雲遷移及雲端安全防護指南

近年來，越來越熱的雲計算被推倒風口浪尖，各大中型企業紛紛把企業服務遷移到雲上。從進取到保守，雲的擴散，讓傳統行業用戶已然開啟了奮起直追的模式！但如何保障雲遷移過程中業務連續不中斷？如何合理的調度和編排資源，大幅提升效率？雲費用的潛在浪費點在哪裡？公有雲和私有雲的統一安全與通信安全如何保障？

10 月至 12 月，ChinaMSP 資深雲計算架構師攜手極客邦科技 InfoQ 佈道南京、成都、北京、上海及深圳，來自 ChinaMSP、Fortinet、AWS 的四位技術專家分別就「基於零業務終端的雲遷移探索與實踐」、「針對雲管理及雲費用優化的最佳實踐詳解」、「混合雲環境下的安全挑戰與防護指南」以及「AWS 雲服務及混合 IT 架構實踐」主題詳解了相關技術與應用，為企業量身定做一站式雲化解決方案，助力企業 IT 快速上雲。InfoQ 對本專場的精華內容做了部分梳理和總結。

基於零業務終端的雲遷移探索與實踐

現如今，雲已經成為一個必選項。雲遷移已然不僅僅是虛機遷移、數據遷移和應用遷移，它的目標是業務遷移，讓業務轉型數字化，更加敏捷，進而讓企業敏捷。完整的雲遷移應該包括四個步驟：

分析評估，一切都是從了解分析開始的，在遷移之前，對現有系統環境進行完整分析，對應用的雲化程度，以及成本和風險等項目進行評估；

計劃和設計，定義目標基礎設施環境的架構選擇適當遷移工具和遷移模式，制定清單，分解任務，規劃遷移節奏；

遷移實施，按照既定的方式進行遷移、測試和割接；

運行優化，整體調優。

在整個過程中，前期的評估和規劃是遷移能否成功的重要前提。針對雲化成熟度不同，遷移策略也會有所不同。通常雲化成熟度指的是應用改造後的目標態，依據它們與雲環境下最優適配的原生應用的差距，有時將它們以顏色來區分: 褐色 (Brown)、藍色 (Blue) 和綠色 (Green)。

從實踐上看，對於已經部署在企業私有數據中心的非雲環境下的應用來說，絕大多數應用可以在不修改應用代碼和配置的情況下改造成褐色的 ; 改造成藍色的需要對應代碼或配置做非常小的「外科式」改動 ; 但改造成綠色的，應用架構和代碼需要做很大的改動。可以說改造的難度基本是數量級提升的，但能夠獲得的上雲的收益也相應有很大的差別。

對此 ChinaMSP 根據應用雲化的成熟程度不同，將遷移方法論總結為「5R」：

Retain：不遷移，保留在現有環境下

Rehost：對託管的基礎設施進行適配（操作系統的存儲、網路驅動 ; 計算的規格、存儲的等級等），盡量做少的客戶 OS 之上可感知的改變。通常盡量通過工具自動實現大部分重複的、耗時的工作。Reflatform: 根據目標的雲平台進行一些應用代碼或配置可感知的少量變化，以 好地使用雲平台。 如與自動化配置相關的 cloud init 、監控相關的 agent 部署、安 全相關的 4A 納管、運行環境相關的中間件 / 運行庫標準化等。但更典型的資料庫轉換，從傳統資料庫轉換到為雲優化過的 RDS 服務或更適合雲環境的商業資料庫版本 (如 Oracle 12c 等)。

Refacor/Reengineering: 以雲原生應用為參考，對應用架構進行重構，代碼進行部分重寫。

Retire/Repurchase: 轉換為購買 SaaS 服務的模式。

應用 5R 遷移方法論，中國 MSP 行業翹楚 ChinaMSP 推出了 MigFlash 遷移方案。

MigFlash 通過一系列的組合，把技術的複雜度通過軟體工具體系的方式隱藏起來，使得最終遷移的項目獲得非常敏捷易用的效果。具體來說：

針對源生產環境影響：

第一，無代理，消除對源生產環境的入侵；第二，沒有安裝代理，通過 VMware 的 CBT 或者快照技術進行磁碟的複製；第三，從複製的過程裡面還是可能不是從虛機里讀，優先使用 LAN 加速的方式，從虛擬化的存儲層直接複製，不通過 ESXi 伺服器，從而對整個環境影響最低。

針對「網路帶寬」的挑戰，優化分為四個方面：

離線全量＋網路增量，即從源端拷貝到 NAS 上，之後把 NAS 帶到雲端，網路的增量通過廣域網傳輸；

複製保護點的時間周期：廣域網上傳的增量支持去傳遞一個固定時間周期，這兩個時間節點的差分，中間過程的變化其實都不用去傳遞了，這也是來控制網路上面帶寬裡面、優化裡面比較有效的途徑；

網路壓縮、去重；

過濾 SWAP 分區：在運行的系統裡面的，大多數裡面對磁碟的變化至少一半以上是 SWAP 內存裡面的數據。這些數據在轉換的過程里完全可以屏蔽掉。經過四項全面優化以後，廣域網上傳輸的帶寬的要求可以節省到 90% 以上。

針對「虛擬化平台轉換」的挑戰：

轉換是通用性問題，能不能適配更多目標環境和源端的操作系統，但是更重要的一點在平台轉換以後，甚至上雲以後有沒有自動化管理的 Agent 和新上的雲管平台進行一些配合的。MigFlash 遷移方案在智能驅動 、OS 配置 、代理替換 / 安裝三個部分都有

