跳转至

安全部署方案


前言

针对一些金融,保险及对安全有非常敏感的客户,以及对于“观测云”提供的数据存在自我掌握需求的客户,我们将提供产品部署到客户自有可控的环境中的方案。但是由于实际上如果我们无法长期及时快速的升级管理这些部署到客户侧的“观测云”,将导致客户无法及时有效的升级,或导致产品存在Bug无法修复等一系列问题,因此我们在这种部署版的合作方式中需要能够在安全可控的情况下帮助客户实现整个系统的升级维护,让这些部署版的客户在绝对安全的情况下享受到和SaaS版完全一致的服务体验。

存在的问题

事实上,对于我们的工程师在客户自己所有的服务器上来部署安装维护升级“观测云”产品,其实是存在很多疑虑的。这些疑虑包括以下情况:

“观测云”产品的系统性安全风险

担心由于在企业内网部署“观测云”后,因为“观测云”本身可能存在的安全风险,或者对于操作“观测云”的工程师的不信任,比如:制造内网的传统攻击,将“观测云”的部署集群作为攻击跳板,攻击客户的内网环境,或是操作人员利用部署管理过程中的权限进行内网的攻击。

“观测云”产品的数据泄露风险

担心“观测云”产品本身的数据泄露,包括数据被操作升级人员盗取或者破坏。

由于这一系列的担忧,客户拒绝我们的工程师进行软件的安装,升级,维护,而客户本身又不具备相应的技术能力,同时在系统产生故障问题的时候无法有效处理,导致用户体验极度下降。

解决方案

“观测云”本身是一个全面可观测平台,其本身是一个数据的接收端,并不需要本身访问任何的被监测对象,所有的监测对象均由DataKit进行数据打包,然后以客户端方式推送到“观测云”的中心的。因此,如果合理的构建安全的部署环境,将可以杜绝上述的安全风险,并且可以让客户完全将产品的维护管理更新交由我们完成,使得客户完整的体验如SaaS般的使用体验,无需关注系统部署问题。

独立云账号方式(推荐):

在一个独立的云平台上开通一个专门的部署“观测云”的账号,实现与客户生产或测试环境的完全隔离,即物理上(逻辑物理上)保证了当我们的工程师在维护管理更新“观测云”产品时无法将“观测云”相关服务器作为跳板机攻击客户的业务网络。由于“观测云”的架构特性,使得只需要客户的内网需要观测的对象通过DataKit可以将数据传输到这个“观测云”的DataWay上即可,即保证Datakit到中心部署的DataWay单向TCP可连接。

VPC隔离方式

在同一个云平台账号上开启独立的VPC,将“观测云”部署到这个独立的VPC下,并且涉及相应的路由规则保证核心系统的Datakit可以单向访问独立VPC下部署的DataWay即可。同时开通一个独立的RAM账号,将该独立VPC下所有的云资源授权给该RAM账号。

物理网络隔离方式

通过物理网络的iptable或安全组的方式,控制部署“观测云”的集群无法访问其他内网服务器,并只开放“观测云”中的DataWay的端口给Datakit实现单向的TCP连接。

进一步的加强

上述三种方式已经能杜绝黑客入侵“观测云”后,或者不良工程师在维护“观测云”时向核心业务系统发起攻击的情况。但如果需要保护“观测云”平台,并且保护“观测云”平台中的数据,那么我们仍然需要进一步进行一定的强化配置。

开启云平台的操作审计功能

开启审计功能并将审计日志记录到“观测云”的一个审计工作空间中,即可知道通过RAM账号登陆到云控制台进行操作的所有行为,确保任何的维护管理行为在云控制台可审计。

开启堡垒机

所有的基于SSH登陆相关集群进行“观测云”集群管理的行为均通过堡垒机进行审计。

合理管控RAM账号和堡垒机账号

由客户的内部工程师把控当需要我们进行对系统更新管理时候才开放相应的RAM账号和开启堡垒机权限,并定期更新密码或秘钥,避免平时的系统密码泄露导致的入侵。

结论

综上所述,如果合理的采用部署方式,客户可以放心的将部署版“观测云”交给我们来进行全权的维护,无需担心任何的危险,将不可能发生。

文档评价

文档内容是否对您有帮助? ×