Get best of the week

Model Distribusi Tanggung Jawab Keamanan Cloud

Semakin sedikit waktu yang tersisa hingga dimulainya aliran baru pada kursus "DevOps Practices and Tools" . Untuk mengantisipasi dimulainya kursus, kami menyiapkan terjemahan materi bermanfaat lainnya.




Ketika kita berpikir tentang cloud, kita sering berbicara tentang keuntungannya: skalabilitas, elastisitas, dinamika, dan harga yang fleksibel. Ini semua baik dan bagus, tetapi masalah keamanan masih penting untuk bisnis. Di lingkungan lokal Anda sendiri, Anda sendiri bertanggung jawab atas semua aspek keamanan, di antaranya hal-hal berikut dapat dibedakan di tingkat dasar (tetapi tidak terbatas pada hal ini):

  • enkripsi data;
  • kontrol akses ke database;
  • keamanan jaringan;
  • keamanan sistem operasi (tuan rumah dan tamu);
  • keamanan fisik.

Dengan pendekatan yang tepat, semua ini memerlukan sejumlah besar pekerjaan dan, sebagai aturan, biaya yang signifikan. Di awan, semua poin ini tetap relevan dan diperlukan untuk memastikan keamanan yang tepat. Namun, sesuai dengan model tanggung jawab bersama, bagian dari pekerjaan ini ditransfer dari Anda ke penyedia layanan cloud. Mari kita lihat model ini dan perbedaan antara dua jenis umum penyebaran basis data cloud: IaaS dan DBaaS.

Model tanggung jawab bersama


Setiap penyedia layanan cloud mungkin memiliki ketentuan spesifiknya sendiri, namun demikian, konsep umum untuk semua tetap sama. Keamanan terdiri dari dua bagian: keamanan cloud dan keamanan di cloud. Misalnya, lihat model kewajiban AWS:



Keamanan cloud


Ini adalah bagian dari model tanggung jawab bersama yang menjadi tanggung jawab penyedia layanan cloud. Ini termasuk perangkat keras, sistem operasi host, dan infrastruktur keamanan fisik. Saat pindah ke cloud, banyak dari tugas ini segera dihapus dari klien.

Keamanan cloud


Ketika keamanan fisik cloud dikendalikan oleh penyedia, area tanggung jawab pelanggan menjadi lebih fokus. Komponen yang paling penting tetap kontrol akses ke data pelanggan.

Bahkan jika Anda menempatkan keamanan bersenjata di dekat server Anda, maka Anda tidak mungkin ingin membuka port 3306 untuk seluruh dunia dan memungkinkan akses root ke database. Ini adalah jenis penyebaran (IaaS atau DBaaS) yang mendefinisikan area tanggung jawab klien untuk keamanan β€œdi awan”.

Self-Deployment (IaaS)


Seringkali, dengan tim database yang berpengalaman atau lingkungan yang kompleks, penyebaran diri lebih disukai. Dalam hal ini, komponen cloud IaaS digunakan (mesin virtual, penyimpanan, dan jaringan). Meskipun tidak ada yang salah dengan pendekatan ini, klien memikul lebih banyak tanggung jawab untuk keselamatan. Bahkan, model dasar yang disajikan di atas sesuai dengan penyebaran diri. Di sini, pelanggan bertanggung jawab untuk:

  • manajemen sistem operasi tamu (pembaruan, perbaikan keamanan, dll.);
  • manajemen dan konfigurasi semua komponen jaringan;
  • manajemen firewall;
  • manajemen basis data (keamanan, tambalan, cadangan, dll.);
  • kontrol akses;
  • data pelanggan.

Sekali lagi, ini adalah pendekatan yang sepenuhnya layak, dan kadang-kadang diperlukan, tergantung pada kondisi Anda. Namun, mari kita lihat bagaimana model ini berubah ketika menggunakan DBaaS.

Penempatan Terkelola (DBaaS)


Bahkan ketika menggunakan database sebagai layanan (misalnya, Amazon RDS), bagian dari tanggung jawab masih tetap berada di tangan klien. Meskipun perbatasannya berbeda. Berikut ini menunjukkan bagaimana model tanggung jawab untuk perubahan DBaaS:



Hal pertama yang menarik perhatian Anda adalah bahwa tanggung jawab untuk OS tamu dan perangkat lunak aplikasi diberikan kepada penyedia cloud. Ini dapat membebaskan tim Anda untuk fokus pada level basis data - pada data itu sendiri (data pelanggan). Klien masih bertanggung jawab atas enkripsi pada sisinya, untuk firewall basis data dan kontrol akses data. Namun, sejumlah besar pekerjaan operasional harian bergerak dari klien ke penyedia layanan cloud.

Perlu diingat bahwa model DBaaS tidak menghilangkan kebutuhan akan DBA. Meskipun sebagian besar dukungan operasional hilang, tugas DBA standar tetap ada. Di masa depan kami masih akan membahas tugas-tugas yang tersisa, dan mengapa Anda harus terus fokus pada basis data Anda.

Ringkasan


Seperti yang Anda lihat, cloud sangat membantu menyingkirkan beberapa pekerjaan tradisional dan overhead yang terkait dengan manajemen basis data. Apa pun jenis penyebaran yang Anda gunakan, Anda masih memiliki (dan selamanya akan tetap) tanggung jawab untuk mengelola aset yang paling penting: data. Dan juga, Anda memiliki analisis beban, lalu lintas, dan kinerja. Meskipun layanan cloud memastikan bahwa masing-masing komponen berada dalam SLA, pelanggan selalu bertanggung jawab untuk mengelola beban kerja mereka, termasuk:

  • optimisasi permintaan;
  • perencanaan kapasitas;
  • alokasi sumber daya yang optimal;
  • pemulihan bencana.

Ini adalah aspek utama dari tingkat basis data, dan pindah ke cloud memungkinkan Anda untuk fokus membuat aplikasi terbaik, meninggalkan detail infrastruktur kepada orang lain. Karena itu, jika Anda menganalisis kemungkinan migrasi ke awan , Percona dapat membantu Anda menganalisis opsi dan merancang sistem yang paling cocok untuk organisasi Anda.

Lihatlah bagian kedua dari seri artikel ini: Model Tanggung Jawab di Cloud Bagian 2: Tanggung Jawab DBA .

Itu saja. Sampai jumpa di lapangan !

More articles:


All Articles