【Gator Cloud】架构篇 - 提供基于云原生的数据安全保护

news2024/12/26 21:15:04

在这里插入图片描述

随着云计算的成熟和云计算系统的广泛使用,越来越多的企业选择将新业务部署到云上。但是,上云并不意味着就能够充分利用云平台的优势。目前,大部分的云化应用,依然还是基于传统的软件架构来搭建的,仅仅是移植到云上去运行,和云平台的整合度非常低。

这种基于虚拟主机为主体的云化方式,只是实现了对云计算最初级的利用,无法充分发挥云计算中弹性、高可用性,易扩展性等优势。要想进行真正的云化,还需要摒弃传统的方法,从架构设计、开发方式、部署维护等各个阶段基于云原生的特点重新实现,从而建设全新的基于云的应用和系统,也就是云原生架构。

#01

什么是云原生?

What is Cloud Native?

云原生是一种全新的技术理念,以容器化、微服务、持续集成和持续交付为主要要素,是一套从云应用视角,专门为云应用设计的架构体系。当前,云原生正以其技术优势以及不断扩大的应用场景,逐步普及到各行各业的敏捷开发与业务创新中。

目前,云原生计算基金会(CNCF)给出了云原生应用的三大特征:

1、应用容器化

容器镜像打包了整个容器运行依赖的环境,包括代码、依赖库、工具、资源文件和元信息等,避免了依赖运行容器的操作系统,从而实现“Build once, run anywhere”。容器镜像一旦构建完成,就变成read only,成为不可变基础设施的一份子。

通过容器化封装解耦了应用程序和操作系统的依赖,保证应用程序在跨越云基础设施进行迁移和扩展时变得简单且稳定。

2、面向微服务架构

在微服务架构中,服务是一个个单一的、可独立部署的软件组件,每个组件实现独立的功能。开发人员只需通过服务的API访问服务内部的方法和数据。通过这样的方式,微服务架构强制实现了应用程序的模块化。微服务架构的最核心特性是服务之间的松耦合性。服务之间的交互采用API完成,这样做就封装了服务的实现细节,支持未来在不影响客户端的前提下,对实现方式做出修改。

微服务架构通过将大的系统按照业务服务的粒度进行拆分,每个服务可独立开发、测试、验证和部署,在优化资源的同时,也为应用程序提供了更好的扩展性。

3、动态编排

通过集中式的编排调度系统来实现服务的动态管理和调度,包括服务的发现和治理、远程调用、服务代理和微服务治理等组件,实现构建容错性好、易于管理和便于观察的松耦合系统。

让企业应用能够利用云平台实现资源的按需分配和弹性伸缩,是云原生应用重点关注的地方。它要求云原生应用具备可用性和伸缩性,以及自动化部署和管理能力,可随处运行,并且能够通过持续集成、持续交付提升研发、测试与发布的效率。云原生应用并未完全颠覆传统的应用,采用云原生的设计模式可以优化和改进传统应用模式,使应用更加适合在云平台上运行。

#02

天空卫士数据安全
产品如何上云?

How to deploy Skyguard Data Security products on cloud?

天空卫士的Gator Cloud NG,是一套完全以云原生的方式构建起来的数据安全解决方案。企业和组织可以灵活选择搭配各种数据安全服务,对其数据和应用进行保护。

下面,让我们一起从云原生的角度看看Gator Cloud NG的整体设计:

在这里插入图片描述

基于K8S的分布式架构,支持按需分配服务资源:

基于K8S技术,实现各个安全服务在云端环境对部署、启动和扩容等业务功能;

基于客户身份,通过名称空间实现多租户部署场景的服务隔离;

实现各个产品服务对内部组件的服务依赖管理,启停顺序控制、资源回收和持久化存储等功能。

将之前的单体应用拆分成为微服务模式,以支持弹性伸缩:

关键路径的节点均改造成无状态服务:即使节点挂掉再重启,也不会发生数据丢失,保证了高可用,同时也能够支持快速的扩缩容;

