云迁移在网络硬件设备的消亡下,将何去何从?Cloudflare 为您在线剖析!
摘要:在云迁移过程中,许多网络功能仍留在企业内部,造成容量限制、高总拥有成本、支持挑战和安全缺口等问题。Cloudflare为您讲述这些挑战,并对其结果进行量化,提出了通过基于云的解决方案来提高混合云基础设施的速度、可负担性和安全性。
第一部分 云迁移是有效策略,却很难一步到位
事实证明,云迁移是降低基础设施成本、提高数据和应用程序可用性以及增强运营敏捷性的有效策略。
不过,这种迁移极少能够一步到位。许多大型组织发现自己混合部署了云和内部基础设施,形成一种复杂的异构体:
这样的混合基础设施不一定是坏事,但确实带来了麻烦。具体来说,它会造成各种网络功能(例如 DDoS 缓解、负载平衡、防火墙和 VPN)留在本地的情况。
在以云为中心的世界中,这些网络硬件设备不能胜任保护和加速关键基础设施的任务。它们本身杂乱无章且成本高昂。一旦让云加入进来,安全漏洞便会迅速出现,性能损失和其他支持挑战也会随之而来。
接下来 Cloudflare 将会带您解读在迁移到云服务的世界中维护网络硬件的风险,并提供规避这些风险的策略。
第二部分 云世界中的硬件风险
网络硬件设备具有多种特定功能,其使用方式在组织之间也有一定程度的差异。常见的例子包括:
这类硬件部署到本地时,所形成的架构通常会面临四类风险:容量限制、高总体拥有成本、支持挑战和安全漏洞。前两类总是在某种程度上引发问题,后两类则因为云迁移而加剧。
容量限制
鉴于网络硬件设备的本质,在流量意外激增时,无论流量是否合法,都会使其不堪重负,这一点就不足为奇了。但近期的一些趋势表明,达到这些极限是更为普遍的担忧。
以 DDoS 缓解为例。据称,史上最大的 DDoS 攻击发生于 2020 年 2 月,最大容量达到 2.3 Tbps。这两年内,其他攻击则达到了 1.7 和 1.3 Tbps。 即便是市面上最先进的 DDoS 缓解硬件设备,这些攻击造成的负担均是它们承受能力的许多倍,这些硬件设备通常仅提供缓解此类攻击所需容量的一小部分。
并非所有组织都会吸引如此规模的攻击,但也不是所有组织都能够或已经部署最先进的DDoS 缓解硬件。Cloudflare 的一项研究发现,2020 年第二季度大约 2.4% 的网络层DDoS 攻击最大规模超过 100 Gbps,这会让许多所谓基于高容量硬件的缓解解决方案不堪重负。
此外,攻击量还未算上可能同时到达数据中心的合法流量。如果规模较小的攻击在高流量时段到达,其造成的流量激增仍可能足以使安全防护硬件超过其极限。
DDoS缓解只是本地硬件容量限制的一个例子。其他例子包括:
负载平衡器:独立的本地负载平衡器很容易因合法流量猛然激增而超负荷。发生这种情况时, 可能需要很长时间才能置备和安装额外硬件。替代方案是保持可应对最坏状况的充足容量, 但这种方法需要组织以高昂代价持续运转大量硬件。
虚拟专用网络(VPN): VPN 的使用变得更难提前预测。2020 年 5 月对美国雇主的一项调查发现,新冠肺炎疫情导致 53% 的全职员工居家办公,相当于 2019年的 7 倍,其中 22% 的人预计疫情过后仍留在家里工作。如果这些远程访问的数量超过企业本地 VPN 的容 量,员工会面临登录困难、延迟的困扰,最终导致生产力下降。
面对这些问题,一种应对方法是购置更多、更新、更高容量的硬件。但这样的方法会带来许多其他问题。
拥有成本
与容量限制一样,数据中心硬件价格昂贵也不足为奇。例如,要获得约 100 Gbps 的DDoS 缓解能力,所需硬件的前期投入可能介乎 40 万到 50 万美元。
而且,这些费用只是硬件设备总体拥有成本的一部分。还请考虑以下支出:
团队成本:购买、运行和维护硬件以抵御 0SI 模型中每一层的威胁,并提供现代网站和互联 网应用程序应有的性能和可靠性,这需要团队成员在每一种网络功能方面达到专家水平。组建具有如此广度和专业知识的团队是一项代价昂贵的提议。技能缺口也使它难以实现:2020 年的一项 ISACA 调查发现,有 62% 的公司反映其 IT 团队人手不足。
维护成本:Forrester 在 2019 年发布的一份报告将已过三载的数据中心硬件定义为“老化”,但以上整个期间的保修通常需要额外支出。替代方案是由厂商或第三方进行计划外——因此也没有预算——的维修。硬件故障也可能导致数据中心停机,其平均机会成本在每分钟 8,800 美元以上。
更换成本:倘若每三年更换一次硬件设备,组织不仅需要偿还其初始投资,还要投入资源来运送和安装新硬件。延迟更换通常会导致故障更加频繁,进而造成维护成本增多。
云交付的网络服务与这种模式形成鲜明对比。它们有可能通过一个更灵活的团队来运行,不会产生维护和运输成本,也不会迫使组织在代价高昂的升级和更频繁的故障之间权衡取舍。
支持挑战
为网络硬件设备提供支持不仅是一项昂贵的提议,也是一个后勤上的挑战。硬件需要经常打补丁, 才能应对最新的漏洞和攻击手段,这一过程通常依靠手动实施,因此容易受到人为错误的影响。
