从负载均衡看云上应用的安全访问与交付
星期三, 七月 21, 2021
业务上云可以助力企业更快速的数字化转型,更弹性高效的进行计算资源的管理和分配,随着云计算发展的不断深入和地方政府的积极响应支持,全国各地的云计算数据中心数量正在如雨后春笋般的迅速增长。在此形势下,为了适应云环境产品的部署要求,硬件产品向软件产品转型、硬件交付方式向软件交付方式转型已经成为厂商和企业用户业务发展的必然趋势。
在转型的过程中,云应用交付方案的安全问题、可适用性和高效性面临着巨大挑战,另外,企业用户对于“新旧”解决方案的更替、适配问题也存在很多的疑虑。本期《牛人访谈》,采访到了上海弘积信息科技有限公司CTO高春华先生,高春华先生针对上述一系列问题结合弘积科技的自身发展经验对云应用交付解决方案在实际云环境中面临的落地难题和发展难题进行了多方面的分析和解答。以下是本期访谈内容:
上海弘积信息科技有限公司CTO 高春华
安全牛:企业在数字化和云化转型中,传统“硬件盒子”的应用交付面临着哪些挑战?云平台应用交付有哪些新的需求?
高春华:传统IDC中心的应用交付多采用硬件设备部署的方式,作为所有会话的流经之地,负载流量全部集中在硬件盒子上,硬件性能是企业选型时关注的重要指标,有些企业对应用交付处理能力甚至要达到200Gbps以上,当业务增长到一定程度后就要进行硬件扩容。特别是数字化时代,业务云化后,传统的硬件盒子面临的主要挑战为:
挑战一:多数发展中企业的业务呈弹性增长,基础设施硬件扩容的高复杂度和低时效性与业务增长对系统弹性性能的需求之间形成了明显反差;
挑战二:云环境中承载着成百上千种业务,连接千行百业的访问用户,需要多台代理服务器做支撑,业务不允许出现单点故障,一旦硬件问题造成业务交易中断或失败,影响面相对传统IDC机房更大。这对硬件的可靠性和稳定性提出更高要求,简单热(温)备的方式不能满足云环境下的无单点故障的需求;
挑战三:云环境下,云负载对安全管理的要求更高,业务上云会大幅度增加业务暴露面,面临的网络攻击和风险更多,需要更加周密、全面的安全解决方案;
挑战四:对于管理和维护上的需求更高。企业上云后,业务的编排、自动化部署都需要适应千行百业用户的不同需求,弹性扩展也要更加智能灵活,因此管理和维护的复杂度相对传统IDC机房也更高。
云平台采用集群化部署,将所有硬件资源融合成一个共享的资源池,处理能力不依靠单机的性能。应用交付软件分布部署在不同的硬件服务器上,单个应用交付软件处理能力一般在10Gbps左右即可,将负载对硬件资源的需求划整为零,分散了单机部署风险,可靠性更高,不会出现“牵一发而动全身”的情况。
但从弘积自身的经验来说,尽管云业务发展已呈泛在化,可目前市场上还是以采购硬件交付的企业为主,大概可以占到80~90%的份额,这可能与弘积本身的市场业务主要分布在金融行业有关,金融企业对于业务云化的态度较为谨慎,相对其它行业的进展慢一些。但从目前新基建的发展来看,未来这种情况应该会有所转变,只是还需要一段时间。
安全牛:负载均衡一直是应用交付的核心能力,云计算环境下,负载均衡有哪些新的功能和特点 ?
高春华:云负载均衡产品的特点十分明确:
1、首先,负载均衡和云进行深度融合后,更加自动化和智能化。相比硬件负载均衡产品,云负载均衡产支持自动化部署,无需人工干预,用户可以一键生成负载均衡虚拟机,实现负载均衡按需生成、自动配置,并借此自动做一些业务编排;
2、其次,云负载均衡可以将负载能力资源池化,使用更加灵活和弹性。传统硬件负载均衡产品的负载能力都有固定的额定值,但是云负载均衡可以以资源池的形式灵活扩展负载均衡的处理能力,按照用户的业务处理需求按需分配划拨资源。当用户的并发连接数达到设定的阀值门限时,负载均衡自动调用云平台接口,进而触发后端服务资源,并发连接数增加时,增加业务节点以分担压力;并发连接数减少时,删除回收多余的业务节点,把资源释放掉,实现负载能力弹性扩展。
安全牛:云计算环境下,针对不同企业云平台架构的差异性,云应用交付上线时需要订制化的调整吗?
高春华:不同的云平台架构采用不同的通信标准,要求应用交付能够根据其差异性进行修改和适配。不同的云平台适配的内容不同,需要具体情况具体分析。结合弘积科技研发实际经验,配适的工作量主要有以下三方面:
1、内核及虚拟网卡适配。以弘积科技服务的金融行业为例,金融行业目前多采用公有云厂商提供的行业云,比如阿里、腾讯等都是从早期的公有云逐渐转化为行业云然后在银行企业里面得到了广泛使用。但是应用交付的定制化内核未必能很好的匹配公有云内核要求,不同云平台对虚拟网卡的要求也不同,这就涉及到内核更新和网卡驱动的适配工作。
2、网口适配和修改。不同的云平台架构对第三方组件开放的接口数量是不同的,比如早期的阿里云只提供一个网口,业务口和管理口共用。如今,云平台可以提供多个网口,从安全管理的要求上,我们需要划分成专用的管理口、业务口和心跳口(高可用端口)。但尽管如此,不同的使用场景下也是受限的,比如,阿里云的心跳口只支持单播不支持组播需要进行适配和修改。
3、云负载均衡的配置和管理。需要一套管理平台,实现负载均衡在云平台中的快速部署和集中管理,支持配置策略下发,资源池化管理,弹性扩展策略,支持通过API接口与云平台实现快速对接,通过管理平台快速适配不同的云架构等。
安全牛:云应用交付解决方案除了以上新的功能及与云平台适配外,还有哪些方面的特性?
