网络基础设施面临的挑战

迁移到云的注意事项

云迁移极少能一步到位。能够采用单一云提供商的组织数量有限,更多的组织发现自己拥有公共云、私有云和本地基础设施的某种组合。

维持异构基础设施有多种充分的理由。对于支持这种基础设施的网络功能而言,情况则有所不同:

有点矛盾的是,保护和加速复杂云环境的混合方法实际上会产生性能问题、安全漏洞和支持挑战。为了避免这些问题,IT 和安全团队必须设法让这些网络功能尽可能无缝地协同工作。

安全和性能基础设施——模型和常见挑战

保护和加速混合云和多云基础架构通常需要以下一项或多项:

不幸的是,这两种方法都带来了相当大的挑战。

本地硬件设备的挑战

众所周知,数据中心硬件的拥有成本高昂且耗时。它还常常面临容量限制。例如,根据 Cloudflare 的一项研究,2020 年第二季度所有 L3/4 DDoS 攻击中,有 76% 每秒传送多达 100 万个数据包 (pps)。通常,1 Gbps 以太网接口的传输速率介乎 8 万到 150 万 pps。

假设该接口还传输合法流量,而且大多数组织的接口速率都小于 1 Gbps,您可以看到,即使这些数据包速率较“小”的 DDoS 攻击也可以轻松地弄垮互联网资产。另一种选择是为最坏的情况保持足够的容量,但这是一个昂贵的提议。

硬件也会造成安全漏洞。补丁和更新就是一个例子。补丁依赖于手动实施,并且可能由于后勤延迟或忘记而无法及时安装。而一旦补丁发布,相应的漏洞就会成为机会主义攻击者的高调攻击目标。

更重要的是,以混合云方式部署时,网络硬件设备会产生安全漏洞。在第三方云提供商中安装自己的硬件显然是不可能的。这意味着基础设施的不同部分以不同的方式受到保护,从而使安全和 IT 团队对传入攻击和合法流量的可见性和控制力度降低。

某些云解决方案的挑战

云服务的总拥有成本低于硬件,但如果部署不正确,它们会降低应用程序和网络的性能。例如,其中许多依赖于数量有限的专门数据中心——例如用于缓解 DDoS 的清理中心。如果您或您的最终用户不在这些数据中心之一附近,即使最终目的地就在附近,您的流量也必须经过长距离才能到达。

这种回程过程会明显增加延迟。组织对不同网络功能使用不同提供商时,问题会更为严重。如果流量必须在提供商之间跳跃,延迟可能达到数百毫秒。

为不同的功能使用不同的提供商也会带来支持方面的挑战。当出现问题时,很难判断哪个提供商是造成拥塞或中断的原因。此外,管理所有这些提供商所需的时间(以及成本)仍然很高。

组织如何应对这些挑战?

分布式云网络弥补安全漏洞并减少延迟

前面提到的用于保护和加速云基础设施的策略有几个弱点:

所有这些问题的解决方案是集成和全球覆盖——使这些网络功能在全球范围内尽可能无缝地协同工作。

在实践中,这通常意味着使用分布式云网络。分布式云网络是具有以下特性的网络:

分布式云网络通常依赖任播(Anycast) ,这是一种网络寻址和路由方法,其中传入的请求可路由到各种不同的位置,即“节点”。任播允许此类网络将传入流量路由到最近且能有效处理请求的网络——这是减少最终用户延迟的关键组成部分。

通过这样的互连、智能路由和冗余,不一致的控制、延迟和支持挑战等问题就不太可能阻碍云迁移了。

Cloudflare 的分布式云网络 在 100 + 个国家/地区的 200 个城市拥有数据中心,每个数据中心都能够执行防火墙规则、缓解 DDoS 攻击、流量负载平衡和缓存内容以快速交付给最终用户,以及其他能力。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。

进一步了解这个主题

阅读《网络硬件设备之死》(The Death of Network Hardware Appliances)白皮书,详细了解有关将网络功能从硬件迁移到云的安全策略。

获取白皮书