摘要:聽過這種視角��,關(guān)注云數(shù)據(jù)安全意味著確定一種可接受的風險����。對于云計劃者而言��,獨立審計是另一個需要考慮的內(nèi)容��,也是研究云數(shù)據(jù)安全的一個選項�����。
?????? 一個安全問題的建議已經(jīng)足以摧毀一個云項目����,或者是讓整個云計劃流程和計劃者不受信任����。為了避免這些事情,企業(yè)必須從一種相對安全的角度開始�,關(guān)注新風險的管理�,并理解風險的可接受度。
企業(yè)在一中理論的環(huán)境中對云安全進行評估時����,大多數(shù)的問題都會出現(xiàn)。少數(shù)業(yè)務會著眼于在云端運行一個完全新的應用;他們期望遷移現(xiàn)有的應用�����。這也意味著他們不應該將安全看作是應用的全部,而是他們目前的數(shù)據(jù)中心托管相對的云安全���。
聽過這種視角���,關(guān)注云數(shù)據(jù)安全意味著確定一種可接受的風險。安全管理和所有形式的風險管理一樣��,是一種和成本比較的風險權(quán)衡����。這對于衡量目前運
行在當下數(shù)據(jù)中心的應用相關(guān)的風險而言很重要,而且擔心云風險要比已經(jīng)接受的風險大多了��。這樣做將確保云安全成本不會破壞云端業(yè)務用例��,有時候這些事情很
容易發(fā)生�。
傳統(tǒng)上應用在三個層級上是安全的:網(wǎng)絡攔截、應用訪問和物理數(shù)據(jù)安全�。研究每一個項目,關(guān)注云可能會改變目前的哪些現(xiàn)有流程���。
網(wǎng)絡攔截����。網(wǎng)絡攔截是一種未授權(quán)人通過監(jiān)控網(wǎng)絡流量查看機密數(shù)據(jù)的風險。攔截風險在應用通過無線�、3G或者4G進行無線訪問應用時是風險較高
的,但是在大多數(shù)情況下���,將云轉(zhuǎn)移到云端并不會改變無線的使用���。如果企業(yè)期望基于云的應用更多地通過共有Wifi熱點訪問,SSL加密應該能夠保護整個信
息流����。對于通過瀏覽器訪問的應用,提供一種安全的HTTP URL�,但是要記住應用使用自定制客戶端軟件可能必須修改接受SSL加密連接。
秘鑰管理是確保云端應用安全的較大問題�。大多數(shù)通用實踐是在應用鏡像中存儲一個應用的安全密鑰。如果在云應用中使用�,這個密鑰就會成為存儲在云
提供商中的機器鏡像的一部分,可能會被某些訪問機器鏡像存儲的人竊取�����。使用公共密鑰存儲服務或者技術(shù)��,要確保密鑰永遠不會用應用代碼或者數(shù)據(jù)存儲在云端���。
應用訪問���。云端訪問安全是一個關(guān)注重點,但是通常并不是增量的風險��。如果用互聯(lián)網(wǎng)訪問應用��,通過互聯(lián)網(wǎng)訪問云端同樣的應用不會增加風險���,當然假定可以管理SSL和加密密鑰����。如果試圖用虛擬私有網(wǎng)絡訪問替代內(nèi)部互聯(lián)網(wǎng)訪問���,可能會出現(xiàn)問題����,尤其是創(chuàng)建互聯(lián)網(wǎng)VPN�。
互聯(lián)網(wǎng)VPN通常使用IPsec加密系統(tǒng),不同于SSL���,它創(chuàng)建了一個用戶社區(qū)��,這些流量通過軟件或者硬件在用戶和網(wǎng)絡之間加密或者解密�����。企業(yè)
在自己的內(nèi)部VPN使用IPsec時�����,對于云端并不會有額外的風險;然而��,云提供商通常不支持增加安全設(shè)備到其云數(shù)據(jù)中心中�����,因此軟件設(shè)備可能需要支持
IPsec
VPN連接到每一個云應用上�����。典型的�,這將會成為每一個應用的機器鏡像的一部分,一種中間件���。檢查目前的IPsec提供商����,確保有一個和云兼容的
IPsec代理可用�。
物理數(shù)據(jù)安全。物理數(shù)據(jù)安全是大多數(shù)用戶最關(guān)心的�����,也是計劃者最難解決的一個問題�。如果機密信息存儲在云端,驗證云提供商的安全認證就很關(guān)鍵�。
有很多云安全法規(guī)框架,最著名的的云安全聯(lián)盟(CSA)開放認證框架(OCF);然而�,并沒有發(fā)展成熟。如果你計劃將機密信息存儲在云端�����,確保你的提供商
提供的是哪一種框架�,以及是否很好的符合你的需求。對于計劃者較大的問題是確定是否云提供商的礦建支持你的法規(guī)遵從指南和治理規(guī)則�,這些應該有企業(yè)的內(nèi)部
審計員或者法規(guī)部門完成復核。
減少云項目中的物理安全問題很有必要����,主要通過排除將機密數(shù)據(jù)存儲在云端�����。如果應用使用結(jié)構(gòu)化數(shù)據(jù)(DBMS/RDBMS查詢流程)�,而不是塊級I/O�,就有可能將應用轉(zhuǎn)移到云端,同時數(shù)據(jù)在內(nèi)部存儲���。
對于云計劃者而言����,獨立審計是另一個需要考慮的內(nèi)容���,也是研究云數(shù)據(jù)安全的一個選項���。企業(yè)服從于嚴格的法規(guī)需求可能需要一個獨立資源的云戰(zhàn)略認
證。如果企業(yè)內(nèi)部IT有一個法規(guī)遵從審計公司��,這個公司很能是最安全的云法規(guī)和安全審計公司��。如果你沒有����,就要做一個云提供商和安全法規(guī)遵從審計公司要求
的矩陣���。找出較佳的三個,并向其尋求競價��。
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/4051.html