技术实现上,研发团队在充分考虑资源利用率的同时兼顾了安全要求,对不同类型的组件了采用分级的方式进行了拆分:

公共服务组件,包括内容解析服务组件、OCR服务组件和病毒分析服务组件等,这些组件的运行不涉及租户相关数据,将会以集群级别的方式提供服务,统一服务于整个集群中所有租户的业务组件;

租户相关基础服务组件,包括Redis组件、PG组件和安全策略引擎组件,由于这些组件包含租户级别的数据信息,为了实现租户数据隔离,这些组件将会以租户级别单独创建;

安全服务组件,包括ATS服务组件和UCWI API组件等,由于这些服务和安全服务业务相关,将为每个服务单独创建,支持动态扩展。

为了保证数据的快速和高效流转、数据隔离,为每个租户创建不同的PV,租户里不同组件需要共享(持久化)的文件统一挂载到该PV上。

采用统一存储解决方案Ceph,数据分布均衡,并行度高, 可适应任何底层的物理存储系统:

实现控制平面和数据平面完全分开。控制平面提供服务的抽象层,通过 API 访问存储层提供的基础功能;

提供了多种用户访问接口,便于数据共享,保证了数据安全。

数据安全服务统一管理平台和数据安全服务提供点分离,以支持企业的就近接入需求:

天空卫士已经在多个IaaS部署安全服务集群,用户可以根据自身的业务辐射范围、用户的集合地等因素选择接入速度更快的服务提供点;

同时支持将服务提供点部署到客户的私有云平台;

根据客户流量分布,支持服务就近访问、故障转移能力。

通过运维管理平台实现多集群的统一管理:

统一纳管公有云集群、私有云集群,集中管理部署数据安全服务;

对于云端服务,提供统一的运维支持。

#03

建设效果如何?

What Skyguard product features can be deployed on cloud?

当前,Gator Cloud已经可以提供包括网络数据安全服务和统一内容审查服务。企业可以根据自身业务情况,自主选择所需的数据安全服务,并提供便捷的接入方式,轻松就能实现对其企业数据和应用的保护。

在这里插入图片描述

1、网络数据安全服务

将企业应用数据通过安全隧道导流到最近的天空卫士安全服务集群(POP), 由集群中的数据安全服务根据每个客户在统一管理平台配置的安全策略来对客户的数据进行检测、清洗、记录日志、阻断等操作。

通过采用隧道模式,原报文保持原有的完整结构,内容不会被修改;

在具体的导流方案选型上,技术团队最终在IPSec方案中采用了ESP(Encapsulating Security Payload)协议,是因为ESP能够在数据的传输过程中对数据进行完整性度量和来源认证,可以选择加密,也可以选择防止回放保护;

IPSec简介:IPSec在网络层将IP报文进行处理后再传输,增强了IP报文的安全性。

准确来说,IPSec不是一个单独的协议,而是一组协议,IPsec包含了三个最重要的协议:认证头AH(Authentication Header),封装安全载荷ESP(Encapsulating Security Payload),密钥交换协议IKE(Internet Key Exchange)。

IPSec是IPv6的组成部分,也是IPv4的可选扩展协议),在保证IP报文的数据保密性(加密)、数据完整性度量(防止数据被改动)的基础上可防止数据回放攻击(即接收到多个相同报文)。

安全服务集群可根据客户的购买许可,以及客户流量的情况,动态地分配计算资源,确保客户的数据安全需求都能轻松满足。

2、统一内容审查服务

利用GatorCloud部署在云上的统一内容安全审查服务,为客户在云上的业务提供基于 REST API 的数据安全服务。客户的云业务开发人员可以在自己业务数据流转的关键节点,调用基于Restful的API接口,即可享受黑盒式的数据安全服务。

