Get best of the week

云安全责任分配模型

“ DevOps实践和工具”课程上开始新流之前,剩下的时间越来越少预期课程的开始,我们准备了另一本有用材料的翻译。




在考虑云时,我们经常谈论其优势:可伸缩性,弹性,动态性和灵活的定价。这一切都很好,但是安全问题对于企业仍然至关重要。在您自己的本地环境中,您自己应对安全的所有方面负责,其中可以在基本级别上区分以下内容(但不限于此):

  • 数据加密;
  • 对数据库的访问控制;
  • 网络安全;
  • 操作系统(主机和访客)的安全性;
  • 物理安全。

采用正确的方法,所有这些都需要大量工作,并且通常需要大量成本。在云端,所有这些要点仍然是相关且必要的,以确保适当的安全性。但是,根据分担责任模型,部分工作将从您转移到云服务提供商。让我们看一下该模型以及两种常见的云数据库部署类型:IaaS和DBaaS之间的区别。

分担责任模型


每个云服务提供商可能有其自己的特定术语,但是,所有云服务提供商的总体概念仍然相同。安全性由两部分组成:云的安全性和云中的安全性。例如,查看AWS责任模型:



云安全


这是云服务提供商负责的共享责任模型的一部分。它包括硬件,主机操作系统和物理安全性基础结构。当迁移到云时,许多这些任务会立即从客户端中删除。

云安全


由于云的物理安全性由提供商控制,因此客户的责任范围变得更加集中。最重要的组件仍然是对客户数据访问的控制。

即使将武装安全性放在服务器附近,也不太可能希望为整个世界打开端口3306并允许对数据库的root访问。部署类型(IaaS或DBaaS)定义了客户端在``云中''的安全性责任区域。

自我部署(IaaS)


通常,在经验丰富的数据库团队或复杂的环境中,自我部署是可取的。在这种情况下,将使用IaaS云组件(虚拟机,存储和网络)。尽管这种方法没有错,但是客户对安全承担了更多责任。实际上,上面介绍的基本模型对应于自我部署。在此,客户负责:

  • 来宾操作系统管理(更新,安全修补程序等);
  • 管理和配置所有网络组件;
  • 防火墙管理;
  • 数据库管理(安全性,补丁,备份等);
  • 访问控制;
  • 客户数据。

同样,根据您的情况,这是一种完全可行的方法,有时是必需的。但是,让我们看看使用DBaaS时该模型如何变化。

托管部署(DBaaS)


即使将数据库用作服务(例如,Amazon RDS),部分责任仍然由客户端承担。尽管其边界是不同的。下面显示了DBaaS的责任模型是如何变化的:



首先引起您注意的是,来宾OS和应用程序软件的责任归云提供商。这可以使您的团队腾出精力专注于数据库级别-数据本身(客户数据)。客户端仍然负责其一侧的加密,数据库防火墙和数据访问控制。但是,大量的日常运营工作正在从客户端转移到云服务提供商。

请记住,DBaaS模型并不能消除对DBA的需求。尽管大多数操作支持都消失了,但是标准的DBA任务仍然存在。将来,我们仍将讨论仍然存在的任务,以及为什么需要继续专注于数据库。

摘要


如您所见,云确实有助于摆脱与数据库管理相关的一些传统工作和开销。无论使用哪种类型的部署,您仍然(并将永远保留)管理最重要资产:数据的责任。而且,您还可以分析负载,流量和性能。尽管云服务确保单个组件在SLA中,但是客户始终负责管理其工作负载,包括:

  • 查询优化;
  • 容量规划;
  • 优化资源分配;
  • 灾难恢复。

这些是数据库级别的主要方面,移至云使您可以专注于创建最佳应用程序,而将基础架构详细信息留给其他人使用。因此,如果您正在分析迁移到云的可能性,Percona可以帮助您分析选项并设计最适合您的组织的系统。

看看本系列文章的第二部分:云中的共享责任模型第2部分:DBA责任

就这样。课程中

More articles:


All Articles