【阿里雲MVP月度分享】如何快速搭建安全的混合雲？

從行業內權威機構的調查分析報告看，混合雲打消了企業的諸多顧慮又能充分的利用公有云的優勢。做為當前一個非常好的平衡點，以混合的IT架構實現企業的業務結果，這種趨勢正在急速增長，且會成為常態。

Gartner對混合雲的定義：

“Hybrid IT is the result of combining internal and external services, usually from a combination of internal and public clouds, in support of a business outcome.” 

“混合IT架構是指結合內部和外部的服務,通常通過結合公有云和私有云，來實現業務結果。”

Gartner最新報告指出，雲端運算使用增加，2016年是許多大型企業會開始投入混合雲的關鍵年，至2017年年底，近半數以上的大型企業都會有混合雲環境。混合雲成為企業往雲上遷移的必然選擇：

混合雲一般通過專線互聯的方式將自建機房或者託管IDC和雲服務的網路打通：

面臨的安全挑戰：

• 對傳統IDC的安全體系比較熟悉，雲上業務如何保證安全？
• 雲上安全比雲下有何差異？
• 如何統一管理雲上和雲下的安全系統？
• 混合雲是一個複雜的系統，是否具備專業的管理員來避免可能造成的風險？
• 雲下安全的投入上百萬，每隔3-5年又要更新換代，是否有節省安全投資的辦法？

為了避免在混合雲環境中重複建設兩套不同的安全體系，混合雲的服務方式由原來自建機房中的服務和雲上部署的服務同時對外提供訪問，變更為所有外部的訪問都通過雲上服務輸出。

為了在阿里雲上快速搭建安全的混合雲，建議的架構如下圖所示：

架構搭建的步驟：

1. 將網際網路出口應用全部署在阿里雲，所有網際網路的訪問都必須經過阿里雲。
2. 在IDC託管機房，只需要配置硬體防火牆用於安全域的隔離。
3. 在阿里雲開啟DDoS高防、WAF、安騎士等安全防護能力，堡壘機用於遠端的安全運維。
4. 在IDC的伺服器上部署安騎士agent，通過態勢感知實現混合雲安全的統一管理。

架構的特性：

• 統一管理混合雲安全策略，減少運維成本和對線下安全硬體的投入。
• 通過阿里雲的態勢感知，全面監控到整個混合雲的網路流量，並通過阿里云云盾的防護能力，實時攔截攻擊和惡意訪問。
• 節省客戶在自建資料中心的安全投入，充分利用雲的網路、資源的彈效能力，及雲的安全能力。