银行的传统资源划分,为了系统的安全性考虑,总是会划分为若干功能区。比如核心业务区,生产业务区,办公管理区,公共服务区等。每一个区内都会有自己的防火墙及其他安全设备隔离。功能区之间的交换需要靠核心交换机来完成。这样做的好处是很好的做到了业务隔离及安全保证。
但是我们今天既然选择了云,那么这种物理上的功能区划分就应该被打破。把功能区的划分移到逻辑层,让云平台的软件功能来实现功能隔离。让我们的物理架构实现扁平化,减少数据交换的深度,增加横向的扩展性及灵活性。
各位同业专家如何看待这个问题?谢谢!
对银行业不是很了解,仅提供下医疗业界针对私有云建设的经验说说,供参考:
1、医疗IT对私有云的认识与接受程度还尚处于早期阶段。云的概念从2012年左右开始火热,幕后的推手主要为传统的硬件设备厂商,如HP、华为、EMC等,其中EMC的宣传力度最大,且旗下有VMware,能做较好的整合,但这阶段的主要目的还是为了硬件产品的销售
2、在2014、2015年,阿里云医疗事业部开始有较成熟方案(着力于打造生态化平台),金山云通过云存储进行切入(着力于数据安全),电信云开始有案例(凭借运营商优势,提供传输方面的便利)
私有云的建设,从技术层面上,我认可zhao hai的“把功能区的划分移到逻辑层,让云平台的软件功能来实现功能隔离。”,实质上主要通过虚拟化软件予以实现,特别是采用VMware,这基本上是行业标配,但在数据安全、网络安全方面则还需要类似阿里云等服务厂商配合。
从选型上考虑,阿里云为首选
收起说一下我们的实现吧
其实在初始上的时候,虽然提出过大平层无安全区域的想法
但在实际规划和建设时并没有实施
第1.监管的要求无法去细化确认及攻克(如27001、等保等)
2.安全区域的隔离还是很重要的,尤其是面相互联网的部分
因此实现时候为以下方式
1.平台和后端的防火墙进行联动,快速策略配置
2.虚拟机不可以跨安全区域漂移(其实涉及的包含存储、物理服务器、接入网络设备)
3.平台统一管理(随着节点变多,若是用openstack,可考虑一个安全区域配置一个region)
收起俗话说三分技术 七分管理,银行传统运维按功能划分区域就是一种管理手段,云计算技术的引入并不意味着原来管理手段就失效,诚然扁平化网络是云计算的理想方式,但不应该一味的追求极致而不考虑传统运维向云运维的转型过渡。另一方面,传统功能划分与云运维也不矛盾,无论是虚拟机群组成的基础设施即服务,还是最火热的docker,都有区的概念可以映射。选择一个适合体系的使用方式才是最重要的。
几个建议原则:
1、虚实管理一体化,优化原来的分区方式,用云解决部分自动化问题,如:防火墙,F5的自动开通,网段规划,IP自动分配等等
2、安全体系的完善,传统操作系统安全与云安全结合,虽然目前没有现成的产品级解决方案,但是银行行业有自身的积累沉淀,可以与合作厂商一起协作完成
3、配套运维平台升级,如监控、配置管理等等
收起安全的问题,是一票否决制。云平台开始描述了一个机房一个网,一个分布式交换机,一个集群,整齐划一的场景。但如果出现大面积宕机,数据丢失,信息泄漏等问题,系统结构、安全机构肯定要调整。银监会这么多安全的规定,都是血淋淋的事故得来的。
收起我觉得这个得分析业务情况和业务压力来看,私有云确实对于整合业务很有帮助,但是虚拟化本身虚拟机性能上限就是物理机本身。这会造成一些性能问题,而且从安全角度来看,一旦采用虚拟化,就要对于系统安全性就得必须加强。而且我个人也不是太喜欢业务过于集中,业务过于集中一旦发生问题就会涉及面过广。给运维造成太大压力,一般都是物理和部分虚拟化按照业务情况进行组合。
收起我理解问题主要是针对网络区域划分的。传统架构上,银行业务根据管理和应用的要求需要划分多个区域,的确是云计算需求矛盾,因此云计算架构中区域划分需要平衡这种矛盾。要重点考虑如何实现逻辑区域和物理区域的隔离,而并非一一对应的关系。
收起