首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >数据密封舱——保证混合云安全

数据密封舱——保证混合云安全

作者头像
叶锦鲤
发布2018-03-15 11:03:54
发布2018-03-15 11:03:54
1.1K0
举报
文章被收录于专栏:悦思悦读悦思悦读

如今云计算已经被很多公司所接受,许多公司都已经在或者准备将云计算部署在自己的某些业务当中。这个时候云计算商业模式的选择,就会成为一个问题。

公有云,私有云,混合云,到底选哪个?

公有云用起来方便,自己不需要买机器装软件雇人维护,还能通畅的收集internet数据;但是自己的数据也全都放在别人的地盘上,仿佛受质于人。

私有云完全抓在自己手里,但是因为缺乏和外部连接的数据通道,导致无法获取伟大的因特网上人民智慧的成果,岂不是固步自封,见宝山而不入?

混合云融汇公私云精华,进可攻退可守,收放自如,真天之嘉物之于我辈着乎!(鼓掌)

BUT,有个同学很较真的提出,只要有通道,就有可能被进入,混合云在公有云和私有云之间建立了一个桥接,怎么能保证绝对不让外部人员接触到内部数据呢?

答:桥接的双向访问都是owner自己控制的,可以选择不对外部人员开放私有云的访问权限。

追问:如果外面有技术高超的hacker直接用hacking手段潜入,根本不走合法验证怎么办?

答:单纯从技术角度也好解决,效仿航天飞机或者潜水艇的密封舱,建一个数据密封舱!

数据密封舱工作原理如下图所示:

  1. 在私有云中隔离出一个独立内部小网络,作为数据密封舱存在。整个私有云内部,只有它与公有云读写双向相连(Channel1)。
  2. 数据密封舱与私有云内部真正充当原有私有云功能的部分(即工作私有云)由一个单向写通道(Channel2)和一个单向读通道(Channel3)分别相连,读写通道不能同时打开。
  3. 运行时遵循以下规则: 3.1 数据密封舱通过Channel 1读取公有云数据时,Channel 2断开。 3.2 从公有云写入数据密封舱的数据在密封舱内经历检验、压缩等初步处理,确认无害后,断开Channel1,通过Channel2向工作私有云写入。 总之,Channel1和Channel2不能存在同时连接状态,而Channel3只具备向数据密封舱单方面写入的功能,无法从工作私有云之外通过Channel3访问其内部。

有了这个数据密封舱,就可以保证绝对没有人能够从公有云直接连接到工作私有云,企业内部数据不会被hacker修改。

如果对于企业数据的外泄非常敏感,还可以设置Channel1和Channel3不能同时连通的规则。

另外,在数据密封舱对外来数据进行过滤,可以拦截有害信息,如果需要,也可以在此对准备对外发布的数据进行final review。

如果考虑这样读写效率太低,还可以搭建两个或以上数据密封舱(参见上图),轮流开启数据写入信道,保证在任意时刻,都可以有数据在写入工作私有云。

当然,这种方法的弊端显而易见:昂贵! 就凭着一条,即使理论上可行,恐怕也不会真的有人这样去做。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2016-04-11,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 智汇AI 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档