如今云計算非常火,但在你把關鍵的業務系統外包到云端之前,不妨先審視安全方面的一些問題。
最關鍵的業務應用程序處理許多公司的人力資源、財務、信用卡及其他敏感數據。如果任何這些信息受到危及,就有可能纏身官司,貴公司的品牌形象就會受損。這個惡夢可能會導致客戶避免購買貴公司的產品或服務。那么,云計算如何能夠切實有效地保護敏感數據呢?
要把你的應用程序積極有效地推向云端,就要解決好以下三個方面:
- 建立第二層防火墻保護機制(深度防御);
- 分析應用程序的說明文檔,查明防火墻規則方面的新變化;以及
- 收集系統和應用程序的元數據,以便實現平滑遷移。
不妨先從深度防御開始說起。
首先,應當把敏感數據放在主企業防火墻后面的第二層防火墻段。這第二層防火墻和相應網絡把敏感的應用程序及其數據保護起來,以免萬一面向互聯網的防火墻被突破后,很容易被人訪問。比如說,不妨看一下雜貨店。至少部署四個防火墻段/網段是明智之舉:一個段用于保護人力資源數據,一個段用于保護財務數據,一個段用于保護信用卡PCI(支付卡行業)數據,還有一個段保護其他段共享的服務。含有共享服務的段可能含有常用的支持服務,比如網絡和系統管理、加密和公鑰基礎設施(PKI)功能、訪問控制服務以及安全事件管理功能。
保護企業避免內部竊取數據的另一層架構機制就是建立隧道訪問協議(Tunneling Access Protocol)。隧道訪問協議是一種訪問控制功能,迫使所有管理員在針對段內系統執行管理任務之前,把相關信息記入日志。因此,所有管理員訪問都被跟蹤,從而防止內部竊取信息。
需要解決的第二個方面是,需要進行分析,確保應用程序成功遷移到云端的第二層防火墻后面。我建議先從了解應用程序的設計文檔入手。設計文檔讓你全面了解哪些業務需要應用平臺、使用什么中間件、使用什么數據庫以及使用什么協議。它還常常含有邏輯架構。
關注與應用程序交互的所有系統顯得很重要。你的安全團隊會收集有關該應用程序的各種信息:什么數據是敏感數據、哪些工具如何用來加密數據;如果這是面向互聯網的應用程序,還有滲透測試結果。我還建議制作一份協議圖,表明所有服務器及其IP地址、所用的協議以及所用的協議(TCP或UDP)端口。這份網絡視圖具體表明了哪些服務器需要彼此通話,為此它們將使用哪些協議(端口)。未必要列入交換機、路由器及網絡基礎架構的其他組件,因為協議/端口就在它們上面運行。如果協議圖全面詳細,創建防火墻規則應該是很簡單的一個步驟。防火墻規則由源和目的地IP地址、所用協議以及在這些協議上運行的端口組成。
最后,我建議全面收集系統和應用程序的元數據。想成功移植應用程序,就需要做好這項工作。另外,如果你遇到了災難、業務中斷或想從云端撤下應用程序,就需要這些數據。每個防火墻段/網段都有相應的系統信息。所有應用程序共用相同的系統數據,比如相同的防火墻、路由器、交換機、加密算法(如果用于某個段中的所有應用程序)和存儲子系統。系統元數據包括廠商、型號、軟件版本及其他系統級配置數據。應用程序數據很相似,但它面對的是負載均衡器、加密方法、中間件、數據庫、服務器硬件和操作系統,以及在這些系統上運行的服務、協議和端口。應用程序元數據包括廠商、型號、軟件版本及其他應用程序配置數據。
下一個爭論的焦點是這些元數據應該存放在哪里。我建議把這些信息采用層次結構存放在輕型目錄訪問協議(LDAP)存儲庫中。我會在該目錄中建立兩個層:一個層名為段系統(Segment System),針對上述例子四個段中的每個段;后一個層名為應用程序(Application),面向某個段中的所有應用程序。這種結構能夠有系統性地收集所有元數據,以便敏感的云應用程序能夠快速部署。而最重要的是,它能夠把應用程序及/或段迅速部署到云端。
總之,遷移關鍵的云應用程序需要把數據放在第二層防火墻后面。常用服務存在于所有分段應用程序都能共享的其中一個段中。應用程序應根據所保護數據的類型,比如信用卡數據、財務數據、人力資源數據以及共享服務,放在不同的段中。應編制及/或審閱各種說明文檔,確保在第二層深度防御防火墻后面移植應用程序的工作順利進行。這些元數據是從分兩層的層次結構中收集而來的:按段劃分的常用系統,以及每個段中的不同應用程序。我建議將元數據保存在容易檢索的目錄中。
京公網安備 11010502049343號