1、云與虛擬化的區(qū)別是什么?云多了什么?
【問題描述】:
1:達到什么樣的硬件規(guī)模,才有上私有云的必要?
有幾百上千那是上,有的10臺 20臺 也是上。每個企業(yè)可能衡量的標準不一樣。怎么判斷要不要上?
2:已有虛擬化的情況下,上云到底能帶來什么樣的幫助?
云比虛擬化多了什么?
解答:
多了云服務,一種基礎(chǔ)設(shè)施封裝服務模式。虛擬化提供不了SAAS,PAAS,也提供不了計費、計量、服務開發(fā)和自服務定制。
虛擬化只是一種比較方便支持云計算的一種技術(shù)手段,并不是云計算。
那么就回到問題,要不要上私有云?其實我們這里分析的是上私有云是有什么訴求,這些訴求是否值得投入,投入產(chǎn)出如何。
上云、云管理的訴求1:有把基礎(chǔ)設(shè)施強烈服務化得需求,很多時候這種訴求來源于資源規(guī)模大,組織結(jié)構(gòu)分工細化,基礎(chǔ)設(shè)施部門面向多個開發(fā)環(huán)境,迫切需要通過封裝自身的服務,把自身的服務能力說清,把服務運行成本、責任分清,云服務提供式一種良好的方式。訴求2:大規(guī)模資源有效利用、批量管理的需求。云計算是規(guī)模效益,規(guī)模上不去,效益體現(xiàn)不出來,因此,要根據(jù)自身的能力和規(guī)模,看看是否值得去上,是否能夠持續(xù)投入。訴求3,也是最重點的需求,供給矛盾是否突出,決定了是否走這條道路,虛擬化環(huán)境現(xiàn)在管的很好,很方便,能夠滿足業(yè)務需求,那么,個人認為這個矛盾還沒有到要改變生產(chǎn)力的時候,什么時候變呢?基礎(chǔ)設(shè)施要求的速度現(xiàn)有手段跟不上,不能滿足應用快速擴容的彈性能力,不能滿足應用更高層面,比如PAASSAAS方面的需求,或者說需要通過標準手段對架構(gòu)管控,海量運維。這時就是矛盾突出之時,也是入云日。
因此,在有資金和人力支持的情況下,基礎(chǔ)設(shè)施利用現(xiàn)有的虛擬化進一步到云計算環(huán)境(還要考慮網(wǎng)絡、存儲、流程的投入),是可以的,但不是必須的,需要考慮自身成本、規(guī)模,量體裁衣。
2、在虛擬化建設(shè)基礎(chǔ)之上,三個私有云建設(shè)方向如何選擇?
【問題描述】:
當虛擬化的規(guī)模與日劇增,對自動化、標準化、流程化和服務質(zhì)量需求的迫切性達到一定程度后,我們會選擇開展企業(yè)私有云建設(shè)。
私有云建設(shè)目前大致存在三個方向:
1.在原虛擬化的基礎(chǔ)之上,采用現(xiàn)成大廠商提供的各級(IAAS、PAAS、SAAS)云管理平臺產(chǎn)品,進行虛擬化的統(tǒng)一接入、統(tǒng)一管理和統(tǒng)一流程。
2.在原虛擬化的基礎(chǔ)之上,利用標準開源的框架,如openstack,Kubernetes,根據(jù)企業(yè)自身需求,量身開發(fā)屬于自己的云計算需求。
3.在原虛擬化的基礎(chǔ)之上,從基礎(chǔ)框架到軟件需求全部根據(jù)企業(yè)自身需求,量身開發(fā),更加貼切企業(yè)實際,安全系數(shù)高,可靠性強。
對以上私有云建設(shè)三個方向有何見解?企業(yè)究竟該如何選擇方向?
