云遷移在網絡硬件設備的消亡下，將何去何從？Cloudflare 為您在線剖析！

事實證明，云遷移是降低基礎設施成本、提高數據和應用程序可用性以及增強運營敏捷性的有效策略。

不過，這種遷移極少能夠一步到位。許多大型組織發(fā)現自己混合部署了云和內部基礎設施，形成一種復雜的異構體：

這樣的混合基礎設施不一定是壞事，但確實帶來了麻煩。具體來說，它會造成各種網絡功能（例如 DDoS 緩解、負載平衡、防火墻和 VPN）留在本地的情況。

在以云為中心的世界中，這些網絡硬件設備不能勝任保護和加速關鍵基礎設施的任務。它們本身雜亂無章且成本高昂。一旦讓云加入進來，安全漏洞便會迅速出現，性能損失和其他支持挑戰(zhàn)也會隨之而來。

接下來 Cloudflare 將會帶您解讀在遷移到云服務的世界中維護網絡硬件的風險，并提供規(guī)避這些風險的策略。

網絡硬件設備具有多種特定功能，其使用方式在組織之間也有一定程度的差異。常見的例子包括：

這類硬件部署到本地時，所形成的架構通常會面臨四類風險：容量限制、高總體擁有成本、支持挑戰(zhàn)和安全漏洞。前兩類總是在某種程度上引發(fā)問題，后兩類則因為云遷移而加劇。

容量限制

鑒于網絡硬件設備的本質，在流量意外激增時，無論流量是否合法，都會使其不堪重負，這一點就不足為奇了。但近期的一些趨勢表明，達到這些極限是更為普遍的擔憂。

以 DDoS 緩解為例。據稱，史上最大的 DDoS 攻擊發(fā)生于 2020 年 2 月，最大容量達到 2.3 Tbps。這兩年內，其他攻擊則達到了 1.7 和 1.3 Tbps。 即便是市面上最先進的 DDoS 緩解硬件設備，這些攻擊造成的負擔均是它們承受能力的許多倍，這些硬件設備通常僅提供緩解此類攻擊所需容量的一小部分。

并非所有組織都會吸引如此規(guī)模的攻擊，但也不是所有組織都能夠或已經部署最先進的DDoS 緩解硬件。Cloudflare 的一項研究發(fā)現，2020 年第二季度大約 2.4% 的網絡層DDoS 攻擊最大規(guī)模超過 100 Gbps，這會讓許多所謂基于高容量硬件的緩解解決方案不堪重負。

此外，攻擊量還未算上可能同時到達數據中心的合法流量。如果規(guī)模較小的攻擊在高流量時段到達，其造成的流量激增仍可能足以使安全防護硬件超過其極限。

DDoS緩解只是本地硬件容量限制的一個例子。其他例子包括：

• 負載平衡器：獨立的本地負載平衡器很容易因合法流量猛然激增而超負荷。發(fā)生這種情況時, 可能需要很長時間才能置備和安裝額外硬件。替代方案是保持可應對最壞狀況的充足容量， 但這種方法需要組織以高昂代價持續(xù)運轉大量硬件。

• 虛擬專用網絡（VPN）: VPN 的使用變得更難提前預測。2020 年 5 月對美國雇主的一項調查發(fā)現，新冠肺炎疫情導致 53% 的全職員工居家辦公，相當于 2019年的 7 倍，其中 22% 的人預計疫情過后仍留在家里工作。如果這些遠程訪問的數量超過企業(yè)本地 VPN 的容 量，員工會面臨登錄困難、延遲的困擾，最終導致生產力下降。

面對這些問題，一種應對方法是購置更多、更新、更高容量的硬件。但這樣的方法會帶來許多其他問題。

擁有成本

與容量限制一樣，數據中心硬件價格昂貴也不足為奇。例如，要獲得約 100 Gbps 的DDoS 緩解能力，所需硬件的前期投入可能介乎 40 萬到 50 萬美元。

而且，這些費用只是硬件設備總體擁有成本的一部分。還請考慮以下支出：

• 團隊成本：購買、運行和維護硬件以抵御 0SI 模型中每一層的威脅，并提供現代網站和互聯 網應用程序應有的性能和可靠性，這需要團隊成員在每一種網絡功能方面達到專家水平。組建具有如此廣度和專業(yè)知識的團隊是一項代價昂貴的提議。技能缺口也使它難以實現：2020 年的一項 ISACA 調查發(fā)現，有 62% 的公司反映其 IT 團隊人手不足。

