《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 從負(fù)載均衡看云上應(yīng)用的安全訪問(wèn)與交付

從負(fù)載均衡看云上應(yīng)用的安全訪問(wèn)與交付

2021-07-25
來(lái)源:安全牛
關(guān)鍵詞: 負(fù)載均衡 安全

  業(yè)務(wù)上云可以助力企業(yè)更快速的數(shù)字化轉(zhuǎn)型,,更彈性高效的進(jìn)行計(jì)算資源的管理和分配,,隨著云計(jì)算發(fā)展的不斷深入和地方政府的積極響應(yīng)支持,全國(guó)各地的云計(jì)算數(shù)據(jù)中心數(shù)量正在如雨后春筍般的迅速增長(zhǎng),。在此形勢(shì)下,,為了適應(yīng)云環(huán)境產(chǎn)品的部署要求,硬件產(chǎn)品向軟件產(chǎn)品轉(zhuǎn)型,、硬件交付方式向軟件交付方式轉(zhuǎn)型已經(jīng)成為廠商和企業(yè)用戶業(yè)務(wù)發(fā)展的必然趨勢(shì),。

  在轉(zhuǎn)型的過(guò)程中,云應(yīng)用交付方案的安全問(wèn)題,、可適用性和高效性面臨著巨大挑戰(zhàn),,另外,企業(yè)用戶對(duì)于“新舊”解決方案的更替,、適配問(wèn)題也存在很多的疑慮,。本期《牛人訪談》,采訪到了上海弘積信息科技有限公司CTO高春華先生,高春華先生針對(duì)上述一系列問(wèn)題結(jié)合弘積科技的自身發(fā)展經(jīng)驗(yàn)對(duì)云應(yīng)用交付解決方案在實(shí)際云環(huán)境中面臨的落地難題和發(fā)展難題進(jìn)行了多方面的分析和解答,。以下是本期訪談內(nèi)容:

微信圖片_20210725194458.jpg

  上海弘積信息科技有限公司CTO 高春華

  一,、企業(yè)在數(shù)字化和云化轉(zhuǎn)型中,傳統(tǒng)“硬件盒子”的應(yīng)用交付面臨著哪些挑戰(zhàn),?云平臺(tái)應(yīng)用交付有哪些新的需求,?

  高春華:傳統(tǒng)IDC中心的應(yīng)用交付多采用硬件設(shè)備部署的方式,作為所有會(huì)話的流經(jīng)之地,,負(fù)載流量全部集中在硬件盒子上,,硬件性能是企業(yè)選型時(shí)關(guān)注的重要指標(biāo),有些企業(yè)對(duì)應(yīng)用交付處理能力甚至要達(dá)到200Gbps以上,,當(dāng)業(yè)務(wù)增長(zhǎng)到一定程度后就要進(jìn)行硬件擴(kuò)容,。特別是數(shù)字化時(shí)代,業(yè)務(wù)云化后,,傳統(tǒng)的硬件盒子面臨的主要挑戰(zhàn)為:

  挑戰(zhàn)一:多數(shù)發(fā)展中企業(yè)的業(yè)務(wù)呈彈性增長(zhǎng),,基礎(chǔ)設(shè)施硬件擴(kuò)容的高復(fù)雜度和低時(shí)效性與業(yè)務(wù)增長(zhǎng)對(duì)系統(tǒng)彈性性能的需求之間形成了明顯反差;

  挑戰(zhàn)二:云環(huán)境中承載著成百上千種業(yè)務(wù),,連接千行百業(yè)的訪問(wèn)用戶,,需要多臺(tái)代理服務(wù)器做支撐,業(yè)務(wù)不允許出現(xiàn)單點(diǎn)故障,,一旦硬件問(wèn)題造成業(yè)務(wù)交易中斷或失敗,,影響面相對(duì)傳統(tǒng)IDC機(jī)房更大。這對(duì)硬件的可靠性和穩(wěn)定性提出更高要求,,簡(jiǎn)單熱(溫)備的方式不能滿足云環(huán)境下的無(wú)單點(diǎn)故障的需求,;