解答:
建議如下:
商業(yè)銀行選擇那個路線,還是需要看自身的戰(zhàn)略規(guī)劃和人員素質(zhì)能力的。這兩個路線主要區(qū)別如下:
開源私有云:代碼自助可控,平臺兼容性、定制化能力強,但需要具有大量的人員和財務投入,并且是持續(xù)不斷的投入,人員素質(zhì)和財務一定要跟上,同時,開源產(chǎn)品的版本迭代快,健壯性不夠,方向性不明確(沒準大家一股腦換了一個框架產(chǎn)品),這樣帶來的糾錯成本很高。總之,自身利用開源搭建和開發(fā)私有云,對自身能力帶來的很大的挑戰(zhàn),要求企業(yè)能夠打持久戰(zhàn),并能夠不斷的在社區(qū)中豐富和汲取養(yǎng)分。還有一層,就是開發(fā)、維護都有自身完成,無第三方風險轉(zhuǎn)嫁。
商用軟件:缺點大家很清楚,容易被廠商綁定,兼容性差,定制化差,隨著規(guī)模的擴大成本增長明顯,但特點是實施周期短,對于企業(yè)本身的人員素質(zhì)較自開發(fā)的情況要求低很多,主要是產(chǎn)品經(jīng)理和用戶的角色。并且對于系統(tǒng)的維保、OLA可以通過商務的方式轉(zhuǎn)嫁部分風險。比較適用于企業(yè)規(guī)模不大,求盡快上云的情況。
最后說一點的是,很多商用軟件都是基于開源私有云搭建而成的,可以考慮兩者優(yōu)勢結(jié)合,通過開源的方式增強開放性,通過商用的方式減少自身建設(shè)成本。
目標是第三點,但要求企業(yè)自身的能力加強,可以考慮基于開源的商用產(chǎn)品,并且要求足夠開放,逐步積累經(jīng)驗,慢慢做到2個并存,逐步代替。
3、上私有云對企業(yè)有什么樣的要求?
【問題描述】:
1:運維水平有哪些要求?或者說上了云之后需要具備的素質(zhì)或努力的方向
對運維團隊有哪些典型的要求?制度規(guī)范,技術(shù)水平,角色人員?
2:標準化程度要求?
制度規(guī)范,企業(yè)整體IT治理的階段水平?
解答:
運維水平最大的要求是自動化的運維工具使用、跨領(lǐng)域的協(xié)同、運維組織結(jié)構(gòu)調(diào)整,和運維文化的轉(zhuǎn)變。
自動化運維工具應對海量運維、最基本的要求就是配置管理的準確性,要不誰敢上去自動化呢?
跨領(lǐng)域協(xié)同在私有云建設(shè)中很重要,在大企業(yè)中,網(wǎng)絡、計算、存儲、中間件等領(lǐng)域,往往都是獨立的部門,有獨立的變更和實施流程,但在私有云的設(shè)計、和運維上,這必須是一體的,哪怕有個虛擬團隊承接。這也就是說,一般情況下,應進行組織結(jié)構(gòu)的調(diào)整。
人員要具有面對海量基礎(chǔ)設(shè)施運維的能力,要有架構(gòu)團隊、需求分析團隊。人員要具備運維工具的開發(fā)能力,這一點建議百度一下 google的SRE團隊,是一個非常好的定位。
談起標準化,是重中之重,也是私有云最有特點和最有優(yōu)勢的一環(huán),企業(yè)架構(gòu)管控做的好,標準化程度高,決定了云計算的層次,SAAS服務的提供,依賴于高度的標準化。要從物理硬件層、OSNETDBSTORAGE各領(lǐng)域完成標準化,然后在繼續(xù)規(guī)范應用的部署模式,逐步規(guī)范形成標準,有利于PAAS的提供,真對具體應用標準話,才能完成SAAS的轉(zhuǎn)變。
4、企業(yè)云平臺建設(shè)一共分幾期?還是一步到位?
解答:
云平臺很少有一步到位的,往往最開始的階段是滿足最基礎(chǔ)的需求,例如計算虛擬化,存儲虛擬化,然后網(wǎng)絡虛擬化,然后容器,監(jiān)控,大數(shù)據(jù),編排,數(shù)據(jù)庫,等等應用。其實,這個和云計算的分層也是有很大關(guān)系的。從iaas到paas,再到saas,層層遞進。企業(yè)的云平臺建設(shè),往往也是遵循這個規(guī)律。在實踐中,可能會有一些交集。
通常都是分幾期的。第一期為試點項目,第二期根據(jù)一期結(jié)果形成規(guī)范,標準,成為新開發(fā)應用的標準平臺。第三期逐漸將老應用遷移到云平臺上。
5、如何在不做大改變的情況,實現(xiàn)私有云的升級改造?應該關(guān)注那些方面的問題?
