Get best of the week

Verteilungsmodell für die Verantwortung für die Cloud-Sicherheit

Es bleibt immer weniger Zeit bis zum Start eines neuen Streams im Kurs "DevOps Practices and Tools" . Im Vorfeld des Kursbeginns haben wir eine Übersetzung eines weiteren nützlichen Materials vorbereitet.




Wenn wir an Clouds denken, sprechen wir oft über deren Vorteile: Skalierbarkeit, Elastizität, Dynamik und flexible Preisgestaltung. Das ist alles schön und gut, aber das Sicherheitsproblem ist für das Geschäft immer noch von entscheidender Bedeutung. In Ihrer eigenen lokalen Umgebung sind Sie selbst für alle Aspekte der Sicherheit verantwortlich, von denen auf der Basisebene Folgendes unterschieden werden kann (ohne darauf beschränkt zu sein):

  • Datenverschlüsselung;
  • Zugriffskontrolle auf die Datenbank;
  • Netzwerksicherheit;
  • Sicherheit des Betriebssystems (sowohl Host als auch Gast);
  • physische Sicherheit.

Mit dem richtigen Ansatz ist all dies mit einem erheblichen Arbeitsaufwand und in der Regel mit erheblichen Kosten verbunden. In den Clouds bleiben alle diese Punkte relevant und notwendig, um eine angemessene Sicherheit zu gewährleisten. In Übereinstimmung mit dem Modell der geteilten Verantwortung wird ein Teil dieser Arbeit jedoch von Ihnen an den Cloud-Dienstanbieter übertragen. Schauen wir uns dieses Modell und die Unterschiede zwischen den beiden gängigen Arten von Cloud-Datenbankbereitstellungen an: IaaS und DBaaS.

Modell der geteilten Verantwortung


Jeder Cloud-Dienstanbieter hat möglicherweise seine eigenen spezifischen Begriffe, dennoch bleibt das allgemeine Konzept für alle gleich. Sicherheit besteht aus zwei Teilen: Sicherheit der Cloud und Sicherheit in der Cloud. Schauen Sie sich zum Beispiel das AWS-Haftungsmodell an:



Cloud-Sicherheit


Dies ist Teil des Modells der geteilten Verantwortung, für das der Cloud-Dienstanbieter verantwortlich ist. Es umfasst Hardware, ein Host-Betriebssystem und eine physische Sicherheitsinfrastruktur. Beim Wechsel in die Cloud werden viele dieser Aufgaben sofort vom Client entfernt.

Cloud-Sicherheit


Da die physische Sicherheit der Cloud vom Anbieter kontrolliert wird, wird der Verantwortungsbereich des Kunden fokussierter. Die wichtigste Komponente bleibt die Kontrolle des Zugriffs auf Kundendaten.

Selbst wenn Sie bewaffnete Sicherheit in die Nähe Ihrer Server stellen, ist es unwahrscheinlich, dass Sie Port 3306 für die ganze Welt öffnen und Root-Zugriff auf die Datenbank gewähren möchten. Diese Art der Bereitstellung (IaaS oder DBaaS) definiert den Verantwortungsbereich des Clients für die Sicherheit „in der Cloud“.

Self-Deployment (IaaS)


In einem erfahrenen Datenbankteam oder einer komplexen Umgebung ist die Selbstbereitstellung häufig vorzuziehen. In diesem Fall werden IaaS-Cloud-Komponenten verwendet (virtuelle Maschinen, Speicher und Netzwerk). Obwohl an diesem Ansatz nichts auszusetzen ist, übernimmt der Kunde mehr Verantwortung für die Sicherheit. Tatsächlich entspricht das oben dargestellte Grundmodell der Selbstbereitstellung. Hier ist der Kunde verantwortlich für:

  • Verwaltung des Gastbetriebssystems (Updates, Sicherheitskorrekturen usw.);
  • Verwaltung und Konfiguration aller Netzwerkkomponenten;
  • Firewall-Management;
  • Datenbankverwaltung (Sicherheit, Patches, Backups usw.);
  • Zugangskontrolle;
  • Kundendaten.

Auch dies ist ein völlig praktikabler Ansatz, der je nach Ihren Bedingungen manchmal notwendig ist. Lassen Sie uns jedoch sehen, wie sich dieses Modell bei Verwendung von DBaaS ändert.

Managed Deployment (DBaaS)


Selbst wenn die Datenbank als Dienst verwendet wird (z. B. Amazon RDS), verbleibt ein Teil der Verantwortung beim Kunden. Obwohl seine Grenzen unterschiedlich sind. Im Folgenden wird gezeigt, wie sich das Verantwortungsmodell für DBaaS ändert:



Das erste, was auffällt, ist, dass die Verantwortung für das Gastbetriebssystem und die Anwendungssoftware beim Cloud-Anbieter liegt. Dadurch kann sich Ihr Team auf die Datenbankebene konzentrieren - auf die Daten selbst (Kundendaten). Der Client ist weiterhin für die Verschlüsselung auf seiner Seite, für die Datenbank-Firewall und die Datenzugriffskontrolle verantwortlich. Ein großer Teil der täglichen operativen Arbeit verlagert sich jedoch vom Kunden zum Cloud-Dienstanbieter.

Beachten Sie, dass das DBaaS-Modell die Notwendigkeit eines DBA nicht beseitigt. Obwohl der größte Teil der operativen Unterstützung wegfällt, bleiben die Standard-DBA-Aufgaben erhalten. In Zukunft werden wir noch die verbleibenden Aufgaben besprechen und erklären, warum Sie sich weiterhin auf Ihre Datenbank konzentrieren müssen.

Zusammenfassung


Wie Sie sehen können, helfen Clouds wirklich dabei, einige der traditionellen Arbeiten und den Aufwand für die Datenbankverwaltung zu beseitigen. Unabhängig davon, welche Art von Bereitstellung Sie verwenden, haben Sie (und werden es für immer bleiben) die Verantwortung, das wichtigste Asset zu verwalten: Daten. Außerdem haben Sie die Analyse von Last, Verkehr und Leistung. Obwohl Cloud-Services sicherstellen, dass sich einzelne Komponenten innerhalb des SLA befinden, ist der Kunde immer für die Verwaltung seiner Arbeitslast verantwortlich, einschließlich:

  • Abfrageoptimierung;
  • Kapazitätsplanung;
  • optimale Ressourcenverteilung;
  • Notfallwiederherstellung.

Dies sind die Hauptaspekte der Datenbankebene. Wenn Sie in die Cloud wechseln, können Sie sich darauf konzentrieren, die beste Anwendung zu erstellen und die Infrastrukturdetails einer anderen Person zu überlassen. Wenn Sie die Möglichkeit einer Migration in die Clouds analysieren, kann Percona Ihnen daher helfen, die Optionen zu analysieren und das System zu entwerfen, das für Ihr Unternehmen am besten geeignet ist.

Schauen Sie sich den zweiten Teil dieser Artikelserie an: S hared Responsibility Model in the Cloud Teil 2: DBA Responsibility .

Das ist alles. Wir sehen uns auf dem Kurs !

More articles:


All Articles