  挑戰(zhàn)三:云環(huán)境下,云負(fù)載對(duì)安全管理的要求更高,,業(yè)務(wù)上云會(huì)大幅度增加業(yè)務(wù)暴露面,面臨的網(wǎng)絡(luò)攻擊和風(fēng)險(xiǎn)更多,,需要更加周密,、全面的安全解決方案;

  挑戰(zhàn)四:對(duì)于管理和維護(hù)上的需求更高,。企業(yè)上云后,,業(yè)務(wù)的編排、自動(dòng)化部署都需要適應(yīng)千行百業(yè)用戶的不同需求,,彈性擴(kuò)展也要更加智能靈活,,因此管理和維護(hù)的復(fù)雜度相對(duì)傳統(tǒng)IDC機(jī)房也更高。

  云平臺(tái)采用集群化部署,,將所有硬件資源融合成一個(gè)共享的資源池,,處理能力不依靠單機(jī)的性能。應(yīng)用交付軟件分布部署在不同的硬件服務(wù)器上,單個(gè)應(yīng)用交付軟件處理能力一般在10Gbps左右即可,,將負(fù)載對(duì)硬件資源的需求劃整為零,,分散了單機(jī)部署風(fēng)險(xiǎn),可靠性更高,,不會(huì)出現(xiàn)“牽一發(fā)而動(dòng)全身”的情況,。

  但從弘積自身的經(jīng)驗(yàn)來(lái)說(shuō),盡管云業(yè)務(wù)發(fā)展已呈泛在化,,可目前市場(chǎng)上還是以采購(gòu)硬件交付的企業(yè)為主,,大概可以占到80~90%的份額,這可能與弘積本身的市場(chǎng)業(yè)務(wù)主要分布在金融行業(yè)有關(guān),,金融企業(yè)對(duì)于業(yè)務(wù)云化的態(tài)度較為謹(jǐn)慎,,相對(duì)其它行業(yè)的進(jìn)展慢一些。但從目前新基建的發(fā)展來(lái)看,,未來(lái)這種情況應(yīng)該會(huì)有所轉(zhuǎn)變,,只是還需要一段時(shí)間。

  二,、負(fù)載均衡一直是應(yīng)用交付的核心能力,,云計(jì)算環(huán)境下,負(fù)載均衡有哪些新的功能和特點(diǎn) ,?

  高春華:云負(fù)載均衡產(chǎn)品的特點(diǎn)十分明確:

  1,、首先,負(fù)載均衡和云進(jìn)行深度融合后,,更加自動(dòng)化和智能化,。相比硬件負(fù)載均衡產(chǎn)品,云負(fù)載均衡產(chǎn)支持自動(dòng)化部署,,無(wú)需人工干預(yù),,用戶可以一鍵生成負(fù)載均衡虛擬機(jī),實(shí)現(xiàn)負(fù)載均衡按需生成,、自動(dòng)配置,,并借此自動(dòng)做一些業(yè)務(wù)編排;

  2,、其次,,云負(fù)載均衡可以將負(fù)載能力資源池化,使用更加靈活和彈性,。傳統(tǒng)硬件負(fù)載均衡產(chǎn)品的負(fù)載能力都有固定的額定值,,但是云負(fù)載均衡可以以資源池的形式靈活擴(kuò)展負(fù)載均衡的處理能力,按照用戶的業(yè)務(wù)處理需求按需分配劃撥資源,。當(dāng)用戶的并發(fā)連接數(shù)達(dá)到設(shè)定的閥值門限時(shí),,負(fù)載均衡自動(dòng)調(diào)用云平臺(tái)接口,進(jìn)而觸發(fā)后端服務(wù)資源,并發(fā)連接數(shù)增加時(shí),,增加業(yè)務(wù)節(jié)點(diǎn)以分擔(dān)壓力,;并發(fā)連接數(shù)減少時(shí),刪除回收多余的業(yè)務(wù)節(jié)點(diǎn),,把資源釋放掉,,實(shí)現(xiàn)負(fù)載能力彈性擴(kuò)展。

  三,、云計(jì)算環(huán)境下,,針對(duì)不同企業(yè)云平臺(tái)架構(gòu)的差異性,云應(yīng)用交付上線時(shí)需要訂制化的調(diào)整嗎,?

