云計算實戰(zhàn):如何管理云端敏感數(shù)據(jù)
2011-02-14 14:18 比特網(wǎng)
導(dǎo)讀:如今云計算非常火,但在你把關(guān)鍵的業(yè)務(wù)系統(tǒng)外包到云端之前����,不妨先審視安全方面的一些問題。最關(guān)鍵的業(yè)務(wù)應(yīng)用程序處理許多公司的人力資源�、財務(wù)、信用卡及其他敏感數(shù)據(jù)����。如果任何這些信息受到危及,就有可能纏身官司����,貴公司的品牌形象就會受損。這個惡夢可能會導(dǎo)致客戶避免購買貴公司的產(chǎn)品或服務(wù)���。那么���,云計算如何能夠切實有效地保護敏感數(shù)據(jù)呢?
如今云計算非常火����,但在你把關(guān)鍵的業(yè)務(wù)系統(tǒng)外包到云端之前�,不妨先審視安全方面的一些問題��。
最關(guān)鍵的業(yè)務(wù)應(yīng)用程序處理許多公司的人力資源�、財務(wù)、信用卡及其他敏感數(shù)據(jù)�。如果任何這些信息受到危及,就有可能纏身官司��,貴公司的品牌形象就會受損���。這個惡夢可能會導(dǎo)致客戶避免購買貴公司的產(chǎn)品或服務(wù)����。那么�,云計算如何能夠切實有效地保護敏感數(shù)據(jù)呢?
要把你的應(yīng)用程序積極有效地推向云端,就要解決好以下三個方面:
- 建立第二層防火墻保護機制(深度防御);
- 分析應(yīng)用程序的說明文檔��,查明防火墻規(guī)則方面的新變化;以及
- 收集系統(tǒng)和應(yīng)用程序的元數(shù)據(jù)��,以便實現(xiàn)平滑遷移���。
不妨先從深度防御開始說起�����。
首先�,應(yīng)當(dāng)把敏感數(shù)據(jù)放在主企業(yè)防火墻后面的第二層防火墻段。這第二層防火墻和相應(yīng)網(wǎng)絡(luò)把敏感的應(yīng)用程序及其數(shù)據(jù)保護起來�����,以免萬一面向互聯(lián)網(wǎng)的防火墻被突破后�����,很容易被人訪問�。比如說���,不妨看一下雜貨店���。至少部署四個防火墻段/網(wǎng)段是明智之舉:一個段用于保護人力資源數(shù)據(jù),一個段用于保護財務(wù)數(shù)據(jù)����,一個段用于保護信用卡PCI(支付卡行業(yè))數(shù)據(jù),還有一個段保護其他段共享的服務(wù)�����。含有共享服務(wù)的段可能含有常用的支持服務(wù),比如網(wǎng)絡(luò)和系統(tǒng)管理��、加密和公鑰基礎(chǔ)設(shè)施(PKI)功能�����、訪問控制服務(wù)以及安全事件管理功能��。
保護企業(yè)避免內(nèi)部竊取數(shù)據(jù)的另一層架構(gòu)機制就是建立隧道訪問協(xié)議(Tunneling Access Protocol)����。隧道訪問協(xié)議是一種訪問控制功能,迫使所有管理員在針對段內(nèi)系統(tǒng)執(zhí)行管理任務(wù)之前�����,把相關(guān)信息記入日志��。因此��,所有管理員訪問都被跟蹤�����,從而防止內(nèi)部竊取信息。
需要解決的第二個方面是��,需要進行分析����,確保應(yīng)用程序成功遷移到云端的第二層防火墻后面。我建議先從了解應(yīng)用程序的設(shè)計文檔入手���。設(shè)計文檔讓你全面了解哪些業(yè)務(wù)需要應(yīng)用平臺���、使用什么中間件、使用什么數(shù)據(jù)庫以及使用什么協(xié)議����。它還常常含有邏輯架構(gòu)�����。