API 接口调用好处是将用户业务流程开发者和数据安全策略制定者隔离开来:业务流程的开发人员无需了解客户企业数据安全策略的具体细节,同时,企业数据安全团队也无需了解业务流程中数据流转的细节。这样的隔离能够大大提高企业部署数据安全策略效率。

未来,还会有包括安全Web网关服务、终端数据安全服务等更多的安全服务陆续推出。

图片
作者介绍

刘茜 北京天空卫士网络安全技术有限公司产品经理,电子科技大学通信工程学士和管理双学士。关注大数据、数据挖掘和机器学习算法及应用和移动安全产品 。加入天空卫士之前在赛门铁克从事安全产品的研发工作。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/493073.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【python脚本系列】python脚本2——PDF转word文档

只需2行代码,轻松将PDF转换成Word 机器学习算法那些事 2023-05-05 18:58 发表于广东 编辑:数据分析与统计学之美 可将 PDF 转换成 docx 文件的 Python 库。该项目通过 PyMuPDF 库提取 PDF 文件中的数据,然后采用 python-docx 库解析内容的布局…

【面试题】关于JavaScript实现继承的六大方案,你都了解过吗?

​ 大厂面试题分享 面试题库 前后端面试题库 (面试必备) 推荐:★★★★★ 地址:前端面试题库 web前端面试题库 VS java后端面试题库大全 前言 面试官:“你说说 JavaScript 中实现继承有哪几种方法?” …

相交链表 给你两个单链表的头节点 headA 和 headB ,请你找出并返回两个单链表相交的起始节点。如果两个链表不存在相交节点,返回 null 。

题目 解析 题目要求 如果相交 就返回交点如果不相交 就返回NULL 思路 1.通过题目的描述我们可以知道,两个单链表相交只有一种形式 并不存在下面的的形式 我们已经明确了单链表相交的形式, 那我们要如何判断两个单链表相交呢 这里给出一种做法&…

Mysql安装5分钟解决

文章目录 1.下载安装包:2.MySQL的初始配置3.安装mysql的服务:4.初始化MySQL命令:5.开启mysql服务命令:6.登录验证:7.修改密码: 1.下载安装包: 直接通过这里安装MYSQL5.7下载链接 或者进入MySQL…

干翻Mybatis源码系列之第七篇:Mybatis提供的集成缓存方案

第一章:Mybatis Orm的缓存 Mybatis定义了一个对象缓存,是Mybatis对缓存的封装,为了屏蔽实现的差异,这被定义成了一个接口Interface,这样的话,Mybatis的缓存基本上是存储于JVM内存中的。 一:Ca…

信息技术服务知识笔记

一、运维 1、基础环境运维服务 对保证信息系统正常运行所必需的电力、空调、消防、安防等基础环境的运维。包括:机房电力、消防、安防等系统的理性检查及状态监控、相应支持、故障处理、性能优化等服务 2、硬件运维服务 对硬件设备(网络、主机、存储…

6.2.1mnist _eval

之前在调试6.2.1mnist _eval代码的时候,出现了下面的错误 //下面不阐述本人遇到的错误,直接告诉大家解决办法(以老师给的源代码进行演示) 首先,打开第6章的源代码 //点击程序与数据拆分的文件夹, 并将三个…

3、Flutter项目搭建

一、搭建项目 1.1 搭建空壳项目 接上篇的项目搭建、本篇将继续搭建各个界面.当BottomNavigationBar搭建起来后,在各个界面,没有显示对应的元素,因此我们在包含它的Scaffold中,添加body,这样让每个界面撑起来.每次点击就切换对应的界面. 那么我们创建一个_RootPageState中的私…

【Python】scikit-plot可视化模型(含源代码)

文章目录 一、前言二、功能1:评估指标可视化2.1 scikitplot.metrics.plot_confusion_matrix2.2 scikitplot.metrics.plot_roc2.3 scikitplot.metrics.plot_ks_statistic2.4 scikitplot.metrics.plot_precision_recall2.5 scikitplot.metrics.plot_silhouette2.6 sci…

