云安全架构:超大型企业混合云安全架构最佳实践
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
云安全架构:超大型企业混合云安全架构最佳实践
导语
・目的
对于超大型企业的混合云安全架构有了更深入的了解,想借此机会,讲透彻超大型企业的混合云安全架构里面会猜到的坑,以及我心目中的理想的解决方案和彻底解决安全风险问题的解决方案。
希望能够给国内超大型企业带来一些对于风险认知的提升,笔者答应给大家的关于Azure、AWS、Google云的安全架构后续再慢慢更新。
依然看到了国外AWS、Azure. Google给超大型企业的超完整解决方案,笔者也会借此机会找出AAG这三家给这些超大型企业提供的优秀的完整安全解决方案、提供的体系化安全能力、可落地的安全规范以及对应的上云安全治理框架。
这些大家如果没有亲身设计过超大型企业的安全架构,是不太可能凭自找找到背后设计的原因(Why )、如何(How )设计以及设计了什么(What) ?
对于超大型客户的混合云安全架构,笔者先做一个假设,笔者是站在整个企业的基础设施安全架构角度,既要设计顶层的架构设计、又要进行落地、还要覆盖企业府的租户侧安全体系、最终还要覆盖底层的云平台底层的安全体系。
本篇文章会比较长,但是笔者本看最少的废话原则,用清晰、简洁、高效
的来总结每个点的风险、对应的解决方案、使用的技术细节、运营角度、持续改进的维度等细节。
一、超大型企业整体介绍
■综述
重要说明:以下情况纯属假设如有雷同,纯属巧合。
首先开始正式的安全风险分析、心目中的混合云安全架构、业界的某些领域的安全解决方案、具体采用的技术细节、安全运营等展开之前,先介绍一下
超大型企业整体的情况介绍。
.业务规模
超大规模上市公司ACME公司,年收入4000亿美金左右,市值接近2W 亿,世界TOP3企业,主营业务图书、音像制品、软件、消费电子产品、月艮装鞋帽、首饰等等,业务遍布全球各地。
另外除了电商业务之外还具有零售、物流、硬件、云计算、电子图书、支付等扩展业务,业务大小分类超过100+, 而且过程中还在不断的收购各种企业来扩大业务规模。
除了收购的业务之外,还跟全球的投资机构、金融机构、政府机构、监管机构等构建了复杂的生态体系。
业务上超级错综复杂,而且每个版块之间的交互也是复杂无比。
・管理层的技术战略
1、Cloud First、Mobile First
ACME的战略就是100%的迁移到云上,利用ACME的复杂业务来打磨自
身公有云的成熟度,形成强大的竞争力,第二个全面拥抱Mobile移动平台, 利用自身的业务下沉移动平台、整合云平台形成强大的战略落地能力。
2、技术架构Onelnfrastructure
ACME全球业务形成统一架构,包括公有云、混合云统一开发模式(开发的应用能够直接适配整个公有云和混合云)、统一的身份认证模式(开启全网供应商、员工、第三方员工、外包公司等统一的身份认证体系,形成巨大的安
全能力,来保证整个自身账号体系的安全)、统一的安全(整个ACME公司全部依靠ISAM基础设施安全态势评估系统构建的OneSOC系统来进行统一的100+ BU+分公司+收购公司的水位拉齐、威胁检测、安全基线、监控和响应体系)、统一的数据平台(整个公司形成了OneData架构,全部的混合云数据全部拉通,数据拉通之后的共享机制以及强大的规范、架构、模型、算法等形成了巨大的竞争优势)。
3、CTO战略
CTO为了进一步提升竞争优势,除了100% " On Cloud "之外,提出了更加世界前沿的技术思路,100%迁移Cloud Native ,形成Cloud Native On Cloud的态势,全球范围内只有Google做到了这一点,Cloud Native的主要优势是为了服务业务,降本增效提升研发效率,加速业务创新。
・支撑系统规模
1. 全球网络规模
全球30+ Region. 100+ AZ可用区、超过250个Edge边缘节点、全球网络设备数据超过20W+的规模;服务器规模超过600W+规模;
2、全球IT规模
ACME公司成立了核心服务运营(CSE )团队,运营看庞大的2000+内部IT系统,范围包括供应链管理、人力资源管理、财务管理、安全、法务、销售、业务支撑等庞大的运转机制,CSE团队的职责主要是把内部的IT慢慢迁移上云,部分不能上的业务跑在私有云上,通过专线和公有云直接打通。
3、全球服务器规模
经过前面讲到云原生化之后整体容器数量超过400W+ , IDC服务器超过200W+ ,服务和服务之间的交互也是非常复杂,在这样的规模上构建的安全体系是非常复杂的。
・人员规模
员工总数超过80W+人员,分布在全球超过200+城市,同时超过2W+招
聘岗位,这样的情况下人员管理也有巨大的安全挑战。
■架构现状
目前ACME公司的超过90%的业务已经迁移到云上,并且跑在了基于公有云云产品底层基础上构建云原生上,还有10%的业务仍然在传统的IDC机房中,IDC机房通过专线跟云上的VPC打通,形成了混合云的态势。
二.混合云安全风险分析。