針對「可恢復性與數據一致性」的挑戰：

源端的虛機還在運行業務，數據不停的在寫磁碟。特別是 Windows 環境，大多數裡面數據還在緩存裡面並沒有落到磁碟裡面，這時候磁碟複製過去的是臟數據，並不能保證數據的一致性，在目標端機器起來以後，機器可能能夠起來，但是資料庫就打不開了。

解決方式主要是利用微軟的 VSS 的影像的技術，每次做複製的時候，先讓源端瞬時暫停對磁碟的讀寫，並且把內存里的數據複製到硬碟裡面，然後產生可恢復的快照點以後，把快照點的數據慢慢傳輸到遠端，傳的過程裡面原系統可以繼續進行運行。這樣的話既能保證數據的一致性，而且暫停時間，也是毫秒級的。

混合雲環境下的安全挑戰與防護指南

雲服務是數字化轉型的支柱，但它們也成為許多安全架構師們在安全建設之路上的荊棘。

多雲環境帶來的安全挑戰與現有安全部署之間的不對等

雲的孤島阻礙了網路可見性與威脅響應速度。安全團隊的任務是保護整個企業應用程序和數據資產。 雖然他們通過雲提供商的門戶網站可以看到每種雲部署，但通常沒有統一的視圖來查看所有雲中的威脅。 同樣，無法立即評估在一個孤立的雲中對整個威脅組織的潛在影響。

不可預期的管理負擔。大多數企業不會同時創建多雲環境。 相反，他們一次訂閱一個雲服務。 每個雲服務都有自己的安全規定和管理工具。 這造成了一些行政上的負擔，例如管理負擔，以及合規性的考量；以及隨著每個雲應用程序的自主發展和運營，企業安全團隊需要在所有雲中傳播企業安全策略的變化，並將企業安全技術與每個雲提供商的安全技術集成。

安全覆蓋落後於基於雲的應用部署。雲服務的大部分價值在於使組織能夠快速部署和擴展應用程序。業務線經理可以在雲中部署應用程序，並在幾分鐘內將信息移到異地。隨著 DevOps 的採用，企業現在可以快速推出新的軟體更新。使用單個雲確保通過這種加速部署實現防水安全覆蓋是很困難的，尤其是在安全配置不是自動化的情況下。多雲部署會使問題成倍增加，結果是 IT 和安全管理人員的痛苦折衷。

人力的投入是不能趕超高級威脅的進化的。在如今緊俏的安全勞動力市場中，企業如果能夠招聘到足夠的有才能和經驗豐富的員工，那就很幸運。 然而，即使是最優秀和最聰明的安全專家也無法跟上在數量，速度和複雜性方面爆發的威脅 - 除非他們在正確的架構中擁有合適的技術。

面對以上挑戰，Fortinet 所倡導的 Security Fabric 架構能夠防禦來自主要攻擊平面的威脅，包括雲端、移動端、終端。Security Fabric 內的安全組件的協同與統一管理成為關鍵。 Security Fabric 將安全的配置實現擴展至私有雲及公有雲平台，給客戶帶來更廣泛的選擇性同時，降低了使用難度，同時具備了全局的可視化。

這也就是說， Fortinet 現有的安全架構及方案整合了不同的安全場景，提供了一致的安全能力，並且架構是完全開放的，客戶能夠自動化地實現不同安全防禦技術之間的智能協同，無論在公有雲或是私有雲上，實現統一的安全。

需要強調的是， Fortinet 的產品與解決方案並不針對某個特定的供應商，而是支持多數主流的雲平台。現在很多客戶的雲環境都是「多雲」的狀態，如果不能在生態層面實現對儘可能多的雲平台的支撐，安全防護的效果必然大打折扣。

在活動中，Fortinet 的技術專家還為開發者介紹了雲上常規的部署模式以及雲上的自動擴展模式。如下圖所示是 AWS 的 WAPC 架構。

兩個 AZ 的 FW（防火牆）與 WAF 工作在 AA 模式

與 FW（防火牆）與 WAF 完全集成將 HTTP 轉至 WAF

入向流量通過 ELB 負載分攤

FW（防火牆）開啟 NGFW 威脅檢測功能

WAF 對 HTTP 流量進行深度檢測

FW（防火牆）將流量映射至內部 ELB FQDN

WAF 將 HTTP 流量映射至內部 ELB

對於 NGFW 來講，用戶、應用、DDOS、病毒攻擊，這個是 NGFW 天生具有的屬性，一旦上雲以後，這個上面會做相應的事情保證你雲的安全。

如下圖所示為雲上的自動擴展的模式，以 AWS CloudWatch 為例。CloudWatch 創建自動擴展消息，CloudWatch 通過 SNS 通知 Lambda，Lambda 在 Autoscale 成員中增加 FW 並通過 API 通知 FW 同步配置，FW 同步完配置通過 API 通知 Lambda，最後 Lambda 更新 ELB 配置。

此外，Fortinet 擴展了 Transit Security Hub 概念，即把所有安全的功能集中在一個 Security Hub 管理。Security Hub 可對 VPC 的流量以及不同的雲進行相應的安全過濾，並支持自動擴充。當 Hub 裡面的流量增大，可以自動進行相應的拉升，擴充 Security Hub 安全的能力。

Transit Security Hub 適用於對組網有嚴格的要求；應用場景複雜，有多 VPC 的需求；對於安全策略的管理有嚴格的要求，需要集中管控的場景。並且適合對於應用系統以及 Web 應用的安全有嚴格的要求，需要將系統安全和業務安全分離；安全策略的管理要求嚴格統一；需要監控 VPC 之間的流量業務安全的安全需求。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！