组织使用的硬件设备越多,因为疏忽大意或担心影响重要系统而最终疏于安装补丁的几率就越高。2020 年 6 月,因为有许多公司未能及时安装 VPN 设备补丁,美国国防部下属的网络司令部不得不发出警告,指出漏洞有可能会被敌对国家利用。实际上,修补硬件的复杂性非常高, 以至于衍生了一整类帮助公司保持最新状态的软件。
并且,只是遗漏一个补丁的后果也可能非常严重。这不仅是因为硬件仍然存在漏洞,而且一旦发布了补丁,相应漏洞就会成为机会主义攻击者更高调的目标。与之形成对比的是基于云的安全防护服务,后者默认自动修复漏洞并安装更新,而且传播时间可以短至 30 秒,具体因云提供商网络速度而异。
硬件的其他维护挑战包括:
-
故障排除:在仅有硬件的场景中,故障排除通常会迫使 IT 团队经历一次艰辛的过程,逐一拔掉负载平衡器、防火墙和其他本地设备,如此才能发现问题所在。
使用云服务会使此过程更加复杂。依赖硬件的组织往往通过集中式数据中心及其所有独立设备来管理对这些服务的访问。当员工无法访问某项服务时,IT 团队还要检查一个额外位置来排查问题。在大型组织中,这种额外努力会迅速增长。2019 年的一项调查发现,员工超过 1000 人的公司平均订阅 200 多个 SaaS 应用程序。
物理维护:当硬件设备发生损坏时,IT 团队必须断开其物理连接,订购替换设备,测试并安装到位。这又是一个艰难的过程。
安全漏洞
即使组织具备所需的资源来持续置备和维护最新、最大容量的本地硬件,所形成的基础设施仍将面临严重的安全缺陷,尤其是在云计算趋势日益明显的大环境中。
以员工访问管理为例。尽管 VPN 硬件可以在远程员工设备和运行于企业本地数据中心的应用程序之间建立加密隧道,但在建立此隧道后,它无法监控和保护用户活动。
如果员工的设备受到恶意软件入侵,或者网络钓鱼攻击窃取了他们的 VPN 凭据,则攻击者或可利用该 VPN 连接来访问各种敏感信息。网络钓鱼和恶意软件继续构成严重风险。2020 年 4 月,Google 报称每天拦截 1800 万与新冠肺炎疫情相关的恶意软件和网络钓鱼电子邮件。(基于云的 VPN 也受到这个问题困扰,但事实依然是,单靠本地硬件无法对内部应用程序提供真正安全的远程访问。)
云服务和 SaaS 应用程序使以硬件为中心的基础设施面临更复杂的安全问题。以混合云模型为例,组织会同时运行本地和云基础设施。组织无法简单地将安全硬件运送给云提供商。如果想要继续将本地硬件用于自己的数据中心,那么基础设施的不同部分将受到不同方式的保护, 使安全团队无法了解和控制即将到来的攻击。
第三部分 基于云的安全和性能服务:优势和挑战 云交付网络服务优势 容量:由于云具有分布性和软件定义性,组织可随业务规模扩大而轻松置备更多容量。 成本:硬件附加成本要么不存在,要么更容易提前计划。此外,云服务通常被归类为运营支出, 而不是资本支出,这为许多企业带来税务和会计方面的好处。 支持:后勤和资源需求由服务提供商解决。此外,也不会有遗漏补丁的可能,因为更新是自动进行的。 安全:软件定义的网络服务可以在单个保护层下统一不同的基础设施。
但若部署不周全,云网络服务也会面临自身的风险:
要避免这些问题,请考虑以下策略 寻找同时适用云和本地基础设施的提供商。 这种能力可使 IT 和安全团队能够设置一致的控制并从一个地方监视全局流量。 寻找提供能协同工作的多种网络功能的云提供商。 这通常会减少流量必须经历的网络跃点,从而缩短最终用户延迟,提高应用程序性能。此外,在对网络问题进行故障排除时,您只需要联络一家供应商。最后,将多种功能捆绑在一起通常可以降低成本。 寻找可以从其网络中每一个位置执行多种联网功能的云提供商。 通过收购来扩展其服务组合的提供商不一定会全面整合这些新服务,导致某些功能只能由某些数据中心交付。因此,要考虑在整个网络中提供这些功能的提供商,从而避免上文列出的那些问题。 寻找网络覆盖全球的云提供商。 这一能力支持上一项能力,确保最终用户无论身在何处都始终接近其网络。同时也能形成一个大型网络表面,既可吸收 DDoS 流量,又能执行其他需要大量的联网功能。
Cloudflare 助您安全性能双管齐下 Cloudflare 建设了一个提供广泛服务的全球化云平台,帮助企业增强安全性,提高业务关键应用程序的性能,并消除管理不同网络硬件的成本与复杂性。这个平台充当一个可扩展、易于使用的统一控制面,为本地、混合、云和软件即服务 (SaaS) 应用程序提供极佳的安全、性能和可靠性。 至关重要的是,在 Cloudflare 覆盖 200 多个城市的全球网络中,每个数据中心都能提供这些服务中的每一项,减少了使云实施复杂化的延退。
与 Cloudflare 专业的中国销售团队取得联络
如果您对我们的产品感兴趣,请点击此处留下您的联络方式,让我们的专业团队帮助您更多了解 Cloudflare 如何为关键业务应用程序和网络提供集成安全性、性能和可靠性。
我们的销售团队将会在第一时间与您取得联系。完成后,您即可获得我们提供的价值100美金的奖品: