FreeBuf甲方群话题讨论 | 公有云、私有云还是混合云？聊聊企业云端化安全建设

发布时间：2022-03-25 20:17:16来源：FreeBuf

据IDC数据显示，到2025年，全球创建、获取和复制的数据量将增至175ZB，其中，企业存储的数据量将会占据全球总数据量80%以上。这一数据表明企业正迅速成为生产数据和管理数据的主要载体，加上目前我国云计算高速发展，企业上云似乎成为必然趋势。但面对公有云、私有云，还是混合云的选择，安全都是无法回避的问题，他们分别有何优劣，相信大家会有不同答案，除此之外，企业还要根据业务需求来部署决策，尤其是在近来数据安全问题频出的当下，如何科学、高效上云，成为企业数字化发展不得不面临的问题。本期话题讨论就围绕企业云端化安全建设展开：

1.大家在选择云端化产品或服务时，都有哪些考量？

2.公有云和私有云，甚至混合云在安全性和风险性上有哪些不同？

3.有人说，私有云更适合大型企业，公有云适用于中小企业，你是否认同这种说法，亦或者，对于未来企业的云端化发展，大家有何建议？

（本文所有ID已做匿名处理）

@帅到失控

看公有云厂商是否具备合适的认证资质、公有云厂商是否能够提供企业需要的安全服务项目、公有云厂商安全服务协议和SLA是否满足自身安全需求，最后一点就是综合性价比。

@过期不候

考虑性价比，安全的话基本都丢给云厂商负责的，即使不买服务，也挺相信云厂商的能力。

@槿城

在当前数字化转型的大背景下，企业上云应该是个必经之路，毕竟已经是新基建了，国家也在大力发展，能上就上吧，不管是公有云也好、私有云混合云也罢，这是个趋势。选择的时候还是要看云提供的能力，基础的IaaS、PaaS和SaaS等服务模式都不用说，要能满足所有上云应用所需的各种服务组件，技术路线这块其实也很成熟了。选择的话还是从服务方能力（数据安全、服务质量、保障等）、资质、监控合规、行业经验、经营状况、预算成本等角度考虑吧。

@小小怪

我用公有云比较多，现在的问题是国内的公有云，在安全这方便做的一般，而且国内大多数中小企业，对于公有云的安全也不太重视。反面举个例子就是AWS是有安全相关的培训的，这个我报名等了三年才开班，而且也就5个人最终参加了这个班的课，但是相同的架构师的课一年很多场，场场爆满。

传统的安全工具在公有云的适用就是一个很大问题，很多产品并不适合在云上部署，或者没有很好的适配公有云的环境，加上国内公有云质量参差不齐，没有行业标准，相信传统的安全厂商也很难做。

国内公有云产品力不足，不能很好的向客户推广最佳实践，导致客户在使用中基本上还是当传统IDC使用，更不可能有更多定制化的安全措施来做安全，可能觉得因为种种限制，不好用。

我建议大家还是多看看AWS一些相关的安全产品，以及很多人围绕AWS的生态做的安全项目，其实还是很有意思的，但是这些东西能不能在国内的公有云上落地，是另外一个问题。

@且听风铃

我们是否上云的选择主要是从成本、数据安全、业务模型上考虑。例如我们在私有云无法实现公有云的弹性伸缩尺度。之前做过如航展、直播等面向公众、多用户、高交互的应用，这种只能上公有云。

面向内部的企业资源类业务，我们主要采取私有云进行建设。例如公有云无法满足我们的对商业秘密的保护需求，我们无法确认流量是否会被镜像。上云会迫使我们在通信网络和数据本身进行更多成本支出。换句话说，信源加密+信道加密带来的高解析成本+低效率，我们无法接受。

@帅到失控

企业混合云环境，一般包括一个或多个公有云厂商以及自建的私有云平台，从信息安全风险管理角度来看，实施混合云涉及到IT基础架构和应用架构的重大变更，因此需要重新进行风险评估。混合云环境下需要考虑到的安全风险包括：•公有云厂商及其安全服务的选择•私有云安全防护能力建设•混合云环境下的服务器、容器、无服务器应用安全•混合云环境下的数据安全•统一的混合云安全管理和运营平台•统一的混合云运维管理通道•混合云环境下的安全合规需求

@过期不候

公有云风险更多是给公司和领导的压力，私有云和混合云则更多是可能深入到公司内网，窃取其他信息。

@宇宙翱翔者

问题都不大，看看相关的认证证书齐备不、过往有无出过什么大事，以及出了事的责任机制是什么。

@槿城

同意第一位大佬的回答，补充几点，咱搞安全都明白：网络安全是动态的、相对的。其实不管啥云，都是网络，本质上面临的网络安全问题都是一样的，无非是攻击/防御成本不同。

要说相对的话，在管理水平相当，安全履职尽责的前提下，私有云的安全性方面是比混合云和公有云高的，但运维成本太大，这是部署方式不同造成的天然属性，都有优缺点。混合云结合了两者优缺点，反而受某些企业青睐，不过的确存在合规性问题，毕竟是两种云结合的，等保估计挺麻烦，另外混合云的复杂网络配置架构对管理员的能力也提出了较高的要求。公有云也不是不安全，现在主要的云市场大份额都是公有云（运营商云、政务云、互联网云、IDC云、国外云等等），企业上云成本最低吧。

@人生如梦

云架构的选择有几个考量的点：

1、业务模式决定，电商类公司优先选择公有云，因为其强大的横向扩展能力，无论是云主机、带宽、CDN等都可以快速扩容，适合搞大促，搞秒杀活动等场景。

2、数据安全合规风险，金融类企业不会选择公有云因为存在合规风险，数据必须落在本地，那自建私有云也是势在必行的。

如果结合上面两条，既考虑横向扩容，又考虑数据合规，选择混合云模式，应用放公有云，数据落私有云，中间部署防火墙等设备用来隔离，也是一种选择。云安全一直在讲责任共担，云提供商与企业都承担一部分安全责任。

@遣诗怀

云端服务产品具有公有云的弹性和快速扩容特点，但是对于体量大的企业，成本投入和额外的安全风险却是主要考虑因素。其实公有云与私有云，相对传统自建内部网络的安全风险并没有出现无法解决的新风险，只是传统安全策略在云上显得捉襟见肘，或者传统厂商产品在适配云化方面还是缺少更好的落地经验。

@且听风铃

区别在于IaaS多了Openstack类的云平台保护+容器类平台保护。但由于增加了大量软件定义的权限控制，网络分层、软路由、overlay网络更复杂，容易失控。

公有云安全在于云原生很多，像某厂商自带安骑士，各类安全设施可以随意点击获取。风险是这些安全不是你自己的。

@帅到失控

部分认同，未来趋势肯定是混合云、多云平台。

@过期不候

这个主要还是看企业的发展方向和想不想把运维做得简洁，上公有云，运维管理轻松点，私有云得要求有扎实的基础架构团队。

@剑魁

私有云适合大型企业，因为有重量级数据库不适合上云或者不能上云。

@帅到失控

其实各个公司多多少少就算有私有云，也会购买公有云的，只是比例问题。

@剑魁

私有云都是各种超融合架构，群集这种不能算。

@槿城

目前认可这种说法，适合与否本来就是个综合权衡的结果。大企业一般有监管要求更关注自身数据安全，也不差钱，具备建立私有云的条件和能力。中小企业不是说不重视安全，可能更多的是成本上的考虑吧，再说公有云的安全性也不差啊。

不过这需要个发展过程，混合云、社区云不也是应运而生了，相信未来有更好的云能解决安全与成本的问题，让企业无忧上云。对了，说不到未来可能没有云了，现在元宇宙不是已经出来了么，以后的事谁说得准呢。

@遣诗怀

公私合营是未来大多数的选择，根据需求不同，应该会合理配置建设目标和成本投入。

@人生如梦

云架构的选择首先还是要看预算，不是小型企业不适合私有云，而是建设成本让他们望而却步，除非是有监管要求，不然盈利都没多少，何必搞私有云。现在都是考虑多云架构，大企业不希望自己被一家云供应商绑死（绑死后，价格这块没得商量，供应商说的算，除非你整体换云）。

@且听风铃

经过长期信息化建设及运维工作，我个人经验是私有云的成本，不一定比之前的esxi虚拟化集群成本低。

更实际一点讲，操作系统低于1000个，虚拟化比私有云要便宜。

自建私有云的成本有这些：电费，宽带费，专业B以上机房、风火水电设施维护，服务器、云平台建设维护，上边所有工作的人工成本等。所以结合实际吧。

本期精彩观点到此结束啦~此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码免费申请加入FreeBuf甲方群吧！

加入即可获得FreeBuf月刊专辑，还有更多精彩内容尽在FreeBuf甲方会员专属社群，小助手周周送福利，社群周周有惊喜，还不赶快行动？

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

如有疑问，也可扫码添加小助手微信哦！

精彩推荐