【阿里云 MVP月度分享】如何快速搭建安全的混合云？

从行业内权威机构的调查分析报告看，混合云打消了企业的诸多顾虑又能充分的利用公有云的优势。做为当前一个非常好的平衡点，以混合的IT架构实现企业的业务结果，这种趋势正在急速增长，且会成为常态。

Gartner对混合云的定义：

“Hybrid IT is the result of combining internal and external services, usually from a combination of internal and public clouds, in support of a business outcome.” 

“混合IT架构是指结合内部和外部的服务,通常通过结合公有云和私有云，来实现业务结果。”

Gartner最新报告指出，云端运算使用增加，2016年是许多大型企业会开始投入混合云的关键年，至2017年年底，近半数以上的大型企业都会有混合云环境。混合云成为企业往云上迁移的必然选择：

混合云一般通过专线互联的方式将自建机房或者托管IDC和云服务的网络打通：

面临的安全挑战：

• 对传统IDC的安全体系比较熟悉，云上业务如何保证安全？
• 云上安全比云下有何差异？
• 如何统一管理云上和云下的安全系统？
• 混合云是一个复杂的系统，是否具备专业的管理员来避免可能造成的风险？
• 云下安全的投入上百万，每隔3-5年又要更新换代，是否有节省安全投资的办法？

为了避免在混合云环境中重复建设两套不同的安全体系，混合云的服务方式由原来自建机房中的服务和云上部署的服务同时对外提供访问，变更为所有外部的访问都通过云上服务输出。

为了在阿里云上快速搭建安全的混合云，建议的架构如下图所示：

架构搭建的步骤：

1. 将互联网出口应用全部署在阿里云，所有互联网的访问都必须经过阿里云。
2. 在IDC托管机房，只需要配置硬件防火墙用于安全域的隔离。
3. 在阿里云开启DDoS高防、WAF、安骑士等安全防护能力，堡垒机用于远程的安全运维。
4. 在IDC的服务器上部署安骑士agent，通过态势感知实现混合云安全的统一管理。

架构的特性：

• 统一管理混合云安全策略，减少运维成本和对线下安全硬件的投入。
• 通过阿里云的态势感知，全面监控到整个混合云的网络流量，并通过阿里云云盾的防护能力，实时拦截攻击和恶意访问。
• 节省客户在自建数据中心的安全投入，充分利用云的网络、资源的弹性能力，及云的安全能力。