  高春華:不同的云平臺(tái)架構(gòu)采用不同的通信標(biāo)準(zhǔn),,要求應(yīng)用交付能夠根據(jù)其差異性進(jìn)行修改和適配。不同的云平臺(tái)適配的內(nèi)容不同,,需要具體情況具體分析,。結(jié)合弘積科技研發(fā)實(shí)際經(jīng)驗(yàn),配適的工作量主要有以下三方面:

  1,、內(nèi)核及虛擬網(wǎng)卡適配,。以弘積科技服務(wù)的金融行業(yè)為例,金融行業(yè)目前多采用公有云廠商提供的行業(yè)云,,比如阿里,、騰訊等都是從早期的公有云逐漸轉(zhuǎn)化為行業(yè)云然后在銀行企業(yè)里面得到了廣泛使用。但是應(yīng)用交付的定制化內(nèi)核未必能很好的匹配公有云內(nèi)核要求,,不同云平臺(tái)對(duì)虛擬網(wǎng)卡的要求也不同,,這就涉及到內(nèi)核更新和網(wǎng)卡驅(qū)動(dòng)的適配工作。

  2,、網(wǎng)口適配和修改,。不同的云平臺(tái)架構(gòu)對(duì)第三方組件開放的接口數(shù)量是不同的,比如早期的阿里云只提供一個(gè)網(wǎng)口,,業(yè)務(wù)口和管理口共用,。如今,云平臺(tái)可以提供多個(gè)網(wǎng)口,,從安全管理的要求上,,我們需要?jiǎng)澐殖蓪S玫墓芾砜?、業(yè)務(wù)口和心跳口(高可用端口),。但盡管如此,不同的使用場(chǎng)景下也是受限的,,比如,,阿里云的心跳口只支持單播不支持組播需要進(jìn)行適配和修改。

  3、云負(fù)載均衡的配置和管理,。需要一套管理平臺(tái),,實(shí)現(xiàn)負(fù)載均衡在云平臺(tái)中的快速部署和集中管理,支持配置策略下發(fā),,資源池化管理,,彈性擴(kuò)展策略,支持通過(guò)API接口與云平臺(tái)實(shí)現(xiàn)快速對(duì)接,,通過(guò)管理平臺(tái)快速適配不同的云架構(gòu)等,。

  四、云應(yīng)用交付解決方案除了以上新的功能及與云平臺(tái)適配外,,還有哪些方面的特性,?

  高春華:應(yīng)用交付最大的特點(diǎn)是保證業(yè)務(wù)高可用性,在此基礎(chǔ)之上逐步擴(kuò)展,,形成一個(gè)快速,、安全、高可用,、可視化,、靈活、智能于一體的解決方案,。

  速度提升上,,弘積的應(yīng)用交付方案同時(shí)能夠?qū)崿F(xiàn)壓縮、緩存以及SSL卸載等功能,,這主要是為了提升應(yīng)用訪問(wèn)速度,,提升用戶訪問(wèn)體驗(yàn);

  安全上,,弘積應(yīng)用交付本身也提供一些安全防護(hù)功能,。但是應(yīng)用交付安全和專業(yè)的安全相比沒(méi)有那么全面,應(yīng)用交付更多的是偏向應(yīng)用的安全,,如WAF,、抗DDoS、應(yīng)用訪問(wèn)控制等功能,。

  除此之外,,云應(yīng)用交付還具備應(yīng)用可視化功能。眾所周知,,云平臺(tái)主要提供基礎(chǔ)設(shè)施的資源,,對(duì)云中的業(yè)務(wù)基本不感知,但是云負(fù)載均衡可以深刻的感知云平臺(tái)中的業(yè)務(wù)流量,,并借此幫助用戶實(shí)現(xiàn)流量的可視化,。

  最后,,在與云平臺(tái)對(duì)接的時(shí)候,提供更多靈活性,、智能化的能力,,即上述的彈性擴(kuò)展、資源池化,、自動(dòng)部署和業(yè)務(wù)編排等等,。

  五、您認(rèn)為云應(yīng)用交付在安全管理能力上主要體現(xiàn)在哪些方面,?

