云服務(wù)供應(yīng)商如何在云中將敏感數(shù)據(jù)分成若干種類呢?Gregory Machler將對(duì)如何獲取元數(shù)據(jù)進(jìn)行講解。
關(guān)于云計(jì)算的介紹五花八門,但是在你將重要的業(yè)務(wù)系統(tǒng)交付給外包商,轉(zhuǎn)移到云中時(shí),我們還是先了解一些安全事宜吧。
最重要的商業(yè)應(yīng)用一般關(guān)系到人力資源,財(cái)務(wù),信用卡和其他敏感數(shù)據(jù)。如果這其中任意一類信息遭受損失,都可能導(dǎo)致公司與別人對(duì)簿公堂。而這將導(dǎo)致你失去本該屬于你的客戶。那么如何才能用云計(jì)算有效保護(hù)你的敏感信息呢?
以下三個(gè)方面應(yīng)該處理好以便將你的應(yīng)用有效地轉(zhuǎn)移到云:
創(chuàng)建一個(gè)次級(jí)防火墻保護(hù) (深層防御);
分析應(yīng)用文檔以確定新的防火墻規(guī)則更改;
保障傳送順暢的系統(tǒng)和應(yīng)用元數(shù)據(jù)的集合。
首先,我們看一看深層防御。將敏感數(shù)據(jù)放到位于公司主要防火墻之后的次級(jí)防火墻區(qū)域中。次級(jí)防火墻和響應(yīng)網(wǎng)絡(luò)會(huì)保護(hù)敏感應(yīng)用及其數(shù)據(jù),從而確保在面向web的防火墻被破壞的時(shí)候,使其不被其他人輕易訪問。例如,最好是部署四個(gè)以上的防火墻/網(wǎng)絡(luò)區(qū)域:一個(gè)用于存放人力資源的數(shù)據(jù),一個(gè)用來存放財(cái)務(wù)數(shù)據(jù),一個(gè)用來存放信用卡PCI數(shù)據(jù),另一個(gè)用來存放其他區(qū)域共享的服務(wù)。這個(gè)區(qū)域包含的共享服務(wù)可以是一些普通的支持服務(wù),如網(wǎng)絡(luò)和系統(tǒng)管理,加密和PKI功能,訪問控制服務(wù)和安全事件管理功能。
另一種架構(gòu)部署——隧道訪問協(xié)議,可以保護(hù)企業(yè)免遭內(nèi)部數(shù)據(jù)盜竊。隧道訪問協(xié)議時(shí)一個(gè)訪問控制功能,它可以讓管理員在區(qū)域系統(tǒng)上執(zhí)行管理任務(wù)時(shí)記錄信息。因此,所有的管理型訪問都會(huì)被追蹤,這樣就可以挫敗內(nèi)部信息的盜竊。
第二個(gè)要處理的地方是分析,此分析要能夠確定應(yīng)用是否被成功轉(zhuǎn)移到云中的次級(jí)防火墻。建議首先從應(yīng)用的設(shè)計(jì)文檔開始。它可以讓你從整體上了解哪些業(yè)務(wù)需要應(yīng)用來執(zhí)行,有哪些中間件被使用,哪些數(shù)據(jù)庫(kù)被使用以及有哪些協(xié)議被使用。通常它還包括一些邏輯架構(gòu)。
有必要將注意力放到與應(yīng)用互動(dòng)的所有系統(tǒng)上。你的安全團(tuán)隊(duì)會(huì)收集該應(yīng)用的各種信息:哪些數(shù)據(jù)時(shí)敏感的,什么樣的工具被用來加密,這些工具怎樣進(jìn)行加密,當(dāng)它是面向web的應(yīng)用時(shí)會(huì)有哪些滲透測(cè)試結(jié)果。同樣,我們建議創(chuàng)建一個(gè)協(xié)議表格來顯示所有服務(wù)器及其IP地址,所使用的協(xié)議以及端口使用的協(xié)議(TCP或UDP)。