高春华:应用交付最大的特点是保证业务高可用性,在此基础之上逐步扩展,形成一个快速、安全、高可用、可视化、灵活、智能于一体的解决方案。
速度提升上,弘积的应用交付方案同时能够实现压缩、缓存以及SSL卸载等功能,这主要是为了提升应用访问速度,提升用户访问体验;
安全上,弘积应用交付本身也提供一些安全防护功能。但是应用交付安全和专业的安全相比没有那么全面,应用交付更多的是偏向应用的安全,如WAF、抗DDoS、应用访问控制等功能。
除此之外,云应用交付还具备应用可视化功能。众所周知,云平台主要提供基础设施的资源,对云中的业务基本不感知,但是云负载均衡可以深刻的感知云平台中的业务流量,并借此帮助用户实现流量的可视化。
最后,在与云平台对接的时候,提供更多灵活性、智能化的能力,即上述的弹性扩展、资源池化、自动部署和业务编排等等。
安全牛:您认为云应用交付在安全管理能力上主要体现在哪些方面?
高春华:对于应用交付厂商来说,安全并不是最大的核心竞争力,但弘积会以负载均衡作为业务控制和调度的枢纽积极与第三方的安全平台联动为云平台提供集可靠性和安全性能力融合的整体解决方案。负载均衡天生就是一个安全的代理设备,能够感知业务流量。业务经过云负载均衡之后,可把流量通过镜像的方式传送到第三方安全平台,对于加密的https流量,负载均衡可以解密后镜像给安全检测系统,安全系统一旦发现安全威胁需要响应处置时,便会将处置策略下发到弘积的MC管控平台,负载均衡根据MC的策略执行流量牵引,比如牵引到蜜罐或流量清洗设备中做进一步安全检测,同时还会对存在安全威胁的流量进行隔离转发。这是弘积在云上以负载均衡为核心做的与第三方融合的安全解决方案。
第二,负载均衡本身也有诸多的安全能力,包括它在抗应用层攻击、邮件安全,DNS安全方面的防护功能,云负载均衡的安全更偏向于业务和应用安全。
以上就是弘积聚焦于负载均衡本身,同时积极和第三方安全厂商联合打造的云上应用访问和控制的安全解决方案。
安全牛:您认为云应用交付对云负载的安全监管有哪些挑战?
高春华:以弘积科技研发的实际经验来说,首先,目前业内应用流量加密越来越频繁,所以SSL加解密流量的安全问题是需要重点关注的方向,业务流量的加解密有两种方式,一种是由服务器直接和客户端进行加解密的协商,一种是在代理服务器或应用交付上进行加解密。第一种中间代理设备不对流量进行任何处理直接透传到服务器,由服务器直接做解密,这种情况会消耗服务器的资源,产生访问过慢、时延较大甚至是访问失败等问题。
所以很多情况下,需要采用第二种方式,先由代理服务器或应用交付设备通过解密运算进行SSL卸载,之后再以明文的形式传到服务器,这也是目前主流的做法。
但是目前企业业务上云后就存在一个问题,在私有云中,业务流量统一管理,数据在代理服务器上进行安全检查后再通过加解密卡进行解密,最后以明文的形式传输,我们可以对数据进行安全监管;但是在公有云上,有些企业用户的数据要求保密传输,只能以密文的形式透传到服务器上,这就无法实现对公有云所有负载流量进行安全监管,因此如何实现公有云上流量安全管理是应用交付的一个挑战。
安全牛:数字化转型下,云市场未来可期,那您认为云应用交付未来在技术上的发展趋势是怎样的?
高春华:其实应用交付和云应用的发展趋势是相辅相成的。对于云上应用来说,大家现在使用容器、微服务、云原生等技术,既然云上业务都已经开始容器化了,应用交付也在尝试与容器技术的相关应用进行联动和协同,目前弘积使用了容器化的CC插件来感知业务的变化,然后插件再通知应用交付来做一些业务的增删,未来这方面可能还会有一些新的技术突破,同时云应用交付本身也在尝试着以容器化的形式运行。
其次,除了容器化之外,我认为应用交付未来还会进一步和自动化运维工具对接,因为对于负载均衡来说能够感知业务流量,这些流量通过MC模块与自动化运维工具对接之后,会更便于用户在云上方便灵活的管理业务。
最后,云上流量的可视化展现也是一个重要发展趋势,虽然云负载均衡可以在一定程度上实现流量的可视化,但可视化的最终目标是要帮助企业用户查看云上业务的分布、来源和响应时间等性能指标,这样才能帮助用户更好的维护和管理云上业务。
安全牛评
数字化转型加速了企业云化。据相关研究数据显示,90%的数据流量在涌向云计算中心,云访问的可靠性和安全性成为业务提供者保障服务质量的重要指标。
云应用交付不仅在会话连接、调度和负载均衡上起着重要的作用,在云平台的安全访问上也占据了关卡要塞之地。2020年,Gartner将云访问安全代理列为十大安全项目。
弘积科技作为国产高性能应用交付的代表厂商,在云应用交付领域不断摸索创新,通过MC模块适配不同的云平台和安全平台,在通信和安全系统间搭建起了融合联动机制。高性能通信设施与主流安全架构的联姻可谓珠联璧合,为传统安全能力赋能云平台提供了更可靠的安全策略执行点,为未来新安全架构在云平台的落地提供了强力支撑。