  高春華:對(duì)于應(yīng)用交付廠商來(lái)說(shuō),,安全并不是最大的核心競(jìng)爭(zhēng)力,但弘積會(huì)以負(fù)載均衡作為業(yè)務(wù)控制和調(diào)度的樞紐積極與第三方的安全平臺(tái)聯(lián)動(dòng)為云平臺(tái)提供集可靠性和安全性能力融合的整體解決方案,。負(fù)載均衡天生就是一個(gè)安全的代理設(shè)備,,能夠感知業(yè)務(wù)流量。業(yè)務(wù)經(jīng)過(guò)云負(fù)載均衡之后,,可把流量通過(guò)鏡像的方式傳送到第三方安全平臺(tái),,對(duì)于加密的https流量,負(fù)載均衡可以解密后鏡像給安全檢測(cè)系統(tǒng),,安全系統(tǒng)一旦發(fā)現(xiàn)安全威脅需要響應(yīng)處置時(shí),,便會(huì)將處置策略下發(fā)到弘積的MC管控平臺(tái),負(fù)載均衡根據(jù)MC的策略執(zhí)行流量牽引,,比如牽引到蜜罐或流量清洗設(shè)備中做進(jìn)一步安全檢測(cè),,同時(shí)還會(huì)對(duì)存在安全威脅的流量進(jìn)行隔離轉(zhuǎn)發(fā)。這是弘積在云上以負(fù)載均衡為核心做的與第三方融合的安全解決方案,。

  第二,,負(fù)載均衡本身也有諸多的安全能力,包括它在抗應(yīng)用層攻擊,、郵件安全,,DNS安全方面的防護(hù)功能,云負(fù)載均衡的安全更偏向于業(yè)務(wù)和應(yīng)用安全,。

  以上就是弘積聚焦于負(fù)載均衡本身,,同時(shí)積極和第三方安全廠商聯(lián)合打造的云上應(yīng)用訪問(wèn)和控制的安全解決方案。

  六,、您認(rèn)為云應(yīng)用交付對(duì)云負(fù)載的安全監(jiān)管有哪些挑戰(zhàn),?

  高春華:以弘積科技研發(fā)的實(shí)際經(jīng)驗(yàn)來(lái)說(shuō),首先,,目前業(yè)內(nèi)應(yīng)用流量加密越來(lái)越頻繁,,所以SSL加解密流量的安全問(wèn)題是需要重點(diǎn)關(guān)注的方向,業(yè)務(wù)流量的加解密有兩種方式,,一種是由服務(wù)器直接和客戶端進(jìn)行加解密的協(xié)商,,一種是在代理服務(wù)器或應(yīng)用交付上進(jìn)行加解密。第一種中間代理設(shè)備不對(duì)流量進(jìn)行任何處理直接透?jìng)鞯椒?wù)器,,由服務(wù)器直接做解密,,這種情況會(huì)消耗服務(wù)器的資源,產(chǎn)生訪問(wèn)過(guò)慢,、時(shí)延較大甚至是訪問(wèn)失敗等問(wèn)題,。

  所以很多情況下,需要采用第二種方式,,先由代理服務(wù)器或應(yīng)用交付設(shè)備通過(guò)解密運(yùn)算進(jìn)行SSL卸載,,之后再以明文的形式傳到服務(wù)器,這也是目前主流的做法,。

  但是目前企業(yè)業(yè)務(wù)上云后就存在一個(gè)問(wèn)題,,在私有云中,業(yè)務(wù)流量統(tǒng)一管理,,數(shù)據(jù)在代理服務(wù)器上進(jìn)行安全檢查后再通過(guò)加解密卡進(jìn)行解密,,最后以明文的形式傳輸,我們可以對(duì)數(shù)據(jù)進(jìn)行安全監(jiān)管,;但是在公有云上,,有些企業(yè)用戶的數(shù)據(jù)要求保密傳輸,只能以密文的形式透?jìng)鞯椒?wù)器上,,這就無(wú)法實(shí)現(xiàn)對(duì)公有云所有負(fù)載流量進(jìn)行安全監(jiān)管,,因此如何實(shí)現(xiàn)公有云上流量安全管理是應(yīng)用交付的一個(gè)挑戰(zhàn)。

