云安宝首席科学家刘川意作《租户上云的瑞士军刀》主题分享

发布时间 :2017-11-27

大家好,非常荣幸作为合作伙伴跟大家介绍一下我们这几年的实践,租户上云的时候需要怎样的能力和工具,我们把它叫做瑞士军刀。

这张图是一个典型的云体的结构,IAAS、PAAS、SAAS,它的责任由租户和云提供商共担的,一个租户要对区域里面所有的租户负责,对于PAAS要对它的租户运用数据负责,对于SAAS租户要对它自己上传到云上的数据负责。

今天主要讲的是用户视角,我们说浪潮云会提供基础的能力,计算、存储、网络,基础的安全,传统的三板斧都是由云服务商提供的,租户上云以后还需要什么样的能力呢?

举三个例子,第一,租户上云以后有大量的业务系统,所以面临的是大量的帐号,这些帐号的密码其实是导致安全事故绝大多数的根本来源,每个应用换一个密码太复杂了,定期的改密码太复杂了,所以,租户的一个必要的需求就是如何把各种各样的密码,各种各样的帐号打通统一的管理起来。

第二,租户上云以后,它的网站、系统最终是由它负责的,由它来更新和配置的,所以如何让这个动作变得自动化、智能化,这是租户的需求。

当然,第三个方面,租户上云以后,它的系统是做服务提供的,租户还有最终的用户,所以怎么让这些用户可以安全的访问在云上的数据和应用,其实是租户很头痛的事情。

类似于这三个方面的需求,租户可以有两个办法解决,一是自己再去买一堆盒子DIY一个方案,这样做已经丢失掉上云的初衷,上云就是为了方便。因此,我们做的事情就是给租户打造一个轻量化的融合的一个整体的解决方案,我们把它叫做瑞士军刀。

第一,这个瑞士军刀要包含云堡垒机,我们讲传统的堡垒机是非常成熟的产品,云堡垒机和传统的堡垒机比,它应该包含能够支持虚拟资源的管理、能够跟云平台的接口API进行无缝打通,可以进行手机的资源查看和运维。最简单的情况就是,传统堡垒机硬件的盒子没有办法去管虚拟的机器、虚拟的存储,当然云堡垒主要针对的场景是运维。我们讲随着移动化办公的趋势,云堡垒应该让你的运维人员包括技术的领导、你的信息中心主任,它只要拿到手机就可以查看人员的行为、资产的管理。
  
包括我们说云堡垒、它其实要把你线下的资源、线上的资源能够做一体化的监控,而且这个架构应该是可扩展的,它可以把你异构的资源和网络无缝的连接起来。

瑞士军刀的第二个场景是如何安全方便的做远程访问,其实我们发现,很多的应用把它上云以后,它并不是像所有的用户开放的,它面向特定的人群,比如说现在法院再建阅卷系统,它这个系统只针对有律师资格证的律师开放,这样的情况下,无论是法院和链条的云提供商,最担心的事情就是暗中的数据被非授权的泄露出去了,怎么做?我们提出来叫远程浏览器,远程浏览器能够有效解决两个方面的问题,第一个方面,终端往往因为访问了钓鱼网站访问了伪装的服务器端受污染挂了木马,把终端的数据窃取走了,远程的浏览器在你的终端只是一个浏览器的窗口,所有的业务、所有的数据都在远程。第二个方面,远程浏览器能够防止黑客或者非授权用户把服务器端的数据拿走上传到其他地方去,远程浏览器所承载的环境是一个隔离的受控的环境。

我们现在的产品已经上到了浪潮云的市场,对于我们浪潮的客户只需要在这里面做一个简单的点击,你在浪潮云上的所有资源,我们就可以统一的管理起来了,这些资源部需要再去分别记住每个资源的密码是什么,IP地址是什么等都不要你去管,你拿到手机就可以方便的去做运维,你IP的领导也可以方便看到每个人做什么,它的业绩是什么,有没有做违规的操作,我们想通过这样的瑞士军刀使得租户上云以后,它的麻烦事情,它的体力活能够更便捷更智能的解决。