云計算遷移安全之策略:步步為營,有的放矢

責任編輯:editor008

2014-09-26 09:57:11

摘自:比特網(wǎng)

隨著云計算的深入應用,越來越多的企業(yè)開始向云計算遷移,然而,在遷移過程中會遇到很多問題,其中最主要的就是安全問題,在充分認識了云計算的安全風險和不安全因素之后

隨著云計算的深入應用,越來越多的企業(yè)開始向云計算遷移,然而,在遷移過程中會遇到很多問題,其中最主要的就是安全問題,在充分認識了云計算的安全風險和不安全因素之后,要可以步步為營,有針對性地逐一制定安全策略,有的放矢,保障云計算安全。下面列出了一些讓云計算更安全的方法和策略。

在向云計算遷移之前,做好充分地準備,進行充分地調(diào)查和評估。

通過可靠的安全標準對云服務提供商進行安全評估。規(guī)模最大且參與者眾多的安全標準機構(gòu)是CSA(CloudSecurityAlliance),即云安全聯(lián)盟。

當對云服務提供商進行評估時,如果云服務提供商能夠保證一個審計標準,這樣要好于只聽供應商一面之詞。

評估云服務提供商時,不要把重點放在SAS70認證上。

在對云服務提供商進行評估時,要對基于云的系統(tǒng)進行安全評估和審計,這個過程必須包括:網(wǎng)絡和系統(tǒng)漏洞評估、服務器/工作站/移動設備合規(guī)性評估、云/管理程序基礎設施評估。

企業(yè)用戶需要確保在服務水平協(xié)議中云服務提供商有自己的業(yè)務連續(xù)性、備份和災難恢復計劃,并確保該協(xié)議涵蓋恢復時間目標/恢復點目標(RTO/RPO)以及性能和帶寬基線要求。

在向云計算遷移之前,企業(yè)用戶需要考慮的因素有:企業(yè)用戶希望遷移到云中的應用程序的關(guān)鍵程度、合規(guī)問題、必需的服務水平、負載的使用模式,以及應用程序與其它企業(yè)功能的集成程度。

企業(yè)需要全面調(diào)查云服務供應商的安全技術(shù)和過程,并檢查云服務供應商如何保障企業(yè)數(shù)據(jù)及他們自己的基礎架構(gòu)的安全。企業(yè)尤其需要關(guān)注如下方面:

應用程序和數(shù)據(jù)的可移植性:供應商是否允許企業(yè)將現(xiàn)有的應用程序、數(shù)據(jù)和過程導出到云中?能輕松地將這些導回來嗎?

數(shù)據(jù)中心的物理安全性:云服務服務供應商如何從物理上保護其數(shù)據(jù)中心?他們使用哪種類型的數(shù)據(jù)中心?他們的數(shù)據(jù)中心操作員得到過怎樣的培訓,有什么技能?

訪問和操作的安全性:云服務供應商如何控制對物理機器的訪問?誰能夠訪問這些機器?它們?nèi)绾喂芾磉@些機器?

虛擬數(shù)據(jù)中心的安全性:云架構(gòu)是效率的關(guān)鍵。企業(yè)應當查明獨立的組件(如網(wǎng)絡節(jié)點、存儲節(jié)點等)是如何構(gòu)建的,還要調(diào)查這些組件的集成和安全保障方法。

應用程序和數(shù)據(jù)的安全性:云解決方案必須支持由企業(yè)自己定義組、角色,要有精細的基于角色的訪問控制,還要有正確的口令策略和數(shù)據(jù)(靜態(tài)數(shù)據(jù)和傳輸?shù)膭討B(tài)數(shù)據(jù))加密。

通過一些問題弄清楚云服務提供商安全控制架構(gòu)的具體情況,避免陷入云計算提供商們的“留客”陷阱。其中的問題包括:

企業(yè)用戶發(fā)送到云服務提供商處的數(shù)據(jù)到底該歸誰所有?企業(yè)用戶一定要在合同中注明,由業(yè)務流程生成的所有數(shù)據(jù)在協(xié)作周期內(nèi)都歸用戶方所有,這非常重要。

云服務提供商如何將數(shù)據(jù)返還給用戶?企業(yè)用戶需要在合同中明確數(shù)據(jù)應以哪類格式進行返還,而且返還的數(shù)據(jù)格式最好無論何時都能輕松使用。通過測試確保云服務供應商有能力滿足合同中的約定。

企業(yè)用戶能真正訪問數(shù)據(jù)嗎?如果數(shù)據(jù)本身經(jīng)過加密,企業(yè)用戶是否有權(quán)訪問加密密鑰?企業(yè)一定要通過測試確保自己對數(shù)據(jù)擁有訪問能力。

資源訪問如何處理?對于基礎設施即服務(IaaS)領(lǐng)域,當數(shù)據(jù)成為虛擬鏡像的一部分時,企業(yè)用戶需要確保自己同時擁有對應用程序與底層操作系統(tǒng)進行管理員級訪問的能力。

