网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

同样在考虑这三种不同接口的时候，我们一定要考虑它的安全性。我们公有云下有公有云的安全性，私有云下有私有云的安全性，我们怎么保障传递数据是双向还是单向，以及是允许访问的IP，仅有专线连接还是允许公网等等，这是我们从接口和安全角度来看。

我们再来看跟现有系统对接的角度，跟现有系统对接的时候我们说数据的摆放，就是我们需要着重考虑的问题。我们有不同的数据，我们有用户的数据，我们有衍生的数据，我们有自有机房的数据，这些数据之间怎么对接切换，我们考虑灵活性部署方便，成本、位置、服务等级等等，此外要考虑从系统层级的留存整合、数据整合、展现整合等等。

通常我们做混合云的时候往往有很多比较麻烦的地方。第一个比较麻烦的地方就是混合云环境的治理。传统IT里面我们有Gartner，Hybrid IT的Gartner也是一个重大问题。由于职责模糊性带来我们未来怎么切分，就像我们所有云服务商都面临一个问题，用户打电话说我系统用不了了，云服务商第一反映我们要界定问题在哪里，我先搞清楚问题在哪，才能对症下药，这是分清边界的过程。我们看看到底问题在用户代码里头，还是云底层的代码还是网络，因为今天整个复杂度和边界极大的改变了我们传统IT模型的单一的环境，单一的边界。再次就是接口多重性，有大量管理接口、服务接口、业务接口，这些接口之间怎么调用，我们是不是通过高安全性加证书，如果换证书怎么办？等等，会带来很大麻烦，所以我们需要有接口方面整合管理、版本管理和资产管理。

混合云环境下面验证和授权，前面我们跟大家汇报到我们既然在混合云环境下，我不能只提供一个虚机用户用就好了，我们一定要通盘考量。通盘考量我们看一下我们在Azure里面的一个例子。在Azure里面基于混合云模型验证，首先公有云提供一个AAD的服务，这个AAD服务跟我们私有云环境下面，传统IT里头，自有机房里头windows环境下AD五对接起来，第三方机房，第三方应用，或者第三方的云，一个独立私有云环境我们也可以对接起来，通过AAD的模型不仅在虚机层面，也可以在我们应用层面，我们直接应用引用AAD的验证和授权中心就好了，对很多企业来讲我们不一定非要用AAD，我们自己搭一个也可以，这个并不难，这里面最核心我们如何分离验证和授权，以及如何实现先有验证中心再有授权中心。就像我们身份证一样，就像我们进到酒店的房卡一样，通过这种方式去考虑，就很容易来去实现，但是我们说混合云环境下一定要有这些东西，如果没有这个混合云几乎是用大炮去打蚊子了，因为我们架构建得很多，在上面当成单个虚机来用，没有引用到云的价值和优势。

还有隔离失效问题、合规风险问题，安全处理边界，管理接口脆弱性，以及在公有云、私有云、自有机房之间连接不可用的风险怎么考量，这种风险设计的时候一定要考虑，目前我们在所有，包括我们和用户机房之间，比如说北京、上海机房之间，都是至少双光纤备份，至少两条光纤并且通过不同的物理路由，不是逻辑路由，一条比如说走山东，一条走广东类似这样的，这是未来我们做私有云环境下一定要考虑的，一定是双线路，双路由。以及我们数据的安全和同步，数据交互怎么做？等等。

前面我们讲到它的一些架构设计的难点、运维层面的难点、安全边界的一些难点。我们再来看看对于一些企业我们做应用开发，基于混合云的应用开发，我们通常有一些简单的建议。第一个建议解耦的问题，合适的解耦。耦合程度越高的东西，往往部署在比较靠近的地方，我在北京依赖一个服务在广东，这时候首先部署有大量延迟的问题，其次任何一个网络的中断或者擅断都会给我们带来灾难性，在耦合程度上，耦合程度越高的服务应该是物理位置上部署越靠近。