每每談到云安全,人們通常會(huì)說(shuō)"云服務(wù)供應(yīng)商應(yīng)該怎樣做",因?yàn)閿?shù)據(jù)與應(yīng)用服務(wù)都由供應(yīng)商提供。不過(guò)企業(yè)也必須記住,作為云服務(wù)的用戶,他們也承擔(dān)著云安全的重要責(zé)任,在有些情況下甚至是最大的云安全責(zé)任。企業(yè)絕不要忘記,一旦發(fā)生安全事故,他們是第一時(shí)間面臨挑戰(zhàn)的,因?yàn)楫吘蛊髽I(yè)才是負(fù)責(zé)收集數(shù)據(jù)的實(shí)體。
其實(shí),云安全理應(yīng)是云服務(wù)供應(yīng)商和企業(yè)的共同責(zé)任。責(zé)任界限的劃分應(yīng)直接取決于企業(yè)所選擇的云服務(wù)模型,它們既可能是軟件即服務(wù)(SaaS),又可能是平臺(tái)即服務(wù)(PaaS),還可能是基礎(chǔ)架構(gòu)即服務(wù)(IaaS)。
作為一種極端服務(wù)模型,SaaS被看作是安全"黑匣子",在這種模型下,大多數(shù)的應(yīng)用安全活動(dòng)都無(wú)法被企業(yè)看到。IaaS則代表另一個(gè)極端,這時(shí)候,企業(yè)就成為了應(yīng)用、數(shù)據(jù)以及其他級(jí)別基礎(chǔ)設(shè)施的主要安全負(fù)責(zé)人。那么企業(yè)在云中應(yīng)該怎么做才能為云資源提供企業(yè)級(jí)安全保護(hù)呢?
集中管理
云架構(gòu)的基本前提是在企業(yè)外圍的數(shù)據(jù)和流程分配。每個(gè)基于云的服務(wù)都具有存在于企業(yè)外并最終不受IT部門(mén)直接控制的服務(wù)器。如果缺乏外圍限制訪問(wèn)的安全性,每臺(tái)服務(wù)器都需要控制自身資源的訪問(wèn)。一個(gè)企業(yè)使用的服務(wù)器多達(dá)數(shù)百臺(tái),甚至數(shù)千臺(tái),考慮通過(guò)IT管理每臺(tái)服務(wù)器的訪問(wèn)權(quán)限,這不現(xiàn)實(shí)。
管理服務(wù)器訪問(wèn)的可行方法是建立集中控制機(jī)制,通過(guò)用戶角色和數(shù)據(jù)類(lèi)型確定訪問(wèn)權(quán)限,然后將這些規(guī)則推送到基于云的服務(wù)。控制因素需要以數(shù)據(jù)本身為基礎(chǔ)而不是根據(jù)服務(wù)器的物理位置判斷。這是因?yàn)椋瑪?shù)據(jù)可經(jīng)常被遷移到提供訪問(wèn)的最適合位置,并且審計(jì)控制必須建立在數(shù)據(jù)基礎(chǔ)上,而不必考慮位置。
聯(lián)合身份管理
在分布式環(huán)境中維護(hù)通用用戶身份對(duì)維護(hù)有效的訪問(wèn)至關(guān)重要。因?yàn)閿?shù)據(jù)存儲(chǔ)在多個(gè)應(yīng)用程序訪問(wèn)的多臺(tái)服務(wù)器上,因此,無(wú)論位置和應(yīng)用程序如何,身份管理必須能分配并撤銷(xiāo)用戶權(quán)限。
聯(lián)合身份管理需要管理企業(yè)擁有和控制的內(nèi)部系統(tǒng)訪問(wèn)權(quán)限。企業(yè)還必須將同樣的權(quán)限等級(jí)應(yīng)用到訪問(wèn)計(jì)算資源(外部提供)的用戶。這種身份管理簡(jiǎn)化了過(guò)程,并允許企業(yè)控制內(nèi)部和外部應(yīng)用程序的訪問(wèn)權(quán)限。
了解廠商
云服務(wù)廠商通常會(huì)提供不同的服務(wù)級(jí)協(xié)議(Service-Level Agreements,SLA),其涵蓋了最常見(jiàn)的風(fēng)險(xiǎn)與合規(guī)問(wèn)題。IT部門(mén)有義不容辭的責(zé)任了解SLA未充分涵蓋哪些領(lǐng)域,并提供自己的緩解流程或與廠商合作縮小標(biāo)準(zhǔn)產(chǎn)品和所需企業(yè)保護(hù)之間的差距。政府法規(guī)十分重視合規(guī)和完全確保網(wǎng)絡(luò)安全保護(hù),在某些情況,這些法規(guī)提出了強(qiáng)制要求。
部署網(wǎng)絡(luò)入侵保護(hù)
網(wǎng)絡(luò)計(jì)算面臨的現(xiàn)實(shí)就是:數(shù)據(jù)盜竊分子在未來(lái)會(huì)一直存在,并會(huì)對(duì)現(xiàn)有的機(jī)會(huì)加以利用。運(yùn)行多個(gè)分布在廣泛地區(qū)的多個(gè)計(jì)算資源變得日益復(fù)雜,這使得有效防御構(gòu)建十分困難。不存在保護(hù)企業(yè)系統(tǒng)的單一方法,IT部門(mén)需要執(zhí)行所有正規(guī)預(yù)防措施,以保持系統(tǒng)定期更新,從而應(yīng)對(duì)新發(fā)現(xiàn)的威脅媒介。
使用知名度較高的工具尤為重要,因?yàn)檫@些工具在現(xiàn)有簽名病毒檢測(cè)工具的基礎(chǔ)上增加了警報(bào)層。此外,云系統(tǒng)附加允許個(gè)人將企業(yè)網(wǎng)絡(luò)連接到未審查的服務(wù)。某些白名單服務(wù)還能幫助防止流氓服務(wù)取得網(wǎng)絡(luò)訪問(wèn)權(quán),并注入漏洞利用。
保護(hù)企業(yè)數(shù)據(jù)一直以來(lái)都是一個(gè)挑戰(zhàn),而當(dāng)今基于云的基礎(chǔ)設(shè)施更加復(fù)雜化。安全專(zhuān)業(yè)人員需要了解企業(yè)的連接網(wǎng)絡(luò),并將最佳資源部署到位,以保護(hù)資源安全。IT部門(mén)可以與其它服務(wù)提供商合作,定期更新硬件,并開(kāi)發(fā)整個(gè)企業(yè)范圍的服務(wù)器管理策略,從而減少網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的安全隱患數(shù)量。
京公網(wǎng)安備 11010502049343號(hào)