在谈到公共云时,我总是喜欢与 OSI 模型进行类比。
“开放系统互连模型(OSI 模型)是一个概念模型。计算系统之间的通信分为七个不同的抽象层:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层”(维基百科)
OSI 模型的一个类似且较短的模型是TCP/IP 模型。
OSI 模型的第 6 层是表示层:
其中,我们可以在这一层发现数据加密。
在这种情况下,加密是关于静态加密——来自对象存储、块存储、文件存储和各种数据服务。
加密包括对称和非对称加密密钥、秘密、密码、API 密钥、证书等。
该过程包括加密密钥的生成、存储、检索和轮换。
OSI 模型的第 7 层是应用层:
在这一层中,我们可以找到与身份验证和授权相关的内容,或者整个身份管理。
身份管理是关于管理身份的整个生命周期——从最终用户、服务帐户、计算机帐户等。
该过程包括帐户配置、密码管理(和 MFA)、权限管理(角色分配),最后是帐户取消配置。
OSI 模型类比可帮助在审查云工作负载的架构时不会忘记任何重要方面。
将架构中的各种服务与 OSI 模型的不同层进行比较,自下而上:
· 网络连接和流量
· 加密(根据数据敏感度)
· 认证和授权(按照最小权限原则)