  七,、數(shù)字化轉(zhuǎn)型下,,云市場(chǎng)未來(lái)可期,那您認(rèn)為云應(yīng)用交付未來(lái)在技術(shù)上的發(fā)展趨勢(shì)是怎樣的,?

  高春華:其實(shí)應(yīng)用交付和云應(yīng)用的發(fā)展趨勢(shì)是相輔相成的,。對(duì)于云上應(yīng)用來(lái)說(shuō),大家現(xiàn)在使用容器,、微服務(wù),、云原生等技術(shù),既然云上業(yè)務(wù)都已經(jīng)開始容器化了,,應(yīng)用交付也在嘗試與容器技術(shù)的相關(guān)應(yīng)用進(jìn)行聯(lián)動(dòng)和協(xié)同,,目前弘積使用了容器化的CC插件來(lái)感知業(yè)務(wù)的變化,然后插件再通知應(yīng)用交付來(lái)做一些業(yè)務(wù)的增刪,,未來(lái)這方面可能還會(huì)有一些新的技術(shù)突破,,同時(shí)云應(yīng)用交付本身也在嘗試著以容器化的形式運(yùn)行。

  其次,,除了容器化之外,,我認(rèn)為應(yīng)用交付未來(lái)還會(huì)進(jìn)一步和自動(dòng)化運(yùn)維工具對(duì)接,,因?yàn)閷?duì)于負(fù)載均衡來(lái)說(shuō)能夠感知業(yè)務(wù)流量,這些流量通過(guò)MC模塊與自動(dòng)化運(yùn)維工具對(duì)接之后,,會(huì)更便于用戶在云上方便靈活的管理業(yè)務(wù),。

  最后,云上流量的可視化展現(xiàn)也是一個(gè)重要發(fā)展趨勢(shì),,雖然云負(fù)載均衡可以在一定程度上實(shí)現(xiàn)流量的可視化,,但可視化的最終目標(biāo)是要幫助企業(yè)用戶查看云上業(yè)務(wù)的分布、來(lái)源和響應(yīng)時(shí)間等性能指標(biāo),,這樣才能幫助用戶更好的維護(hù)和管理云上業(yè)務(wù),。

  安全牛評(píng)

  數(shù)字化轉(zhuǎn)型加速了企業(yè)云化。據(jù)相關(guān)研究數(shù)據(jù)顯示,,90%的數(shù)據(jù)流量在涌向云計(jì)算中心,,云訪問(wèn)的可靠性和安全性成為業(yè)務(wù)提供者保障服務(wù)質(zhì)量的重要指標(biāo)。

  云應(yīng)用交付不僅在會(huì)話連接,、調(diào)度和負(fù)載均衡上起著重要的作用,,在云平臺(tái)的安全訪問(wèn)上也占據(jù)了關(guān)卡要塞之地。2020年,,Gartner將云訪問(wèn)安全代理列為十大安全項(xiàng)目,。

  弘積科技作為國(guó)產(chǎn)高性能應(yīng)用交付的代表廠商,在云應(yīng)用交付領(lǐng)域不斷摸索創(chuàng)新,,通過(guò)MC模塊適配不同的云平臺(tái)和安全平臺(tái),,在通信和安全系統(tǒng)間搭建起了融合聯(lián)動(dòng)機(jī)制。高性能通信設(shè)施與主流安全架構(gòu)的聯(lián)姻可謂珠聯(lián)璧合,,為傳統(tǒng)安全能力賦能云平臺(tái)提供了更可靠的安全策略執(zhí)行點(diǎn),,為未來(lái)新安全架構(gòu)在云平臺(tái)的落地提供了強(qiáng)力支撐。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。