解答:
如果把服務器作為數(shù)據(jù)中心中應用的一個點,網(wǎng)絡、存儲則往往屬于面,屬于底層基礎(chǔ)設(shè)施,改造難度和風險較計算資源高。在傳統(tǒng)行業(yè)中,沒有一個新環(huán)境的契機,逐步改造,也是很難的。必然帶來的網(wǎng)絡和存儲在搭建私有云中有些技術(shù)跟不上。
之前談過私有云的理解,不一定私有云一定要去用新技術(shù),例如SDN,存儲虛擬化,私有云重點是實現(xiàn)面向客戶服務模式的支撐,資源的彈性和快速服務能力。在這一點上,一般企業(yè)通過采用將現(xiàn)有的環(huán)境,向標準化配置努力,大力推動自動化能力開發(fā)和建設(shè),使之與云平臺結(jié)合,同時增強前期容量規(guī)劃的方式,也可以逐步實現(xiàn)云環(huán)境,同時,結(jié)合新建的契機,逐步使原來的基礎(chǔ)設(shè)施更替為更好支持云計算特點的技術(shù)及設(shè)備。
6、怎么判斷某個系統(tǒng)是否部署在私有云上,有哪些判斷指標?
解答:
最典型一個詞來描述“云原生”應用。給您一個參考,敏捷開發(fā)的12原則,滿足這12原則的應用,基本上在云計算的這種分布式、虛擬化的環(huán)境中可以很好的運行。這里,個人認為,最重要的是集群化、支持應用補償機制、模塊化。
- 只使用一份基準代碼,但是可以部署到多個環(huán)境
- 應用之間的依賴關(guān)系要是顯示指定的,比如用配置文件描述,不要用隱式的代碼關(guān)聯(lián)
- 配置要用環(huán)境變量的方式來提供給應用,而不是用代碼里面的常量或者代碼相關(guān)的方式提供
- 代碼用到的資源,如數(shù)據(jù)庫,消息隊列,分布式文件系統(tǒng)等,要作為可attach的資源的方式來提供,不要寫死到代碼。資源都用資源字符串的形式提供,可從環(huán)境變量注射到應用并立即提供服務
- 嚴格將編譯,發(fā)布,生產(chǎn)等環(huán)境進行隔離,即使要改動生產(chǎn)配置,也需要用持續(xù)發(fā)布的方式從編譯開始構(gòu)建并自動發(fā)布到生產(chǎn)系統(tǒng),不要直接更改生產(chǎn)系統(tǒng)
- 無狀態(tài)的進程的方式提供服務,應用需要做到自身無狀態(tài)無共享。如果需要保持狀態(tài)或者共享,需要使用外置的服務的方式來提供,比如外置session管理器等
- 使用地址與端口綁定的方式提供服務,例如某個應用服務的消費者只需要知道uri地址與對應的端口,綁定之后即能消費該服務
- 通過進程模型的方式進行橫向擴展,即應用或者微型的服務是可以通過多實例的方式來橫向擴展并線性擴展支撐能力的
- 通常的應用進程要設(shè)計成可以快速啟動和優(yōu)雅終止銷毀的模式,這樣能夠方便故障恢復與橫向擴展
- 開發(fā)環(huán)境與線上環(huán)境等價,盡可能的保持開發(fā),預發(fā)布,線上生產(chǎn)環(huán)境的相同。要能做到持續(xù)發(fā)布需要盡可能的縮小本地與線上生產(chǎn)環(huán)境的差別。盡量反對在不同的環(huán)境下使用不同的后端服務
- 把日志作為事件流來對待,匯總整個的日志來監(jiān)控平臺的應用和環(huán)境,這樣經(jīng)過大數(shù)據(jù)綜合分析更能發(fā)掘出問題的根本原因
- 管理或者其他的任務作為一次性進程來對待,例如執(zhí)行一次性的系統(tǒng)檢查,快照一次健康狀態(tài)等等。
7、私有云的容量如何評估?成本如何計算?如何才能做到成本和效率的平衡?
