摘要:安全可信的網路連接方案是遠程運維的基礎,否則反而會將安全風險(資料安全、網路攻擊)引入到客戶本地云中,
本文分享自華為云社區《【華為云Stack】【大架光臨】第2期:云上遠程運維的最后那點擔心,“云梯”幫你解決》,作者:大架光臨 ,
遠程運維是趨勢,安全可信是根基
便捷高效的云服務已成為企業解放生產力、推動業務創新的重要支撐,隨著云平臺的規模快速擴大,若繼續使用傳統的運維手段,將會對政企IT運維部門帶來非常繁瑣復雜的作業,這表現在:
- 云服務需持續更新迭代,規模大,變更升級風險高;
- 傳統運維手段不適應云化運維,故障識別難,運維效率低;
- 面對容器、大資料、AI等紛雜的新技術,運維人員無法快速應對突發故障;
- 云運維專家成本高,如某局點配置的PaaS/大資料等運維專家,僅20%時間處理復雜的問題,80%處理低階日常維護作業,造成人力浪費,
在這種背景下,華為云著力構建“1+3+N”全球技術服務體系,為政企用戶提供全球交付和運維能力,依托華為云專業的運維人員、成熟的運維體系、領先的運維能力,把客戶從復雜的運維作業中解放出來,聚焦于業務創新,企業客戶通過專線或VPN等方式接入遠程運維服務時,安全可信的網路連接方案是遠程運維的基礎,否則反而會將安全風險(資料安全、網路攻擊)引入到客戶本地云中,
聊一聊遠程運維的安全風險
智能化的遠程運維中心至少需要具備如快速升級、部署、擴容、故障處理、巡檢、告警監控等能力,典型架構如下圖1,遠程運維中心的多種運維工具或通信協議往往會導致通信矩陣龐大,網路配置復雜,這樣必然帶來一些網路安全風險,
圖1 遠程運維典型架構
這些風險主要包括:
- 防火墻上通信矩陣復雜,監聽埠眾多,網路攻擊者可能會針對這些監聽埠發起攻擊,威脅客戶本地云內網安全;
- 運維工具和運維代理間的通信多樣化,除了從防火墻控制外,無法有效地從某一個控制端點上按照運維業務或資料維度做細粒度的控制,缺乏自助控制;
- 基于TLS等協議的加密流量,客戶無法統一審計,依賴離散的運維工具代理(分布式運維工具代理)本身的審計能力,審計難度大,資料安全無法有效保證;
- 缺乏針對潛在惡意指令的攔截和防范手段,
華為云Stack的遠程運維安全連接方案
基于上面描述的遠程運維接入程序中可能存在的問題,華為云Stack基于專線或VPN基礎之上提供遠程運維安全接入產品“云梯”,整體架構設計如下:
圖2 “云梯”架構
在不改變運維工具本身架構的情況下,整體架構主要包含這些關鍵組件:
運維工具的這些特性能力十分重要:
- 快速部署、升級、擴容:實作云服務快速部署、持續迭代升級,全網同版本、同架構、同生態;升級變更方案專家統一制定,降低變更升級風險;
- 快速故障定位、故障處理、主動巡檢、AIOps等:專家7*24小時在線,重大問題研發專家會診,疑難問題發現快、定位快、修復快,快速一鍵式巡檢,發現系統潛在風險;
- 告警監測:實時監測告警資料,智能分析,及時快速提前介入,主動預防;
- 云梯Server:完成中心運維工具的請求轉發、回應和告警監控資料上報;
- 云梯Client:與遠程運維中心的云梯Server建立安全加密的訊息通道,接收云梯Server的轉發訊息,針對不同協議完成請求的代理,呼叫目標運維工具代理獲取回應;
- 運維工具代理:接收并執行運維指令,主要包括如:
- 安裝包、升級包下載,完成云服務安裝與版本升級;
- 驅動AIOps腳本執行,收集、分析故障日志,快速定位問題根因,執行巡檢任務,檢查云服務健康狀態;
- 對接客戶本地云告警,完成告警資料上報;以華為云Stack為例主要包括如下型別告警:
- 通信告警:網元內部、網元之間、網元與管理系統之間、管理系統之間的通信失敗而引起的告警,如:設備通信中斷告警,
- 業務質量告警:如:設備擁塞告警,
- 設備告警:物理資源故障而引起的告警,如:計算節點磁盤不足,
- 完整性告警:請求的操作不能正常提供,如:非法的修改、增加和洗掉用戶資訊