網(wǎng)絡(luò)視圖明確地顯示了哪些服務(wù)器可以彼此傳輸信息,它們又適合哪些協(xié)議。有必要將交換機(jī),路由和其他網(wǎng)絡(luò)架構(gòu)區(qū)域納入進(jìn)來,因?yàn)閰f(xié)議/端口只在它們之上運(yùn)行。如果協(xié)議表格很完整,那么創(chuàng)建防火墻規(guī)則就是很簡(jiǎn)單的事情。防火墻規(guī)則由源和目標(biāo)IP地址,所使用的協(xié)議,運(yùn)行于協(xié)議之上的端口組成。
最后,建議將系統(tǒng)和應(yīng)用元數(shù)據(jù)收集好整理在一起,以便更好地轉(zhuǎn)移應(yīng)用。另外,如果你遇到業(yè)務(wù)中斷等災(zāi)難或者其他要將你的應(yīng)用從云中轉(zhuǎn)出的行為,你都會(huì)需要這些數(shù)據(jù)。系統(tǒng)信息存在于每個(gè)防火墻/網(wǎng)絡(luò)區(qū)域上。所有的應(yīng)用都共享相同的系統(tǒng)數(shù)據(jù),如相同的防火墻,路由,交換機(jī),加密法則以及存儲(chǔ)子系統(tǒng)。系統(tǒng)元數(shù)據(jù)包括供應(yīng)商,模式,軟件發(fā)布及版本還有其他系統(tǒng)范圍內(nèi)的配置數(shù)據(jù)。應(yīng)用數(shù)據(jù)是類似的,但是它要處理加載平衡器,加密方法,中間件,數(shù)據(jù)庫(kù),服務(wù)器硬件和操作系統(tǒng)和服務(wù),協(xié)議以及運(yùn)行于這些系統(tǒng)之上的端口。應(yīng)用元數(shù)據(jù)包括供應(yīng)商,模式,軟件發(fā)布和版本以及其他應(yīng)用配置數(shù)據(jù)。
將元數(shù)據(jù)保存在什么地方是另一個(gè)存在爭(zhēng)議的問題。建議將這一信息保存在LDAP存儲(chǔ)的層級(jí)中。我們可以在目錄中創(chuàng)建兩個(gè)層級(jí):一個(gè)是“區(qū)域系統(tǒng)”,主要用于以上示例的四個(gè)區(qū)域;另一個(gè)稱為“應(yīng)用”,主要用于給定區(qū)域中所有應(yīng)用。這樣的分類排序有利于元數(shù)據(jù)的系統(tǒng)化管理,而敏感的云應(yīng)用也可以快速部署到位。最重要的是,它可以將應(yīng)用或區(qū)域快速部署到云中。
總而言之,轉(zhuǎn)移重要的云應(yīng)用涉及到將數(shù)據(jù)放到次級(jí)防火墻之后。普通的服務(wù)存在于所有分區(qū)應(yīng)用都共享的其中一個(gè)區(qū)域之中。應(yīng)用應(yīng)該位于單獨(dú)的分區(qū)中,而分區(qū)的依據(jù)則是按照受保護(hù)的數(shù)據(jù)類型來劃分,如信用卡數(shù)據(jù),財(cái)務(wù)數(shù)據(jù)和人力資源數(shù)據(jù)以及共享的服務(wù)。應(yīng)該創(chuàng)建各種文檔或?qū)彶楦黝愇臋n以確保次級(jí)防火墻之后的應(yīng)用可以順利轉(zhuǎn)移。收集的元數(shù)據(jù)來自二層架構(gòu):每個(gè)區(qū)域的普通系統(tǒng)和每個(gè)區(qū)域的不同應(yīng)用。建議將元數(shù)據(jù)保存在可以被很容易就檢索到的目錄中。
京公網(wǎng)安備 11010502049343號(hào)