,很大的。因为我在给其他央企做项目时候也会遇到多云异构的场景,多数是历史遗留,所以上混合云管,但是都需要定制化开发,有钱才能玩得起。

A2:

在大规模混合云服务集群下,多云的自动化、统一化管理才是最有挑战的,包括云和云间的通信,云容灾,统一的云的配置,数据流量调度等,我们以前的解决思路就是用微服务,各个云只买基础计算资源,利用微服务在各个云上起服务。

A3:

多云的自动化、统一化管理基本上做不到,应用层面还好一点,基础架构、安全是灾难。

Q:鉴于上述的一些特点,企业该如何通过混合云实现效率和成本之间的平衡?

A1:

如果设备数量超过1000台,私有云的运营和管理成本会低于公有云运营和管理成本。

A2:

云贵在安全服务上吧,我记得一个WAF就要几万/年,带宽还不大的情况下。

A3:

会把一些纯子企业外网访问的公告类小网站(基本不和其它业务交互)迁移到公有云上,公有云的稳定性要好点。通过专网会把病毒防护之类安全防护延伸到公有云上的虚机上降低一部分成本。

A4:

实际上核心业务目前还是不考虑上公有云。上得去下不来,这中间成本很高。之前做过一次从私有云向公有云迁移,最终基本是重新部署,与一键上云差别太大了。

A5:

国内环境。要上混合云,基本上就是老板要白嫖支撑团队:
1.如果你原来是IDC选手让你上公有云,大概是老板想削减你们部门的人头数。用公有云制衡一下硕大的支撑团队;
2.如果原来主要用公有云,现在要搞IDC,那说明老板觉得支撑团队不忙,想压榨劳动力换取更大的利润。

如果是出海之类的不方便在当地建机房另说。

A6:

是吗?我们这算账,托管IDC的费用比公有云高很多。上云可以降本增效,有合规强制要求的另说。

A7:

那说明你们IDC水太深了,要么利用率太低,要么机房买了很多不合适的东西。利用率相同的情况下,IDC要省很多。IDC比云高,主要是闲置资源太多,而云可以按需买,不用就退。

A8:

小规模上公有云便宜,大规模推荐自建,有边界效应。

A9:

这个量分界线是不是上万台机器?

A10:

不用那么夸张,资源管理不到位,可能几百台就有体现了。

A11:

看业务场景,其实说白了就是IDC很难保证利用率,也很难细化资源。

A12:

这个问题其实就是边界效益了,我从0-1 建设了比较多的云,痛苦的也有很多,主要是考虑网络设备、安全设备和带宽这些一次性投入以后,只增加服务器的时候,那么这个效益就出来了,也就是规模越大,其实私有云最合适, 比例的话1000+ 以上的规模吧 。

话题二:如果向企业的国外服务器上传公司自己内部员工的信息,比如名字,性别,邮箱,电话,手机号这种的基本信息,需要做数据出境评估吗?

A1:

算,要评估。

A2:

这些最基本的信息只要流量到了国外就要评估咯?找测评机构?

A3:

“是否可以向企业的国外服务器上传公司自己内部员工的信息,比如名字,性别,邮箱,电话,手机号这种的基本信息”,这个本身就是数据出境评估。

A4:

我们是先找乙方做了评估方案,再跟进数据出境量看是否需要报备。

A5:

公司内部员工信息应该不算的吧,只要出境都算?

A6:

肯定算啊!国家没说出入境,是否和员工有什么关系,只要出入境,是公民数据的都算啊!

A7:

不一定要做数据出境安全评估(根据几种情形),但一定要做自评估了。

A8:

外企,员工数据肯定在国外有,这个也要搞数据出境?

A9:

已经属于将在境内运营中收集和产生的数据传输、存储至境外了。

A10:

都要,我们是因为业务说了一套系统,部署在海外的,数据就出境了。

A11:

自我评估怎么做?

A12:

法定需要安全评估的情形有:
数据处理者向境外提供重要数据;
关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
国家网信部门规定的其他需要申报数据出境安全评估的情形。

如公司主体被认定为关键信息基础设施运营者,则跨境传输用户的个人信息和重要数据都需要通过安全评估。

——————————————————

本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!

加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?

申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部

如有疑问,也可扫码添加小助手微信哦!

FreeBuf甲方群成员(因篇幅限制仅展现部分行业成员):

金融行业:贝宝金融 安全负责人、成都农商银行 信息安全负责人、晋商银行 安全负责人、北京银行 安全负责人、君龙人寿 技术负责人、合合信息 合规负责人、合生 信息安全负责人、航天产业投资基金IT负责人、工银金融 信息安全负责人、前海联合基金 信息安全负责人、天弘基金 安全负责人、阳光保险 信息安全部负责人、南京证券 安全负责人、宝马金融 信息安全经理  

运营商中国联通 网络安全主管、中国电信 信息安全技术主管、上海电信 网络安全主管、天津电信SOC主管、太平洋电信 研发总

互联网:云畅游戏 信息安全总监、飞点网络 技术总监、聚水潭科技 信息安全总监、诺亚控股 业务安全中心总监、哥伦比亚中国 信息安全总监非夕科技信息安全总监、赫基国际 信息安全部负责人、熵通科技 信息安全负责人建发集团 信息安全经理 
其他:大学长教育 数据安全与合规总监、温州城市大学 信息技术服务中心科长、作业帮 安全负责人、同程艺龙 安全总监、新奥集团 安全总监、中译语通 安全总监、集贤科技 安全总监、德邦快递 安全总监、盒子科技 安全总监、猎豹移动 安全总监、蚂蚁集团 实验室负责人、结行科技 数据安全负责人、苏宁 网络安全经理、新浪 网络安全经理、吉利汽车 信息安全经理 

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651199334&idx=1&sn=8e06871ea8907412babd2c0dddf9bece&chksm=bd1d85ed8a6a0cfb77d60f1008002a4cc30cda214fe30ec8e12dffdbcbec6e3949a8ab3c5cc1#rd
如有侵权请联系:admin#unsafe.sh