- 安全告警:安全服務或機制檢測到有關安全方面的問題發生,如:鑒權失敗、非法訪問,
當客戶遠程運維使用“云梯時”,各組件相互配合,共同保障安全:
- 位于客戶本地云中的云梯Client與遠程運維中心云梯Server保持長連接,建立一條連接遠程運維中心與客戶本地云的訊息通道,所有運維指令下發或監控資料上報請求都通過這一通道進行傳輸,這樣能夠避免客戶本地云邊界防火墻埠監聽的同時也能將原有運維工具與運維工具代理間多種協議的連接收編到統一的長連接中,實作通信矩陣的收編;
- 以運維指令下發為例:遠程運維中心的運維工具通過https向運維工具代理發送運維請求時,請求經過云梯Server進行動態路由,分別在云梯Server中完成請求的封裝,通過長連接訊息通道完成訊息分發,在云梯Client中完成請求的解封裝,恢復請求發起呼叫運維工具代理獲取回應,回應訊息回傳至呼叫方,這樣的好處在于針對如上的每一個請求位于客戶側的云梯Client均能夠決議請求指令和回應的詳細內容,實時將完整的請求與回應資料記錄到審計日志中實作透明審計;
- 如上請求轉發程序中,客戶側云梯Client能夠實時獲取請求和回應資料,基于目的地址或運維資料特征,提供細粒度的白名單放通策略(自定義或預置),云梯Client僅會轉發允許放通的請求,其他請求均無法經過云梯到達客戶本地云運維區,更無法到達客戶云內網,保證資料安全,將通道控制權掌握在客戶手中,
“云梯”作為一體化的安全、可信、可控遠程運維解決方案中的關鍵能力,我們做了幾個重點技術能力構建,解決遠程運維的安全風險:
1. 將客戶本地云運維工具代理相關的防火墻監聽埠減少至0,將運維工具多種通信協議的通信鏈路收編到統一的長連接中,如下圖所示:
圖3 “云梯”場景運維接入
2. 針對運維程序中的加密協議(如https等)提供透明審計能力,實時查看運維指令內容,如下圖5所示,同時提供敏感資料(賬號、口令等)識別、脫敏與攔截,防止資料泄露;
圖4 “云梯”流量審計
3. 提供細粒度基于運維業務或資料特征的控制策略,按需放通運維指令,將運維的控制權掌握在客戶手中,如在某段時間內僅允許巡檢指令下發,則該時段內變更類指令將會被攔截,
“云梯”已成,加速政企智能升級
當前云梯已上線華為云(西安)運維中心,同時云梯結合運維工具提供安全、可信、可控的遠程運維解決方案,形成“1+2+5”的安全體系:
- 1套安全管理體系:構建遠程+現場兩級安全運維體系;
- 2項安全認證:ISO27001認證、網路安全三級等保認證;
- 5類安全管控機制:資料安全、IT安全、人員安全、物理安全、作業可信,
現已支撐50+政企云上運維,囊括政府、交通、醫療、電力等8大行業,如:
1. 華為云Stack為國家電網提供集中運維解決方案:
- 問題處理效率比常規情況提升約50%;
- 各省問題平均倍訓時間縮短至45天,快速迭代云服務版本,
2. 華為云(西安)運維中心為甘肅省醫療保障局提供智能運維解決方案:
- 智慧醫保系統運維效率提升30%-50%,全面保障醫保資訊平臺全生命周期業務連續性,
3. 華為云(西安)運維中心為中國一汽提供一站式運維服務:
- 累計處理線上問題500+;
- 問題處理效率提升46%;
- 需求變更100%成功,
面向未來,在線智能化的遠程運維已經成為政企數字化轉型的最優解,華為云Stack遠程運維“云梯”連接方案,實作客戶云便捷安全的接入遠程運維中心,對現有客戶本地云配置影響小,提供透明的統一審計能力,易控可控的連接通道,全方位保障客戶本地云遠程運維接入安全,幫助客戶從復雜的云運維中解放出來,更加專注業務創新,加速千行百業數字化轉型和智能升級,
點擊關注,第一時間了解華為云新鮮技術~
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/353259.html
標籤:其他
下一篇:滲透測驗學習之靶機DC-2