一、多云業務需求

根據Gartner的定義，多云是指企業同時擁有兩個或多個云計算平臺，在部署的時候可能會使用公有云、私有云或兩者的某種組合。

用戶的業務需求主要集中在以下幾個方面：

1. 多云接入

• 對于國內公有云廠商，需要支持阿里云、騰訊云、華為云
• 對于國外公有云廠商，需要支持AWS、Azure、googleCloud
• 對于私有云需要兼容VMware、openstack、X-stack(公有云)等

2. 異構資源納管

• 對基礎設施(計算實例、存儲、網絡、安全)和應用程序資源統一管理(OpenAPI)
• 針對虛擬機、容器、服務網格等服務編排(自動化模板)
• 高速互聯網接入與跨平臺的聯合網絡管理

3. 計量計費

• 通過資源優化和賬單估算進行成本管理
• 云計算費用報告和預算

4. 運維監控

• 需要支持跨云協調的功能，并提供對不同云服務性能的可見性
• 對基礎設施(計算實例、存儲、網絡、安全)和應用程序的性能進行監控;
• 多云服務遷移(自動執行某些維護任務，例如將工作負載從一個云動態移動到另一個云)

5. 安全管理

• 安全性，包括身份管理和數據保護/加密
• 針對多云環境基礎架構的安全保障
• 任務批準工作流以及策略合規性審核

二、多云業務安全架構

首先給大家分享一下多云安全架構全景圖

我們先從多云基礎架構說起：

• 首先，多云基礎架構建議全部選擇Kubernetes自動化編排與Pod容器方式部署，盡量不要選擇虛擬機，因為虛擬機無法編排其他公有云的網絡，無法實施更靈活的網絡隔離策略。雖然google為了重新定義云市場使用的伎倆，但是話說回來，用戶是喜歡這個思路的，不會受單個云的限制，而且開源免費。
• 分離多云OpenAPI管理與容器編排管理，多云OpenAPI管理需要屏蔽底層多云的差異，創建云主機、基礎網絡、存儲等基礎設施。容器編排系統，則負責更高級的管理需求(第一點說的)。
• 需要分離本地部署的kubernetes和中央控制中心。這樣獨立出一層，可以幫助用戶快速遷移部署。
• 使用lstio標準的網絡架構一統多云。

有了標準的多云基礎架構，那么我們的安全基礎架構就容易規劃了。個人認為每家的多云管理系統差異化主要體現基礎安全部分，應用安全部分可以使用多家產品。

1. 如果我們把底層架構都統一使用Kubernetes與Pod，那么，我們的多云基礎架構安全其實是以容器安全為基礎。那么基于容器的安全生態需要建立起來。

(1) 針對基礎能力模型中的鏡像倉庫，我們需要有鏡像倉庫掃描，保證進入到整個安全平臺的鏡像是安全的。

• 需要對上傳的容器鏡像有策略下發掃描能力，完成操作系統、軟件的已知CVE漏洞在線檢查功能，并且輸出報告。
• 需要對上傳的容器鏡像，對其關鍵位置文件做病毒木馬檢測、webshell檢測，并且輸出報告。
• 需要對上傳的容器鏡像，對其關鍵位置文件做敏感信息檢測，并且輸出報告。

(2) 針對Kubernetes與Pod需要做基線檢查，當然部分基線配置需要在多云管理平臺側設置。這部分其實用過CIS_Kubernetes_benchmark 標準檢測即可。

(3) 容器運行時安全，針對容器運行非授信進程、文件、網絡連接需要限制。同時聯動停止或者刪除容器，控制網絡連接。形成閉環容器安全治理。

2. 多云基礎架構容器安全，需要寄生在宿主機上(例如：云主機、裸金屬服務器、物理服務器)。所以主機安全需要支持安裝在任何上述環境中。

3. 為了更好的了解整個多云集群操作狀態，Kubernetes日志審計系統也是多云基礎安全必備的功能之一。

4. 最后，能上多云管理系統的公司，肯定是組織架構復雜的，需要多方人員協調才能把安全運營閉環做好。

多云的應用安全部分

1. 多云抗D與多云WAF

很多游戲公司都很早就集成多云抗D解決方案了。前幾年棋牌類游戲。公有云A的解決方案不行，馬上通過調度系統切換，或者通過HTTPDNS，DNS自動切換。保證游戲業務的可用性。云WAF也是一個道理。 

2. 自動化漏掃服務與安全眾測

在多云場景中，可以選擇購買多個自動化漏洞掃描工具，獲取差異化漏洞掃描報告，同時目前國內公有云大部分都可以按次計費，方便在特定場景中實施(例如：重保、業務系統上線、例行安全巡檢等)。

再談談安全眾測的事，其實安全眾測在安全圈也不是什么新鮮概念，但是伴隨著多云安全的概念重新粉飾，將會得到極大的應用。畢竟多云的核心理念是獲得各家廠商的安全能力。

三、多云安全的未來

雖然現在階段多云管理安全解決方案是一個比較新的概念，在商業落地方面還比較薄弱，但是絕對是一個大的趨勢，趕不上這個風口的公有云廠商未來的2~3年發展空間不會很大。google在這個浪潮中應該是最大的贏家，通過開源的容器編排系統Kubernetes，讓企業級消費者接受并且可免費使用自己管控的系統，獲得很大收益，其次通過Anthos架設多云管理平臺，最終商業落地使用谷歌云變現。大廠就是有資源，玩顛覆，對抗AWS。針對國內后進公有云廠商，快速落地其多云管理產品，快速推向用戶是當務之急。