解答:
私有云的容量需要根據(jù)業(yè)務來評估:
以一般金融行業(yè),有web區(qū),有App,有db。需要根據(jù)運行在私有云上的業(yè)務的多少,來統(tǒng)計所需要的資源的多少。例如,web區(qū),需要Nginx,需要考慮HA和LB,那么就需要2臺以上;如果多個業(yè)務共享nginx,那么就需要多個nginx來分擔業(yè)務壓力。
成本計算:
一般私有云平臺上,都有一個celimeter這個模塊,專門用來計量CPU,內(nèi)存,網(wǎng)絡的使用量,可以統(tǒng)計出使用私有云的資源,相對傳統(tǒng)環(huán)境節(jié)省了多少資源。
至于成本和效率的平衡,一般在私有云建設(shè)初期很難做到。設(shè)備的購置,部署,人員的配置等等都是一筆不小的開支;私有云真正的優(yōu)勢體現(xiàn),應該在后期的使用中容量如何評估,這個肯定是沒有普適標準的了。
容量通常從三方面考慮:計算能力、存儲容量、網(wǎng)絡帶寬。這三方面可以說也是數(shù)據(jù)中心最基本的三大核心要素了,我們都知道,云計算是以規(guī)模取勝的,這個規(guī)模如何決定?究竟是20節(jié)點,50節(jié)點,還是100+節(jié)點,這個得根據(jù)你自己的業(yè)務需求來考慮了,在小規(guī)模情況下,為了高可用,如果可用容量評估是N,那你就按2N來計算,私有云一般不會像達到公有云那種規(guī)模,所以通常也不可能達到很多布道師口中的 虛機隨便掛,真掛了你宿主機資源沒有了,咋整?
至于成本,得看你的方案了,你是采用開源自建,還是與廠商合作共建,合作情況下如何分工,哪些外包出去,這個你得仔細考慮。通常,如果人力資源有限,技術(shù)實力有限,那就由承包給廠商來實施吧,不然到后面也是個爛攤子。但是,全部外部給廠商的不足也是明顯的,一不小心你就被鎖定,每年燒錢的跑不掉的了,尤其是項目上馬后,停也停不下來了。
8、私有云環(huán)境下的統(tǒng)一資源納管怎樣實現(xiàn)?
解答:
這個重點考驗的是云平臺的開放度。
企業(yè)在自身選擇云平臺的時候要充分考慮自身的環(huán)境,有多少類型要涉及,有多少平臺要納管,是否支持異構(gòu),是否支持模塊化接入。
建議將云平臺納管層面定位為工具框架,實現(xiàn)足夠的開放性,標準化接口和統(tǒng)一格式接入,各個領(lǐng)域按標準完成自身自動化封裝、自身配置采集、統(tǒng)一視圖展示在云平臺上,云平臺通過流程引擎調(diào)度個領(lǐng)域模塊,實現(xiàn)操作、納管。
在實施層面,基本上則是領(lǐng)域負責制,每個想要被納管的平臺(計算、存儲、網(wǎng)絡等),完成自身的開發(fā)和服務的注冊。
9、私有云是否需要支持多租戶?多租戶和單租戶本質(zhì)區(qū)別有哪些?
解答:
多租戶的概念包含三層用戶集成:
數(shù)據(jù)中心層
基礎(chǔ)架構(gòu)層
應用程序?qū)?/p>
云計算技術(shù)設(shè)計中的重要內(nèi)容是多租戶的基礎(chǔ)架構(gòu)和應用程序?qū)蛹伞4思山?jīng)過特別的調(diào)整,可節(jié)約成本和開發(fā)具有高度可伸縮性的 SaaS 應用程序,而這是以犧牲安全性和客戶隔離需求 (segregation requirement) 為代價。很多情況下,這樣的設(shè)計都是有效的,盡管可能不太適用于金融應用程序。
在數(shù)據(jù)中心租用空間并提供服務器、路由器和線纜以支持多個客戶軟件,這項功能自從硅谷創(chuàng)立初期就已經(jīng)存在,因此用戶對于數(shù)據(jù)中心層多租戶應該并不陌生。如果正確實現(xiàn)此配置,則該配置能夠提供最高級別的安全需求,它用防火墻和訪問控制來滿足業(yè)務需求,還定義了對提供 SasS 的基礎(chǔ)架構(gòu)的物理位置的安全控制。大多數(shù)情況下,可以將數(shù)據(jù)中心層多租戶用作服務供應商,向公司提供場地來安置硬件、網(wǎng)絡以及軟件。
基礎(chǔ)架構(gòu)層的多租戶是最簡單軟件棧概念,一個棧專用于一個特定客戶。與數(shù)據(jù)中心層多租戶相比,此配置更節(jié)約成本,因為棧是根據(jù)實際的客戶賬戶部署的。在這種情況下,可以根據(jù)實際的服務使用來增加硬件需求。另外,基礎(chǔ)架構(gòu)層的每個用戶都可以選擇高可用性。每個客戶都知道棧,所以軟件和硬件最佳實踐提供了一些實現(xiàn)選項。
應用程序?qū)佣嘧鈶粜枰谲浖雍突A(chǔ)架構(gòu)層基礎(chǔ)上進行架構(gòu)實現(xiàn)。需要修改現(xiàn)有軟件架構(gòu),包括應用程序?qū)拥亩嘧鈶裟J健@纾嘧鈶魬贸绦蛐枰恍贸绦蚍椒ê蛿?shù)據(jù)表來訪問和存儲不同用戶賬戶的數(shù)據(jù),這會犧牲安全性。但如果正確實現(xiàn)此操作,就可以節(jié)省成本。對于小部件和簡單的 Web 應用程序,應用程序?qū)佣嘧鈶羰且粋€可行的解決方案,因為單個開發(fā)人員可以更快地開發(fā)軟件,也負擔得起調(diào)整規(guī)模的費用。不足之處在于更復雜的應用程序架構(gòu)和實現(xiàn);與基礎(chǔ)架構(gòu)處理多租戶不同的是,如果基礎(chǔ)架構(gòu)發(fā)生變化,應用程序團隊需要保持編程模式的可伸縮性和可靠性,而且在未來可用。
多租戶服務指定從在軟件應用程序中構(gòu)建并直接訪問的 HTTP RESTful 接口或 WSDL Web 服務終端訪問。這些服務是建立多租戶模式的面向服務的應用程序的關(guān)鍵,因為它們可重用于多種事務類型。
應用服務器是應用程序和基礎(chǔ)架構(gòu)層多租戶的關(guān)鍵部件,因為多租戶會影響安裝、配置和應用程序代碼。對于基礎(chǔ)架構(gòu)層,應用服務器的多租戶意味著調(diào)整更快、更廣,它配置了額外的服務器,其中包括應用服務器安裝、配置和應用程序代碼。多租戶層不需要更改代碼(除非應用程序設(shè)置了特別的需求),調(diào)整也很簡單,一般由 IT 運營機構(gòu)完成,而不是由開發(fā)人員重新設(shè)計應用程序源代碼。通常,如果添加了新客戶,則需要添加一個相同配置的棧,以便更輕松地滿足安全需求。
10、私有云平臺架構(gòu)中,安全規(guī)則和方案怎么制定?
解答:
1) 云計算物理層安全
云計算物理層面臨著對計算機網(wǎng)絡與計算機系統(tǒng)的物理裝備的威脅,是指由于周邊系統(tǒng)環(huán)境和物理特性導致的網(wǎng)絡安全設(shè)備和線路的不可用,從而造成所承載的網(wǎng)絡應用不可用。主要表現(xiàn)在自然災害、電磁輻射、三防(防火、防水、防塵)及惡劣的工作環(huán)境方面,而相應的防范措施包括抗干擾系統(tǒng)、物理隔離、防輻射系統(tǒng)、供電系統(tǒng)的冗余設(shè)計和可靠性備份,采取前后上下等多種通風方式。
2) 虛擬化資源層安全
虛擬化層是云計算代表性的屬性之一,也是現(xiàn)階段云計算數(shù)據(jù)中心實施最為廣泛的技術(shù),基于服務器的虛擬化技術(shù),可以將單臺物理服務器虛擬出多臺虛擬機并獨立安裝各自的操作系統(tǒng)和應用程序,從而有效提升服務器本身的利用效率。但是這種虛擬化技術(shù)也帶來了一些安全風險,比較典型的有基于虛擬化所衍生的一些安全漏洞,以及針對VM-VM虛擬機流量交換的安全問題。
虛擬化軟件導致的安全漏洞風險:這個問題可以從2個方面來看,一方面,以虛擬化應用程序本身可能存在的安全漏洞將影響到整個物理主機的安全。黑客在利用漏洞入侵到主機系統(tǒng)之后,可以對整個主機上的虛擬機進行任意的配置破壞,從而導致系統(tǒng)不能業(yè)務,或者是將相關(guān)數(shù)據(jù)進行竊取,如果黑客侵入了虛擬機配置管理程序,則會直接影響到其管理的全部虛擬機的安全。另一方面,基于虛擬化環(huán)境開發(fā)的各種第三方應用程序的漏洞安全。這些應用程序是云服務交付的核心組成,包括Web前端的應用程序、各種中間件應用程序及數(shù)據(jù)庫程序等,即使在傳統(tǒng)網(wǎng)絡安全環(huán)境下,他們?nèi)匀粫驗榫幊碳夹g(shù)的缺陷而存在多個安全漏洞,在云計算環(huán)境下,這些安全漏洞會繼續(xù)存在,典型如各種WEB會話控制漏洞、會話劫持漏洞及各種注入攻擊漏洞。同時為了適應或使用虛擬化環(huán)境下的各種API管理接口,也可能產(chǎn)生一些新的安全漏洞。
云計算虛擬機流量交換的安全新風險:在虛擬化環(huán)境下,單臺物理服務器上可以虛擬化出多個完全對立的虛擬機并運行不同的操作系統(tǒng)和應用程序,各虛擬機之間可能存在直接的二層流量交換,而這種二層交換并不需要經(jīng)過外置的二層交換機,管理員對于該部分流量既不可控也不可見,在這種情況下,管理員需要判斷VM虛擬機之間的訪問是否符合預定的安全策略,或者需要考慮如何設(shè)置策略以便實現(xiàn)對VM之間流量的訪問控制。
3) 多租戶IaaS服務層安全
多租戶環(huán)境下的基礎(chǔ)安全服務主要體現(xiàn)在IaaS服務層。IaaS作為云計算的重要組成部分,其將基礎(chǔ)設(shè)施包括網(wǎng)絡、存儲、計算等資源進行虛擬化等處理,能夠為每個用戶提供相對獨立的服務器計算資源、存儲資源以及在承載網(wǎng)上設(shè)定專有的數(shù)據(jù)轉(zhuǎn)發(fā)通道,這種云計算的模式已經(jīng)得到IT業(yè)界的廣泛認可.在本次大地保險云安全平臺的建設(shè)過程中,基于IaaS模型下的各種安全服務體系的建設(shè)其是重點所在,根據(jù)現(xiàn)階段的需求來看,這部分服務主要包括針對云計算防火墻服務、云計算負載均衡業(yè)務。不同的租戶可以根據(jù)自身的業(yè)務需求,合理的選擇部署云安全防火墻服務或者是防火墻疊加負載均衡業(yè)務。部署該安全服務后,每個租戶可以獲得邏輯上完全屬于自己的防火墻和負載均衡。租戶可以根據(jù)自身需求,設(shè)定自身的各種安全防護策略,生成自身獨有的安全日志分析報告。同時對于部分需要負載均衡的業(yè)務,也可以設(shè)置獨立的負載均衡的算法,以保證業(yè)務的可靠性運行。當然,考慮到應用層的安全風險一直是互聯(lián)網(wǎng)的重點防護對象之一,各種基于web應用層的安全攻擊會導致用戶業(yè)務系統(tǒng)的權(quán)限被竊取以及關(guān)鍵數(shù)據(jù)的泄露,未來也可以考慮增加一些新的諸如IPS入侵檢測等增值服務,用戶可以根據(jù)自身業(yè)務系統(tǒng)的安全級別合理選擇是否租用該漏洞防護服務等。這部分的內(nèi)容后續(xù)將作為重點進行論述。
4) PaaS/SaaS應用層數(shù)據(jù)安全
在云安全體系的建設(shè)過程中,PaaS和SaaS的安全建設(shè)也非常重要。和IaaS的建設(shè)思路不同,PaaS的安全建設(shè),其關(guān)鍵在于平臺開放的思想下,開發(fā)者應用平臺及數(shù)據(jù)庫系統(tǒng)對于多開發(fā)者數(shù)據(jù)安全的適配。典型問題包括針對開發(fā)者的用戶身份認證,開發(fā)者的平臺和數(shù)據(jù)庫的訪問使用權(quán)限控制,不同開發(fā)者數(shù)據(jù)的安全隔離、及操作行為審計等內(nèi)容。為此需要在數(shù)據(jù)庫的開發(fā)及平臺應用環(huán)境開發(fā)過程中考慮到上述安全風險的防護。而在SaaS模型下,應用系統(tǒng)級的多租戶共享涉及到的應用層安全問題,除了多租戶身份認證和權(quán)限控制及數(shù)據(jù)庫安全隔離等需求外,還需要考慮針對應用環(huán)境的代碼級的安全審計等問題,確保提供給租戶的應用程序本身的安全具備很高的水平,不會輕易被黑客等攻擊者利用其內(nèi)在的各種安全漏洞。在本次的大地保險云建設(shè)過程中,這部分的安全通過合理配置數(shù)據(jù)庫及應用程序來進行保證。
