IT泄密事件引起了公眾對(duì)云安全的擔(dān)憂。為了限制潛在的問(wèn)題,企業(yè)必須考慮治理方面的要求、工具、提供商及更多因素。
應(yīng)用程序和數(shù)據(jù)的安全性對(duì)任何企業(yè)來(lái)說(shuō)都極為重要,但責(zé)任卻不是平均分配的。因而,IT部門(mén)需要制定一項(xiàng)云安全戰(zhàn)略,明確企業(yè)的其余部門(mén)或人員需要遵守的合規(guī)政策或原則。
公有云消除了傳統(tǒng)數(shù)據(jù)中心的一部分基礎(chǔ)架構(gòu)和管理開(kāi)銷(xiāo),但滿足云治理需求的重?fù)?dān)仍然責(zé)無(wú)旁貸地落在IT部門(mén)的肩上。在不斷變化的云計(jì)算領(lǐng)域,建立一套類似日常流程,而非產(chǎn)品的管理模式很重要。
根據(jù)貴企業(yè)的數(shù)據(jù)位置、隱私性和治理要求來(lái)選擇云提供商,另外根據(jù)制定覆蓋整個(gè)企業(yè)的云治理戰(zhàn)略的最佳實(shí)踐來(lái)選擇云提供商,這對(duì)任何IT部門(mén)來(lái)說(shuō)是重要的考量因素。
云安全方面的挑戰(zhàn)
說(shuō)到云安全,大多數(shù)企業(yè)并不是非常清楚什么是事實(shí)、什么是虛構(gòu)。據(jù)Alert Logic公司的《2012年云安全狀況報(bào)告》聲稱,威脅活動(dòng)的多樣性并不如基礎(chǔ)設(shè)施的所在位置來(lái)得重要。攻擊在本質(zhì)上具有隨機(jī)性,所以可以從外面訪問(wèn)的任何系統(tǒng)(無(wú)論是企業(yè)系統(tǒng)還是云系統(tǒng))都有同樣的機(jī)會(huì)遭到攻擊。
該報(bào)告發(fā)現(xiàn),基于Web應(yīng)用程序的攻擊經(jīng)常襲擊服務(wù)提供商的環(huán)境和內(nèi)部環(huán)境,分別有53%的企業(yè)和44%的企業(yè)遭到此類攻擊。不過(guò),內(nèi)部環(huán)境受到的攻擊次數(shù)多于服務(wù)提供商環(huán)境,分別平均是61.4次攻擊和27.8次攻擊。相比服務(wù)提供商環(huán)境的用戶,內(nèi)部環(huán)境用戶也要受到明顯更多的蠻力攻擊。
2012年的這份報(bào)告在今天仍然有警示作用,近期索尼、家得寶和塔吉特等公司的數(shù)據(jù)泄密事件與云無(wú)關(guān)。大多數(shù)攻擊發(fā)生在傳統(tǒng)系統(tǒng)上,歸咎于老化的安全系統(tǒng)和暴露的安全漏洞。
云計(jì)算繼續(xù)變得越來(lái)越普及,實(shí)現(xiàn)的系統(tǒng)變得更復(fù)雜、更異構(gòu)時(shí),擁有行之有效的云安全戰(zhàn)略和技術(shù)具有的重要性大幅提升。
身份和訪問(wèn)管理(IAM)又稱為身份管理,它不是什么新技術(shù),但云計(jì)算的興起讓它登上了舞臺(tái)的中央。亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)等許多云提供商在默認(rèn)情況下徑直將IAM作為一項(xiàng)服務(wù)來(lái)提供。其他提供商要求客戶選擇和部署第三方IAM系統(tǒng)。
IAM 的概念很簡(jiǎn)單:提供一種安全方案和技術(shù),讓合適的人員可以以合適的理由,在合適的時(shí)間訪問(wèn)合適的資源。這個(gè)概念遵循這個(gè)準(zhǔn)則:任何系統(tǒng)和任何人都有身份,包括人員、服務(wù)器、設(shè)備、API(應(yīng)用編程接口)、應(yīng)用程序和數(shù)據(jù)。一旦身份進(jìn)行了驗(yàn)證,接下來(lái)只要定義哪些身份可以訪問(wèn)其他身份,并制定界定這些關(guān)系限制的政策。
一個(gè)例子就是,定義并存儲(chǔ)一組基于云的API的身份,這些API只被一批運(yùn)行某個(gè)應(yīng)用程序的智能手機(jī)所使用。這些API各自都有身份,智能手機(jī)、應(yīng)用程序和使用手機(jī)的人也都有身份。每當(dāng)與另一種資源進(jìn)行交互時(shí),IAM服務(wù)就會(huì)驗(yàn)證每個(gè)實(shí)體的身份。
IAM 的一個(gè)典例就是AWS版本,這是一種完全成熟的身份管理和安全系統(tǒng),它讓用戶可以控制對(duì)AWS云服務(wù)的訪問(wèn)。這個(gè)IAM讓你可以通過(guò)權(quán)限的方式,創(chuàng)建并管理AWS用戶和用戶組,權(quán)限允許或禁止對(duì)數(shù)據(jù)進(jìn)行訪問(wèn)。亞馬遜的IAM其好處在于,它能夠管理誰(shuí)能訪問(wèn)什么數(shù)據(jù)、在什么情況下訪問(wèn)。
行業(yè)的其他廠商
當(dāng)然,不是每個(gè)人都運(yùn)行AWS。幸好,許多新的IAM廠商致力于云,通常承諾同時(shí)提供身份管理和單點(diǎn)登錄服務(wù)。這些廠商包括Bitium、Centrify、Okta、OneLogin、Ping Identity和Symplified。
每家廠商對(duì)待云安全和IAM的方法各有不同,所以要結(jié)合你的具體要求來(lái)測(cè)評(píng)每個(gè)產(chǎn)品。選擇合適的云安全方案時(shí),一定要考慮到下列因素:
基于云的身份管理服務(wù)或其他安全服務(wù)與企業(yè)安全系統(tǒng)的整合。安全對(duì)云系統(tǒng)和非云系統(tǒng)來(lái)說(shuō)都應(yīng)該是系統(tǒng)性的。應(yīng)考慮同時(shí)滿足這兩套需求的產(chǎn)品?;谏矸莸陌踩?wù)的設(shè)計(jì)和架構(gòu)。有時(shí)候,安全服務(wù)可能來(lái)自你的云提供商。而在另外許多情況下,你不得不選擇并部署第三方安全工具。測(cè)試(包括“白帽”安全測(cè)試)很重要。測(cè)試結(jié)果在安全系統(tǒng)的實(shí)際有效性方面頗有說(shuō)服力。對(duì)于性能的影響。在一些情況下,安全會(huì)讓你的系統(tǒng)拖慢到影響生產(chǎn)力的程度。行業(yè)和需要遵守的所有必需的法規(guī)。英文原文:Devise-a-cloud-security-strategy-for-governance-needs