華為云計算 云知識 華為云Stack遠程運維安全連接方案
華為云Stack遠程運維安全連接方案
時間: 2023-01-13 15:49:11
猜你想看:
實時語音識別 云服務(wù)器配置 CDN是什么意思 視頻點播加速 什么是云桌面

華為云Stack 基于專線或VPN基礎(chǔ)之上提供遠程運維安全接入產(chǎn)品“云梯”:

 

圖1 “云梯”架構(gòu)

在不改變運維工具本身架構(gòu)的情況下,整體架構(gòu)主要包含這些關(guān)鍵組件:

  • 運維工具的這些特性能力十分重要:
  1. 快速部署、升級、擴容:實現(xiàn)云服務(wù)快速部署、持續(xù)迭代升級,全網(wǎng)同版本、同架構(gòu)、同生態(tài);升級變更方案專家統(tǒng)一制定,降低變更升級風(fēng)險;
  2. 快速故障定位、故障處理、主動巡檢、AIOps等:專家7*24小時在線,重大問題研發(fā)專家會診,疑難問題發(fā)現(xiàn)快、定位快、修復(fù)快,快速一鍵式巡檢,發(fā)現(xiàn)系統(tǒng)潛在風(fēng)險;
  3. 告警監(jiān)測:實時監(jiān)測告警數(shù)據(jù),智能分析,及時快速提前介入,主動預(yù)防;
  • 云梯Server:完成中心運維工具的請求轉(zhuǎn)發(fā)、響應(yīng)和告警監(jiān)控數(shù)據(jù)上報;
  • 云梯Client:與遠程運維中心的云梯Server建立安全加密的消息通道,接收云梯Server的轉(zhuǎn)發(fā)消息,針對不同協(xié)議完成請求的代理,調(diào)用目標(biāo)運維工具代理獲取響應(yīng);
  • 運維工具代理:接收并執(zhí)行運維指令,主要包括如:
  1. 安裝包、升級包下載,完成云服務(wù)安裝與版本升級;
  2. 驅(qū)動AIOps腳本執(zhí)行,收集、分析故障日志,快速定位問題根因,執(zhí)行巡檢任務(wù),檢查云服務(wù)健康狀態(tài);
  3. 對接客戶本地云告警,完成告警數(shù)據(jù)上報;以華為云Stack為例主要包括如下類型告警:
    • 通信告警:網(wǎng)元內(nèi)部、網(wǎng)元之間、網(wǎng)元與管理系統(tǒng)之間、管理系統(tǒng)之間的通信失敗而引起的告警。如:設(shè)備通信中斷告警。
    • 業(yè)務(wù)質(zhì)量告警:如:設(shè)備擁塞告警。
    • 設(shè)備告警:物理資源故障而引起的告警。如:計算節(jié)點磁盤不足。
    • 完整性告警:請求的操作不能正常提供。如:非法的修改、增加和刪除用戶信息
    • 安全告警:安全服務(wù)或機制檢測到有關(guān)安全方面的問題發(fā)生。如:鑒權(quán)失敗、非法訪問。

當(dāng)客戶遠程運維使用“云梯時”,各組件相互配合,共同保障安全:

  1. 位于客戶本地云中的云梯Client與遠程運維中心云梯Server保持長連接,建立一條連接遠程運維中心與客戶本地云的消息通道,所有運維指令下發(fā)或監(jiān)控數(shù)據(jù)上報請求都通過這一通道進行傳輸,這樣能夠避免客戶本地云邊界防火墻端口監(jiān)聽的同時也能將原有運維工具與運維工具代理間多種協(xié)議的連接收編到統(tǒng)一的長連接中,實現(xiàn)通信矩陣的收編;
  2. 以運維指令下發(fā)為例:遠程運維中心的運維工具通過https向運維工具代理發(fā)送運維請求時,請求經(jīng)過云梯Server進行動態(tài)路由,分別在云梯Server中完成請求的封裝,通過長連接消息通道完成消息分發(fā),在云梯Client中完成請求的解封裝,恢復(fù)請求發(fā)起調(diào)用運維工具代理獲取響應(yīng),響應(yīng)消息返回至調(diào)用方。這樣的好處在于針對如上的每一個請求位于客戶側(cè)的云梯Client均能夠解析請求指令和響應(yīng)的詳細內(nèi)容,實時將完整的請求與響應(yīng)數(shù)據(jù)記錄到審計日志中實現(xiàn)透明審計;
  3. 如上請求轉(zhuǎn)發(fā)過程中,客戶側(cè)云梯Client能夠?qū)崟r獲取請求和響應(yīng)數(shù)據(jù),基于目的地址或運維數(shù)據(jù)特征,提供細粒度的白名單放通策略(自定義或預(yù)置),云梯Client僅會轉(zhuǎn)發(fā)允許放通的請求,其他請求均無法經(jīng)過云梯到達客戶本地云運維區(qū),更無法到達客戶云內(nèi)網(wǎng),保證 數(shù)據(jù)安全 ,將通道控制權(quán)掌握在客戶手中。