關(guān)注與應(yīng)用程序交互的所有系統(tǒng)顯得很重要���。你的安全團隊會收集有關(guān)該應(yīng)用程序的各種信息:什么數(shù)據(jù)是敏感數(shù)據(jù)��、哪些工具如何用來加密數(shù)據(jù);如果這是面向互聯(lián)網(wǎng)的應(yīng)用程序���,還有滲透測試結(jié)果�。我還建議制作一份協(xié)議圖�����,表明所有服務(wù)器及其IP地址���、所用的協(xié)議以及所用的協(xié)議(TCP或UDP)端口�����。這份網(wǎng)絡(luò)視圖具體表明了哪些服務(wù)器需要彼此通話�,為此它們將使用哪些協(xié)議(端口)���。未必要列入交換機��、路由器及網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的其他組件����,因為協(xié)議/端口就在它們上面運行�。如果協(xié)議圖全面詳細(xì)�,創(chuàng)建防火墻規(guī)則應(yīng)該是很簡單的一個步驟�。防火墻規(guī)則由源和目的地IP地址、所用協(xié)議以及在這些協(xié)議上運行的端口組成�����。
最后����,我建議全面收集系統(tǒng)和應(yīng)用程序的元數(shù)據(jù)。想成功移植應(yīng)用程序����,就需要做好這項工作。另外�����,如果你遇到了災(zāi)難��、業(yè)務(wù)中斷或想從云端撤下應(yīng)用程序�,就需要這些數(shù)據(jù)���。每個防火墻段/網(wǎng)段都有相應(yīng)的系統(tǒng)信息�。所有應(yīng)用程序共用相同的系統(tǒng)數(shù)據(jù),比如相同的防火墻���、路由器�、交換機�、加密算法(如果用于某個段中的所有應(yīng)用程序)和存儲子系統(tǒng)。系統(tǒng)元數(shù)據(jù)包括廠商���、型號���、軟件版本及其他系統(tǒng)級配置數(shù)據(jù)。應(yīng)用程序數(shù)據(jù)很相似��,但它面對的是負(fù)載均衡器�����、加密方法�、中間件、數(shù)據(jù)庫�����、服務(wù)器硬件和操作系統(tǒng)�,以及在這些系統(tǒng)上運行的服務(wù)���、協(xié)議和端口。應(yīng)用程序元數(shù)據(jù)包括廠商����、型號、軟件版本及其他應(yīng)用程序配置數(shù)據(jù)����。
下一個爭論的焦點是這些元數(shù)據(jù)應(yīng)該存放在哪里。我建議把這些信息采用層次結(jié)構(gòu)存放在輕型目錄訪問協(xié)議(LDAP)存儲庫中��。我會在該目錄中建立兩個層:一個層名為段系統(tǒng)(Segment System)����,針對上述例子四個段中的每個段;后一個層名為應(yīng)用程序(Application),面向某個段中的所有應(yīng)用程序�����。這種結(jié)構(gòu)能夠有系統(tǒng)性地收集所有元數(shù)據(jù)�,以便敏感的云應(yīng)用程序能夠快速部署。而最重要的是���,它能夠把應(yīng)用程序及/或段迅速部署到云端�。
總之�����,遷移關(guān)鍵的云應(yīng)用程序需要把數(shù)據(jù)放在第二層防火墻后面��。常用服務(wù)存在于所有分段應(yīng)用程序都能共享的其中一個段中�。應(yīng)用程序應(yīng)根據(jù)所保護數(shù)據(jù)的類型,比如信用卡數(shù)據(jù)����、財務(wù)數(shù)據(jù)、人力資源數(shù)據(jù)以及共享服務(wù)����,放在不同的段中。應(yīng)編制及/或?qū)忛喐鞣N說明文檔�,確保在第二層深度防御防火墻后面移植應(yīng)用程序的工作順利進行。這些元數(shù)據(jù)是從分兩層的層次結(jié)構(gòu)中收集而來的:按段劃分的常用系統(tǒng)��,以及每個段中的不同應(yīng)用程序�����。我建議將元數(shù)據(jù)保存在容易檢索的目錄中�����。
