中欧体育·(中国)官方网站

【Gator Cloud】架构篇 - 提供基中欧体育于云原生的数据安全保护

日期:2023-05-07 14:34 / 作者:小编

  中欧体育随着云计算的成熟和云计算系统的广泛使用,越来越多的企业选择将新业务部署到云上中欧体育。但是,上云并不意味着就能够充分利用云平台的优势。目前,大部分的云化应用,依然还是基于传统的软件架构来搭建的,仅仅是移植到云上去运行,和云平台的整合度非常低。

  这种基于虚拟主机为主体的云化方式,只是实现了对云计算最初级的利用,无法充分发挥云计算中弹性、高可用性,易扩展性等优势。要想进行真正的云化,还需要摒弃传统的方法,从架构设计、开发方式、部署维护等各个阶段基于云原生的特点重新实现中欧体育,从而建设全新的基于云的应用和系统,也就是云原生架构中欧体育。

  云原生是一种全新的技术理念,以容器化、微服务、持续集成和持续交付为主要要素,是一套从云应用视角,专门为云应用设计的架构体系。当前,云原生正以其技术优势以及不断扩大的应用场景,逐步普及到各行各业的敏捷开发与业务创新中。

  容器镜像打包了整个容器运行依赖的环境,包括代码、依赖库、工具、资源文件和元信息等,避免了依赖运行容器的操作系统,从而实现“Build once, run anywhere”。容器镜像一旦构建完成,就变成read only,成为不可变基础设施的一份子。

  通过容器化封装解耦了应用程序和操作系统的依赖,保证应用程序在跨越云基础设施进行迁移和扩展时变得简单且稳定。

  在微服务架构中,服务是一个个单一的、可独立部署的软件组件,每个组件实现独立的功能。开发人员只需通过服务的API访问服务内部的方法和数据。通过这样的方式,微服务架构强制实现了应用程序的模块化。微服务架构的最核心特性是服务之间的松耦合性。服务之间的交互采用API完成,这样做就封装了服务的实现细节,支持未来在不影响客户端的前提下,对实现方式做出修改。

  微服务架构通过将大的系统按照业务服务的粒度进行拆分,每个服务可独立开发、测试、验证和部署,在优化资源的同时,也为应用程序提供了更好的扩展性。

  通过集中式的编排调度系统来实现服务的动态管理和调度,包括服务的发现和治理、远程调用、服务代理和微服务治理等组件,实现构建容错性好、易于管理和便于观察的松耦合系统。

  让企业应用能够利用云平台实现资源的按需分配和弹性伸缩,是云原生应用重点关注的地方。它要求云原生应用具备可用性和伸缩性,以及自动化部署和管理能力,可随处运行,并且能够通过持续集成、持续交付提升研发、测试与发布的效率。云原生应用并未完全颠覆传统的应用,采用云原生的设计模式可以优化和改进传统应用模式,使应用更加适合在云平台上运行。

  天空卫士的Gator Cloud NG,是一套完全以云原生的方式构建起来的数据安全解决方案。企业和组织可以灵活选择搭配各种数据安全服务,对其数据和应用进行保护。

  下面,让我们一起从云原生的角度看看Gator Cloud NG的整体设计:

  关键路径的节点均改造成无状态服务:即使节点挂掉再重启,也不会发生数据丢失,保证了高可用,同时也能够支持快速的扩缩容;

  公共服务组件,包括内容解析服务组件、OCR服务组件和病毒分析服务组件等,这些组件的运行不涉及租户相关数据,将会以集群级别的方式提供服务,统一服务于整个集群中所有租户的业务组件;

  租户相关基础服务组件,包括Redis组件、PG组件和安全策略引擎组件,由于这些组件包含租户级别的数据信息,为了实现租户数据隔离,这些组件将会以租户级别单独创建;

  安全服务组件,包括ATS服务组件和UCWI API组件等,由于这些服务和安全服务业务相关,将为每个服务单独创建,支持动态扩展。

  为了保证数据的快速和高效流转、数据隔离,为每个租户创建不同的PV,租户里不同组件需要共享(持久化)的文件统一挂载到该PV上。

  采用统一存储解决方案Ceph,数据分布均衡,并行度高, 可适应任何底层的物理存储系统:

  数据安全服务统一管理平台和数据安全服务提供点分离,以支持企业的就近接入需求:

  当前,Gator Cloud已经可以提供包括网络数据安全服务和统一内容审查服务。企业可以根据自身业务情况,自主选择所需的数据安全服务,并提供便捷的接入方式,轻松就能实现对其企业数据和应用的保护。

  将企业应用数据通过安全隧道导流到最近的天空卫士安全服务集群(POP), 由集群中的数据安全服务根据每个客户在统一管理平台配置的安全策略来对客户的数据进行检测、清洗、记录日志、阻断等操作。

  IPSec简介:IPSec在网络层将IP报文进行处理后再传输,增强了IP报文的安全性。

  IPSec是IPv6的组成部分,也是IPv4的可选扩展协议),在保证IP报文的数据保密性(加密)、数据完整性度量(防止数据被改动)的基础上可防止数据回放攻击(即接收到多个相同报文)。

  利用GatorCloud部署在云上的统一内容安全审查服务,为客户在云上的业务提供基于 REST API 的数据安全服务。客户的云业务开发人员可以在自己业务数据流转的关键节点,调用基于Restful的API接口,即可享受黑盒式的数据安全服务中欧体育。

  API 接口调用好处是将用户业务流程开发者和数据安全策略制定者隔离开来:业务流程的开发人员无需了解客户企业数据安全策略的具体细节,同时,企业数据安全团队也无需了解业务流程中数据流转的细节。这样的隔离能够大大提高企业部署数据安全策略效率。

  未来,还会有包括安全Web网关服务、终端数据安全服务等更多的安全服务陆续推出。

  刘茜北京天空卫士网络安全技术有限公司产品经理,电子科技大学通信工程学士和管理双学士。关注大数据、数据挖掘和机器学习算法及应用和移动安全产品 。加入天空卫士之前在赛门铁克从事安全产品的研发工作中欧体育。