“云梯”作為一體化的安全、可信、可控遠程運維解決方案中的關(guān)鍵能力,我們做了幾個重點技術(shù)能力構(gòu)建,解決遠程運維的安全風(fēng)險:

1. 將客戶本地云運維工具代理相關(guān)的防火墻監(jiān)聽端口減少至0,將運維工具多種通信協(xié)議的通信鏈路收編到統(tǒng)一的長連接中,如下圖所示:

圖2“云梯”場景運維接入

2. 針對運維過程中的加密協(xié)議(如https等)提供透明審計能力,實時查看運維指令內(nèi)容,如下圖5所示,同時提供敏感數(shù)據(jù)(賬號、口令等)識別、脫敏與攔截,防止數(shù)據(jù)泄露;

截圖2.png

圖3 “云梯”流量審計

3. 提供細粒度基于運維業(yè)務(wù)或數(shù)據(jù)特征的控制策略,按需放通運維指令,將運維的控制權(quán)掌握在客戶手中。如在某段時間內(nèi)僅允許巡檢指令下發(fā),則該時段內(nèi)變更類指令將會被攔截。

“云梯”已成,加速政企智能升級

當(dāng)前云梯已上線華為云(西安)運維中心,同時云梯結(jié)合運維工具提供安全、可信、可控的遠程運維解決方案,形成“1+2+5”的安全體系:

  • 1套安全管理體系:構(gòu)建遠程+現(xiàn)場兩級安全運維體系;
  • 2項安全認(rèn)證:ISO27001認(rèn)證、網(wǎng)絡(luò)安全三級等保認(rèn)證;
  • 5類安全管控機制:數(shù)據(jù)安全、IT安全、人員安全、物理安全、作業(yè)可信。

“云梯”現(xiàn)已支撐50+政企云上運維,囊括交通、醫(yī)療、電力等8大行業(yè)。如:

1. 華為云Stack為國家電網(wǎng)提供集中運維解決方案:

  • 問題處理效率比常規(guī)情況提升約50%;
  • 各省問題平均閉環(huán)時間縮短至45天,快速迭代云服務(wù)版本。

2. 華為云(西安)運維中心為甘肅省醫(yī)療保障局提供智能運維解決方案:

  • 智慧醫(yī)保系統(tǒng)運維效率提升30%-50%,全面保障醫(yī)保信息平臺全生命周期業(yè)務(wù)連續(xù)性。

3. 華為云(西安)運維中心為中國一汽提供一站式運維服務(wù):

  • 累計處理線上問題500+;
  • 問題處理效率提升46%;
  • 需求變更100%成功。

面向未來,在線智能化的遠程運維已經(jīng)成為政企數(shù)字化轉(zhuǎn)型的最優(yōu)解。華為云Stack遠程運維“云梯”連接方案,實現(xiàn)客戶云便捷安全的接入遠程運維中心,對現(xiàn)有客戶本地云配置影響小,提供透明的統(tǒng)一審計能力,易控可控的連接通道,全方位保障客戶本地云遠程運維接入安全。幫助客戶從復(fù)雜的云運維中解放出來,更加專注業(yè)務(wù)創(chuàng)新,加速千行百業(yè)數(shù)字化轉(zhuǎn)型和智能升級。

 
華為云Stack
華為云Stack是部署在政企客戶本地數(shù)據(jù)中心的云基礎(chǔ)設(shè)施,通過持續(xù)創(chuàng)新,打造安全、可靠、高效的混合云,以用戶視角一朵云的能力,助力客戶從業(yè)務(wù)上云邁向深度用云,釋放數(shù)字生產(chǎn)力。
了解更多
猜你喜歡
華為云Stack遠程運維安全連接方案

意見反饋

0/200

提交 取消

提交成功!非常感謝您的反饋,我們會繼續(xù)努力做到更好 反饋提交失??!請稍后重試!