Get best of the week

Modelo de distribuição de responsabilidade de segurança na nuvem

Menos e menos tempo resta até o início de um novo fluxo no curso "DevOps Practices and Tools" . Antecipando o início do curso, preparamos uma tradução de outro material útil.




Quando pensamos em nuvens, geralmente falamos sobre suas vantagens: escalabilidade, elasticidade, dinamismo e preços flexíveis. Tudo está bem, mas a questão da segurança ainda é crítica para os negócios. Em seu próprio ambiente local, você é responsável por todos os aspectos de segurança, entre os quais os seguintes podem ser distinguidos no nível básico (mas não estão limitados a isso):

  • criptografia de dados;
  • controle de acesso ao banco de dados;
  • segurança de rede;
  • segurança do sistema operacional (host e convidado);
  • segurança física.

Com a abordagem correta, tudo isso envolve uma quantidade significativa de trabalho e, em regra, custos significativos. Nas nuvens, todos esses pontos permanecem relevantes e necessários para garantir a segurança adequada. No entanto, de acordo com o modelo de responsabilidade compartilhada, parte deste trabalho é transferida de você para o provedor de serviços em nuvem. Vejamos esse modelo e as diferenças entre os dois tipos comuns de implantações de banco de dados em nuvem: IaaS e DBaaS.

Modelo de responsabilidade compartilhada


Cada provedor de serviços em nuvem pode ter seus próprios termos específicos, mas, no entanto, o conceito geral para todos permanece o mesmo. A segurança consiste em duas partes: segurança da nuvem e segurança na nuvem. Por exemplo, veja o modelo de responsabilidade da AWS:



Segurança na nuvem


Isso faz parte do modelo de responsabilidade compartilhada pela qual o provedor de serviços em nuvem é responsável. Inclui hardware, um sistema operacional host e infraestrutura de segurança física. Ao migrar para a nuvem, muitas dessas tarefas são imediatamente removidas do cliente.

Segurança na nuvem


Como a segurança física da nuvem é controlada pelo provedor, a área de responsabilidade do cliente se torna mais focada. O componente mais importante continua sendo o controle do acesso aos dados do cliente.

Mesmo se você colocar guardas armados perto de seus servidores, é improvável que você queira abrir a porta 3306 para todo o mundo e permitir acesso root ao banco de dados. É o tipo de implantação (IaaS ou DBaaS) que define a área de responsabilidade do cliente pela segurança "na nuvem".

Auto-implantação (IaaS)


Freqüentemente, com uma equipe de banco de dados experiente ou um ambiente complexo, a auto-implantação é preferível. Nesse caso, os componentes da nuvem IaaS são usados ​​(máquinas virtuais, armazenamento e rede). Embora não haja nada de errado com essa abordagem, o cliente assume mais responsabilidade pela segurança. De fato, o modelo básico apresentado acima corresponde à auto-implantação. Aqui, o cliente é responsável por:

  • gerenciamento de sistema operacional convidado (atualizações, correções de segurança etc.);
  • gerenciamento e configuração de todos os componentes de rede;
  • gerenciamento de firewall;
  • gerenciamento de banco de dados (segurança, patches, backups etc.);
  • controle de acesso;
  • dados do cliente.

Novamente, essa é uma abordagem completamente viável e, às vezes, necessária, dependendo de suas condições. No entanto, vamos ver como esse modelo muda ao usar o DBaaS.

Implantação gerenciada (DBaaS)


Mesmo ao usar o banco de dados como um serviço (por exemplo, Amazon RDS), parte da responsabilidade ainda permanece com o cliente. Embora suas fronteiras sejam diferentes. A seguir, mostramos como o modelo de responsabilidade muda com o DBaaS:



A primeira coisa que chama sua atenção é que a responsabilidade pelo SO convidado e pelo software aplicativo vai para o provedor de nuvem. Isso pode liberar sua equipe para se concentrar no nível do banco de dados - nos próprios dados (dados do cliente). O cliente ainda é responsável pela criptografia, pelo firewall do banco de dados e pelo controle de acesso a dados. No entanto, uma enorme quantidade de trabalho operacional diário está sendo transferida do cliente para o provedor de serviços em nuvem.

Lembre-se de que o modelo DBaaS não elimina a necessidade de um DBA. Embora a maior parte do suporte operacional desapareça, as tarefas padrão do DBA permanecem. No futuro, ainda discutiremos as tarefas que permanecem e por que você precisa continuar se concentrando no seu banco de dados.

Sumário


Como você pode ver, as nuvens realmente ajudam a se livrar de parte do trabalho tradicional e das despesas gerais associadas ao gerenciamento de banco de dados. Não importa que tipo de implantação você use, você ainda tem (e permanecerá para sempre) a responsabilidade de gerenciar o ativo mais importante: dados. E também, você tem a análise de carga, tráfego e desempenho. Embora os serviços em nuvem garantam que os componentes individuais estejam dentro do SLA, no entanto, o cliente é sempre responsável por gerenciar sua carga de trabalho, incluindo:

  • otimização de consultas;
  • planejamento de capacidade;
  • alocação ótima de recursos;
  • recuperação de desastres.

Esses são os principais aspectos do nível do banco de dados e a migração para a nuvem permite que você se concentre na criação do melhor aplicativo, deixando os detalhes da infraestrutura para outra pessoa. Portanto, se você estiver analisando a possibilidade de migrar para as nuvens , a Percona poderá ajudá-lo a analisar as opções e projetar o sistema mais adequado para sua organização.

Dê uma olhada na segunda parte desta série de artigos: Modelo de Responsabilidade Utilizado na Nuvem Parte 2: Responsabilidade do DBA .

Isso é tudo. Vejo você no curso !

More articles:


All Articles