操作系统学习01

1、什么是操作系统? 通过以下四点可以概括操作系统到底是什么: 操作系统(Operating System,简称 OS)是管理计算机硬件与软件资源的程序,是计算机的基石。操作系统本质上是一个运行在计算机上的软件程序 &a…

微前端 qiankun@2.10.5 源码分析(一)

微前端 qiankun2.10.5 源码分析(一) 前言 微前端是一种多个团队通过独立发布功能的方式来共同构建现代化 web 应用的技术手段及方法策略。 Techniques, strategies and recipes for building a modern web app with multiple teams that can ship feat…

Figma转换为sketch,分享这3款工具

在我们的设计工作中,我们经常会遇到各种各样的设计文件相互转换的问题。 你经常为此头疼吗?当你遇到Figma转换Sketch文件的问题时,你是如何解决的?Figma转换Sketch文件有工具吗? 根据众多设计师的经验,本…

在竞争激烈的移动应用市场中获得成功,掌握决胜Framework技术

为何要学习framework? Framework,指的是对应用程序开发所需的核心工具和组件的封装和提供。在Android开发中,Framework是整个开发过程中的核心组成部分,提供了许多功能和服务,包括UI组件、数据存储、网络通信、多媒体…

第二十四章 策略模式

文章目录 前言传统方式解决鸭子问题完整代码抽象鸭子类野鸭子类北京鸭子类玩具鸭子类 一、策略模式基本介绍二、策略模式解决鸭子问题完整代码飞翔接口 FlyBehavior飞翔接口的子类实现飞翔技术高超 GoodFlyBehavior不会飞翔 NoFlyBehavior飞翔技术一般 BadFlyBehavior其他行为接…

文献阅读 Meta-SR: A Magnification-Arbitrary Network for Super-Resolution

题目 Meta-SR: A Magnification-Arbitrary Network for Super-Resolution Meta-SR: 用于超分辨率的任何放大网络 摘要 由于DCNN的发展,最近关于超分辨率的研究取得了巨大成功。然而,任意比例因子的超分辨率长期以来一直被忽视。以往的研究者大多将不同…

Stable-Diffusion AI画画本地搭建详细步骤

ChatGPT出来后,第一次感觉到人工智能真的可能要来了,因此也顺便尝试了下开源AI画画的搭建。网络上写的教程总是不那么面面俱到,因此本文参考了3篇文章才成功把Stable-Diffusion 本地搭建搭建了起来。参考教程在文末。 本文是本地搭建AI画画&a…

C/C++内存泄露检查利器—valgrind

1、Valgrind概述 Valgrind是一套Linux下,开放源代码(GPL V2)的仿真调试工具的集合。 Valgrind由内核(core)以及基于内核的其他调试工具组成。内核类似于一个框架(framework),它模拟…

Android中的GPS开发

GPS简介 Gobal Positioning System,全球定位系统,是美国在20世纪70年代研制的一种以人造地球卫星为基础的高精度无线电导航的定位系统,它在全球任何地方以及近地空间都能够提供准确的地理位置、车行速度及精确的时间信息;它是具有…

2023年房地产抵押贷款研究报告

第一章 概述 房地产抵押贷款是一种以房地产为抵押品的贷款形式,包括个人和企业两种情况。个人房地产抵押贷款是指个人将名下房产作为抵押品向银行或其他金融机构申请贷款,而企业房地产抵押贷款则是指企业将自己名下的商业房产作为抵押品向金融机构申请贷…

202309读书笔记|《野性之美:非洲野生动物初窥》——走进自然界的野性之美

《野性之美: 非洲野生动物初窥》微读的一本书,图片居多,非常有视觉上的震撼。拍摄者也是我们孙姓的一员,孙长智。正如作者所说,与自然对话,你会感悟到生命之美、竞争之美、进化之美、和谐之美! 我喜欢自然…