能否訪問用戶數(shù)據(jù)?如果云服務提供商打造了一套用于容納用戶信息的數(shù)據(jù)存儲體系(包括用戶ID、角色、權(quán)限以及身份驗證信息等),企業(yè)用戶自己也需要建立同樣的體系,確保自己有能力將包括用戶信息在內(nèi)的所有備份數(shù)據(jù)重新導入服務流程,因為這部分數(shù)據(jù)很可能被單獨保存在應用程序數(shù)據(jù)之外。

參考其他客戶的評價和意見。

對云服務進行反復測試。

選用適當?shù)脑颇J健?/p>

企業(yè)用戶需要將數(shù)據(jù)恢復時間、恢復點內(nèi)容以及數(shù)據(jù)完整性評估方法都列入服務水平協(xié)議中,并明確列出懲罰措施。

與云服務提供商簽訂的安全條款內(nèi)容應盡可能詳細,將防止未授權(quán)訪問、安全標準年度認證以及定期的漏洞測試等內(nèi)容都以明文的方式列入合同。

將云安全與企業(yè)自身的安全策略結(jié)合到一起。

在為云計算修改安全策略時,企業(yè)需要考慮的因素有:數(shù)據(jù)存儲在哪里、如何保護數(shù)據(jù)、誰可以訪問數(shù)據(jù)、合規(guī)問題、服務等級約定(SLA)等。

分析云API的安全性。通過云服務提供商的API文檔,確定其API安全性;通過安全的渠道保護傳輸?shù)陌踩?,如SSL/TLS或IPSec;進行身份驗證與授權(quán),可以通過提問一些問題來驗證,如:API可以管理用戶名和密碼的加密嗎?可以管理雙因素身份認證屬性嗎?可以創(chuàng)建并維護細粒度的授權(quán)策略嗎?內(nèi)部身份管理系統(tǒng)和屬性之間具有連續(xù)性嗎?以及內(nèi)部身份管理系統(tǒng)和云提供商提供的API擴展屬性之間具有連續(xù)性嗎?向云服務提供商提出要求,能夠?qū)PI進行滲透測試和漏洞評估。

許多云服務提供商為客戶提供利用API的訪問和身份驗證機制的加密密鑰,保護這些密鑰至關(guān)重要。

企業(yè)用戶必須確定數(shù)據(jù)的重要程度,并檢查用于數(shù)據(jù)傳輸?shù)募用芄ぞ呤欠癯墒臁?/p>

采取集中存儲數(shù)據(jù),讓有權(quán)限的人可以訪問它,無論員工是否離開公司。

避免將機密數(shù)據(jù)存儲在云端,關(guān)鍵性業(yè)務數(shù)據(jù)及規(guī)則性信息最好把握在自己手中。

對靜態(tài)的、使用中的和傳輸?shù)臄?shù)據(jù)進行加密。

企業(yè)應使用最強健的加密密鑰技術(shù),如同態(tài)密鑰管理來強化密鑰的安全,并保護好密鑰以及做好定期的備份。

在云加密問題上,企業(yè)必須負起責任,關(guān)鍵是定義哪些團隊應為數(shù)據(jù)的安全負責。

對于已經(jīng)實施了強加密的數(shù)據(jù)來說,企業(yè)應該僅允許有工作需要的員工訪問,而且要培訓這些員工如何訪問加密數(shù)據(jù),可以從什么地方訪問,并要求他們遵循安全規(guī)程。

IT部門需要提供簡單易用的工具來替代員工使用的不安全的共享工具來操作數(shù)據(jù)。

如果企業(yè)期望基于云的應用更多地通過共有Wi-Fi熱點訪問,SSL加密應該能夠保護整個信息流。

使用公共密鑰存儲服務或者技術(shù)時,要確保密鑰永遠不會用應用代碼或者數(shù)據(jù)存儲在云端。

將云存儲、數(shù)據(jù)加密和網(wǎng)站安全手段結(jié)合起來,可以為企業(yè)防御網(wǎng)絡威脅構(gòu)建強健的安全陣線。

每年對云服務提供商提供的服務進行第三方安全審計和認證,如果出現(xiàn)數(shù)據(jù)泄露事故,用戶有權(quán)終止云服務合同。

確定雙方的安全責任。

在云服務提供商由于失誤造成企業(yè)用戶的安全損失后,確定云服務提供商應該承擔什么責任。

D1Net評論:

對于云服務提供商而言,要銘記一點:盡量避免在云服務合同中承擔任何賠償責任,頂多是延長服務期限,在這種情況下,企業(yè)應該將抵償?shù)姆掌谙扪娱L到24-36個月,而不是常見的12個月。把握好這些策略之后,企業(yè)可以更加安全的向云技術(shù)遷移。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號