5) 建立安全運維體系,確保系統(tǒng)安全
除了前面提到的各種安全措施,還需要在運維管理方面建立相應的安全措施,形成完善的運維體系,以確保整個系統(tǒng)安全。
--專業(yè)安全運維團隊
配備了一支高水平的專業(yè)安全運維團隊,安全團隊的成員都經(jīng)過嚴格挑選,具備良好的道德修養(yǎng)和職業(yè)操守,同時具備極高的專業(yè)安全技術(shù)水平。安全團隊有嚴格安全保密制度,有效的安全操作管控能力,以及長效的安全審計機制。
--日常安全流程
安全運維團隊實行7X24小時安全值守服務,隨時監(jiān)控和處理日常安全問題。對于常見的網(wǎng)絡攻擊和入侵探測等,大多數(shù)都由云平臺自動化處理,少數(shù)情況需安全人員人工判斷后加以處理。同時,安全團隊還及時對各系統(tǒng)運維人員的安全服務請求作出響應,配合各系統(tǒng)運維人員做好安全防范工作。
--應急響應流程
一旦發(fā)生特大的網(wǎng)絡攻擊或新類型的安全問題,安全運維團隊將啟動突發(fā)安全事件應急響應流程。應急響應流程將緊急調(diào)動各方資源,臨時提升云平臺防護門檻,組織專家會診安全問題,制定緊急應對方案并立即實施。對于新型安全問題,將即刻啟動安全防御新功能開發(fā),并盡快上線啟用,保證安全系統(tǒng)的及時升級和安全的長效性。
--安全消防演習
安全團隊不定期會進行必要的安全消防演習,以考驗各種安全流程和資源在實戰(zhàn)狀態(tài)下的有效性。消防演習一般不做事前通知,并在可控范圍內(nèi)發(fā)起模擬網(wǎng)絡攻擊和黑客入侵,同時記錄各安全處理環(huán)境的效率和結(jié)果,最終評判整個安全體系的防衛(wèi)和響應能力。
11、上云之后對IT部門的架構(gòu)有什么樣的影響?
解答:
云計算使傳統(tǒng)意義上的數(shù)據(jù)中心從原來的成本中心轉(zhuǎn)變成服務中心,支持向公司內(nèi)部輸出規(guī)范的、有質(zhì)量保證的服務,降低服務成本、運營成本的同時促進IT部門運維模式發(fā)展變革,簡化系統(tǒng)建設(shè)、運維工作,提升工作效率。
對于金融保險業(yè),云計算有其獨特的價值:
縮短上線周期:
云計算的引入能夠顯著縮短硬件資源、平臺環(huán)境、應用系統(tǒng)的部署周期,支持各部門在最短時間內(nèi)以“隨需即取”的方式獲取系統(tǒng)部署所需的一切服務資源,運維管理團隊即可根據(jù)服務模板實現(xiàn)遠程快速部署和動態(tài)調(diào)整,減少重復性建設(shè)工作,支撐業(yè)務的快速發(fā)展變化。
進一步實現(xiàn)綠色節(jié)能:
云計算構(gòu)建于池化的硬件資源基礎(chǔ)上,并進一步實現(xiàn)服務化封裝及更高層級的細粒度服務復用,從而相應降低對數(shù)據(jù)中心機房的電力、制冷、空間消耗,實現(xiàn)機房綠色節(jié)能。
促進運維模式發(fā)展變革:
針對業(yè)務需求部門提供自助式服務,需求部門依據(jù)定制的云服務目錄選取所需的計算資源、存儲空間、網(wǎng)絡服務、基礎(chǔ)平臺環(huán)境等服務項并提交申請,運維管理團隊根據(jù)定制成型的服務模板,依靠自動化技術(shù)及云管理平臺來交付規(guī)范的、有質(zhì)量保證的服務,將傳統(tǒng)運維模式轉(zhuǎn)變?yōu)橐苑諡橹行牡姆绞剑档拖到y(tǒng)建設(shè)、運維、管理工作量。
運維人員角色的轉(zhuǎn)變,image維護人員,云服務實施人員,持續(xù)運維人員,和資源管理人員,角色不通 與傳統(tǒng)運維,日后運維多是 運維需求調(diào)研開發(fā)運維產(chǎn)品上線,自動業(yè)務需求梳理開發(fā)相關(guān)軟件上線。
