云計算代表著業務功能的巨大變化,對一個機構的IT基礎設施來說更是如此。沒有人能比網絡管理者更能感受這種變化的影響了,因為他們的任務就是保證機構數據和網絡用戶的安全。
雖然共享數據、應用程序和IT基礎設施可以在成本和生產效率上帶來顯著的優勢,但是它們都只發生在企業防火墻和物理環境這一理想區域以外。作為一個網絡管理者,你在云計算實現過程中的任務是,在把數據、應用程序和基礎設施傳輸到云端之后,仍能確保用戶和數據的安全。雖然云服務提供商需要為企業數據安全承擔共同的責任,但最終企業安全的支持者(即網絡管理者)要對此負責。在這篇文章中,我們將針對基礎設施延伸進入云端的安全性問題,討論如何構建企業網絡。
在把任何數據或應用程序移動到云端之前,必須對內部網絡安全現狀進行評估。這是一個對網絡進行檢測的好時機,以此觀察網絡防護性能與你的數據策略(包括安全性、完整性和可用性)、法規要求以及行業最佳標準的匹配程度。
這種檢測帶來的好處很多。使用一個或多個免費商業網絡檢測工具肯定會發現實際情況比理想情況要更糟糕。一旦這些被更好的安全技術和改進程序所完善,那么就可以為網絡及其它所承載的設備、用戶和應用程序以及它所處理的流量確立一個合理的安全底線。在今后的檢測和安全配置檢查中可以參考這個底線,從而確定網絡安全在轉到云計算后會受到哪些影響。
其次,這也表明,理解云服務提供商的安全策略和程序是很重要的。關鍵是尋找一個既能夠滿足企業的安全要求,又能與防火墻防護能力相當的安全級別。為了避免混淆誰將對你數據安全的各個方面(如備份、訪問和數據損壞)負責,我將根據合同,明確應該由哪一方來負責遵守相關政策或標準。
根據云服務的傳輸方式,防火墻的設置可能需要調整。為了確保包括周邊防護(如IDS/IPS系統)在內的措施已經得到正確的調整,請與供應商緊密合作,因為供應商肯定具有處理各種可能的網絡安全配置問題的經驗。如果有必要,修改防火墻規則或者開放其他端口,必須確保每次進行這些改動都進行了另外一次網絡檢測,從而更新網絡安全底線。可以使用如Nmap這樣的工具來檢查,以確保只有合適的端口被開放,并且沒有任何授權或連接違反了安全策略。
每當一項新的服務被添加到網絡中,必須確保訪問權限和職責的充分隔離,防止個人可能有意無意地損壞公司數據。對賬戶和人力資源雇傭登記的權限進行審查非常必要,這可以確保權限仍然適當,而那些不再使用的賬戶也已得到終止。作為云計算的一部分,如果你對第三方(如,供應商和客戶)開放網絡訪問權限,那么任何網絡接入控制(NAC)系統配置也必需重新檢查。要確保當前NAC產品可以應付用戶的急劇增加。實際上,許多機構仍在尋找基于SaaS的NAC解決方案,從而確保可擴展性和互操作性。
因為云計算的應用會在一定程度上消除靜態數據和動態數據之間的差異,因此數據加密成為最重要的防護手段之一。本質上,加密的數據是受到保護的,因此即使受到其他服務的保護,所有的數據和通訊都將需要進行加密。此外,加密的數據不可讀取,減輕了對云端數據損壞的一些擔憂。數據加密還允許任務和數據的分離,因為密鑰控制著數據的訪問。我可能會使用諸如Wireshark這樣的分析軟件對網絡進行常規檢查,從而確保通信信道正在被加密。
最后,不要因為第一次開發實驗內部云和混合云,而害怕測試網絡的安全性。你可以采用與云計算供應商相同的方式來提供應用服務,而這只能在網絡周邊范圍內進行,或用有限的、非關鍵任務的功能來測試云供應商的實力從而進行實驗。我還建議你閱讀云安全聯盟發布的指南,這將有助于你了解云計算組織主要的關注領域。
然而,為云計算構建網絡只是第一步。為了使云計算真正成功,你需要確保當你開始運行云服務時,你的安全底線仍然能夠得到執行。你還需要適應和發展防御和安全技術,以便處理新的威脅。在下一篇文章中,我們將關注這些挑戰。
京公網安備 11010502049343號