簡述:
長久以來,IT組織的重點目標之一便是強化身份管理技術及相關流程,而云計算所帶來的安全風險無疑使這個目標不進反退。
公司可以將目錄服務驗證擴展到企業(yè)環(huán)境外,以處理云服務中的應用程序或系統(tǒng),可是如果第三方系統(tǒng)受到攻擊,驗證系統(tǒng)也可能會連帶地受到攻擊。企業(yè)也可采用新的解決方案:在云服務和現(xiàn)有基礎設施之間設置隔離帶,這種方法的缺點是企業(yè)將不得不整合多種身份管理和訪問管理系統(tǒng),因此這種繁瑣的替代方案不具吸引力。
幸運的是,某些云供應商開始著手解決這個問題。谷歌提供的新功能可以將谷歌應用程序整合進現(xiàn)有的單點登錄工具,既提高了安全性又簡化了管理流程。我們采訪的一家企業(yè)部署了先進的驗證服務器,從而云系統(tǒng)就可通過輕量級目錄訪問協(xié)議(LDAP)進行驗證。另一家企業(yè)將其基于網(wǎng)絡的驗證協(xié)議進行擴展,使之能與外部來源協(xié)同工作,并通過網(wǎng)絡服務,使用內(nèi)部托管系統(tǒng)對云服務進行驗證。
數(shù)據(jù)遷移應注意數(shù)據(jù)的丟失與備份
數(shù)據(jù)存放在何處?哪些人有權訪問?數(shù)據(jù)安全嗎?這些都是大問題,因為除了軟件即服務(software as a service,SaaS)供應商之外,云服務供應商很少具備長期處理敏感數(shù)據(jù)的經(jīng)驗。一般說來,數(shù)據(jù)在云服務中是共享存儲的,因此具有潛在危險。其實,我們就是把數(shù)據(jù)存放在公司內(nèi)部也是有風險的,更別提云服務了。我們經(jīng)常對企業(yè)內(nèi)數(shù)據(jù)訪問的風險/利益進行評估,這種方法同樣也可套用到云服務上,判斷可將那些數(shù)據(jù)轉移到云服務中,以及如何保護數(shù)據(jù)。這就需要我們了解并核實供應商的標準,搞清楚是否可以對它們進行修改。
在使用云服務(如亞馬遜公司的彈性計算云)時,企業(yè)可對虛擬實例中運行的操作系統(tǒng)、應用程序或數(shù)據(jù)庫管理系統(tǒng)進行數(shù)據(jù)加密。在使用其他服務(如應用程序托管)時,IT組織需要在開發(fā)程序時多留個心眼,確保在程序中內(nèi)置安全措施(比如說數(shù)據(jù)加密)。
不論數(shù)據(jù)存放在何處,企業(yè)都應該慎重考慮數(shù)據(jù)丟失風險。亞馬遜公司明白電腦會時不時發(fā)生故障,所以它建議客戶通過冗余和備份計劃應對電腦故障。有些云供應商提供備份服務或數(shù)據(jù)導出功能,這樣企業(yè)就可以自行創(chuàng)建數(shù)據(jù)備份;另一些供應商則要求客戶使用企業(yè)自行開發(fā)或第三方開發(fā)的備份程序。
數(shù)據(jù)遷移請注意以下關鍵問題
如何進行備份?有些云供應商會進行數(shù)據(jù)備份,但多數(shù)情況下你得自己進行備份。很多亞馬遜EC2的客戶利用該公司的簡單存儲服務(Simple Storage Service)或彈性塊存儲服務(Elastic Block Storage)來存放備份文件。
可以對備份進行測試嗎?如果云服務發(fā)生故障無法使用時,企業(yè)能訪問備份文件嗎?
備份文件放在何處?它既可以存放在供應商托管的云存儲系統(tǒng)中,也可以轉移到企業(yè)自己的基礎設施里。無論如何,你得確保備份數(shù)據(jù)在儲存和轉移時受到嚴密保護。
數(shù)據(jù)遷移后的管理和監(jiān)控
企業(yè)的信息安全團隊花費大量時間監(jiān)控漏洞郵件列表,給系統(tǒng)打補丁,有時還要重寫代碼修補漏洞。在使用云服務時,他們相信云供應商也會盡力盡責地這么做。很少有廠商會向客戶提供驗證其安全措施的方法。在使用云系統(tǒng)(比如Joyent或亞馬遜公司的EC2)時,企業(yè)可在操作系統(tǒng)、數(shù)據(jù)庫和應用程序層上應用安全措施,但歸根結底他們還是得依靠供應商來保證網(wǎng)絡、存儲和虛擬基礎設施的安全。
雖然云服務的客戶不能親自給系統(tǒng)打補丁或者監(jiān)控漏洞,但它們?nèi)匀灰M力自行管理風險。企業(yè)必須評估哪些資產(chǎn)需要得到保護,并摸索出保護這些資產(chǎn)的方法,比如說,在云基礎設施周圍設置分層安全防護措施。即便如此,支付卡行業(yè)(Payment Card Industry,PCI)數(shù)據(jù)安全標準之類的法規(guī)仍然可能出乎人們的意料之外:PCI委員會并未說明應該將云供應商劃入哪個類別,因此不同的審計員可能會對同一個問題有著截然不同的處理方法。
客戶必須要求云服務供應商提供監(jiān)控功能,這樣他們才能夠監(jiān)控訪問數(shù)據(jù)的人員。如果企業(yè)需要詳細的審計跟蹤信息,它們得對數(shù)據(jù)進行加密,或者只將那些不接觸敏感數(shù)據(jù)的應用程序設置在云服務中。
該領域可能很快就會出現(xiàn)巨大進展。2008年年底,谷歌宣布其應用程序通過了SAS 70 Type II的安全流程審查。我們希望能看到更多的供應商將安全標準作為賣點,因為正是由于安全問題,企業(yè)才對是否將應用程序轉移到云服務中感到猶豫不決。
本文由專業(yè)服務器租用——騰佑科技(http://m.mubashirfilms.com)提供。
騰佑科技(m.mubashirfilms.com)成立于2009年,總部位于河南鄭州,是一家集互聯(lián)網(wǎng)基礎設施及軟硬件于一體化的高新技術企業(yè),具有IDC/ISP/ICP/云牌照、雙軟等資質,并擁有多個國家版權局認證。公司自成立以來,一直致力于發(fā)展互聯(lián)網(wǎng)IDC數(shù)據(jù)中心DataCenter、云計算Cloud、大數(shù)據(jù)BigDate、人工智能AI、內(nèi)容加速CDN、互聯(lián)網(wǎng)安全、軟件定制開發(fā)等產(chǎn)品服務及行業(yè)客戶技術一體化智能解決方案;2018年成為百度智能云AI河南服務中心。
售前咨詢熱線:400-996-8756
備案提交:0371-89913068
售后客服:0371-89913000
搜索詞