• 維護成本：Forrester 在 2019 年發(fā)布的一份報告將已過三載的數據中心硬件定義為“老化”，但以上整個期間的保修通常需要額外支出。替代方案是由廠商或第三方進行計劃外——因此也沒有預算——的維修。硬件故障也可能導致數據中心停機，其平均機會成本在每分鐘 8,800 美元以上。

• 更換成本：倘若每三年更換一次硬件設備，組織不僅需要償還其初始投資，還要投入資源來運送和安裝新硬件。延遲更換通常會導致故障更加頻繁，進而造成維護成本增多。

云交付的網絡服務與這種模式形成鮮明對比。它們有可能通過一個更靈活的團隊來運行，不會產生維護和運輸成本，也不會迫使組織在代價高昂的升級和更頻繁的故障之間權衡取舍。

支持挑戰(zhàn)

為網絡硬件設備提供支持不僅是一項昂貴的提議，也是一個后勤上的挑戰(zhàn)。硬件需要經常打補丁, 才能應對最新的漏洞和攻擊手段，這一過程通常依靠手動實施，因此容易受到人為錯誤的影響。

組織使用的硬件設備越多，因為疏忽大意或擔心影響重要系統(tǒng)而最終疏于安裝補丁的幾率就越高。2020 年 6 月，因為有許多公司未能及時安裝 VPN 設備補丁，美國國防部下屬的網絡司令部不得不發(fā)出警告，指出漏洞有可能會被敵對國家利用。實際上，修補硬件的復雜性非常高, 以至于衍生了一整類幫助公司保持最新狀態(tài)的軟件。

并且，只是遺漏一個補丁的后果也可能非常嚴重。這不僅是因為硬件仍然存在漏洞，而且一旦發(fā)布了補丁，相應漏洞就會成為機會主義攻擊者更高調的目標。與之形成對比的是基于云的安全防護服務，后者默認自動修復漏洞并安裝更新，而且傳播時間可以短至  30 秒，具體因云提供商網絡速度而異。

硬件的其他維護挑戰(zhàn)包括：

• 故障排除：在僅有硬件的場景中，故障排除通常會迫使 IT 團隊經歷一次艱辛的過程，逐一拔掉負載平衡器、防火墻和其他本地設備，如此才能發(fā)現問題所在。

  使用云服務會使此過程更加復雜。依賴硬件的組織往往通過集中式數據中心及其所有獨立設備來管理對這些服務的訪問。當員工無法訪問某項服務時，IT 團隊還要檢查一個額外位置來排查問題。在大型組織中，這種額外努力會迅速增長。2019 年的一項調查發(fā)現，員工超過 1000 人的公司平均訂閱 200 多個 SaaS 應用程序。

• 物理維護：當硬件設備發(fā)生損壞時，IT 團隊必須斷開其物理連接，訂購替換設備，測試并安裝到位。這又是一個艱難的過程。

安全漏洞

即使組織具備所需的資源來持續(xù)置備和維護最新、最大容量的本地硬件，所形成的基礎設施仍將面臨嚴重的安全缺陷，尤其是在云計算趨勢日益明顯的大環(huán)境中。

以員工訪問管理為例。盡管 VPN 硬件可以在遠程員工設備和運行于企業(yè)本地數據中心的應用程序之間建立加密隧道，但在建立此隧道后，它無法監(jiān)控和保護用戶活動。

如果員工的設備受到惡意軟件入侵，或者網絡釣魚攻擊竊取了他們的 VPN 憑據，則攻擊者或可利用該 VPN 連接來訪問各種敏感信息。網絡釣魚和惡意軟件繼續(xù)構成嚴重風險。2020 年 4 月，Google 報稱每天攔截 1800 萬與新冠肺炎疫情相關的惡意軟件和網絡釣魚電子郵件。（基于云的 VPN 也受到這個問題困擾，但事實依然是，單靠本地硬件無法對內部應用程序提供真正安全的遠程訪問。）

云服務和 SaaS 應用程序使以硬件為中心的基礎設施面臨更復雜的安全問題。以混合云模型為例，組織會同時運行本地和云基礎設施。組織無法簡單地將安全硬件運送給云提供商。如果想要繼續(xù)將本地硬件用于自己的數據中心，那么基礎設施的不同部分將受到不同方式的保護， 使安全團隊無法了解和控制即將到來的攻擊。

但若部署不周全，云網絡服務也會面臨自身的風險：

如果您對我們的產品感興趣，請點擊此處留下您的聯絡方式，讓我們的專業(yè)團隊幫助您更多了解 Cloudflare 如何為關鍵業(yè)務應用程序和網絡提供集成安全性、性能和可靠性。

我們的銷售團隊將會在第一時間與您取得聯系。完成后，您即可獲得我們提供的價值100美金的獎品：