我是一個年收入在10億美元以上的公司的CIO或CSO。在將公司的IT基礎(chǔ)設(shè)施放入云之前，哪些是我需要考慮的安全問題呢？讓我們列出以下安全問題：有哪些設(shè)備需要放入云中？敏感數(shù)據(jù)如何保護(hù)？如何升級加密算法？如何限制對于敏感數(shù)據(jù)的訪問？如何跟蹤關(guān)鍵系統(tǒng)數(shù)據(jù)？

假定每個公司都有相應(yīng)的防火墻和相關(guān)的網(wǎng)絡(luò)設(shè)備放在云供應(yīng)商的云環(huán)境中。每個部分都有他們支撐的不同應(yīng)用。因為其他公司也可能在同時使用這個云，他們可能會和我們共同使用防火墻設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、虛擬操作系統(tǒng)以及虛擬存儲。

首先先看一下云服務(wù)供應(yīng)商在現(xiàn)實中采用的安全限制。由于公司現(xiàn)有IT應(yīng)用在標(biāo)準(zhǔn)化方面的欠缺，可能很難將所有公司的基礎(chǔ)設(shè)施都部署到云中來。例如，我服務(wù)的一個客戶有一個主機解決方案是與Web服務(wù)集成到一起的。Web服務(wù)是與一個POS（銷售點）系統(tǒng)進(jìn)行接口的，并且是利用一個基于TCP/IP的專有端口與主機進(jìn)行通信。主機接收并存儲敏感的信用信息。對于這個解決方案來說，所有的POS方案、Web服務(wù)和TCP/IP的通信渠道都可以放入云中。大型主機的應(yīng)用程序、專有的存儲基礎(chǔ)設(shè)施，以及加密技術(shù)很難放入云中。大型主機應(yīng)用程序也可以進(jìn)行移植，但前提是需要一個艱難的重寫。如果沒有事先考慮到ROI（投資回報率），這樣做是不明智的。

第二個問題是訪問敏感數(shù)據(jù)。敏感數(shù)據(jù)是如何存儲到云中的呢？SAN（存儲區(qū)域網(wǎng)絡(luò)）子系統(tǒng)將數(shù)據(jù)分條存儲與不同的存儲陣列驅(qū)動中。用戶是否想要將敏感數(shù)據(jù)存儲在整個磁盤陣列中呢？我擔(dān)心的是一個數(shù)據(jù)庫、文件系統(tǒng)、磁盤或固態(tài)硬盤驅(qū)動器的損壞可能會蔓延到處于同一個子系統(tǒng)中共享數(shù)據(jù)的其他應(yīng)用程序。所以，我們需要想出一個辦法來隔離數(shù)據(jù)庫、文件系統(tǒng)或磁盤上的加密數(shù)據(jù)。數(shù)據(jù)之間的隔離將會減小數(shù)據(jù)損壞導(dǎo)致的惡果。

第三，針對存儲數(shù)據(jù)的加密算法如何更新？存儲在不同數(shù)據(jù)庫、文件系統(tǒng)中的加密數(shù)據(jù)需要進(jìn)行更新，因為隨著處理器速度的不斷增加，破解加密算法將變得更加容易。所以這類數(shù)據(jù)需要從一個舊的加密算法中破解出來，然后再用一個新的加密算法進(jìn)行加密。因為比較新的算法，新加密的數(shù)據(jù)可能會需要占用數(shù)據(jù)庫或文件系統(tǒng)更大的空間。這同樣需要進(jìn)行監(jiān)管。

接下來，我需要對存儲在云供應(yīng)商那里的應(yīng)用數(shù)據(jù)進(jìn)行非常細(xì)粒度的訪問控制。我希望能夠使用LDAP（輕量級目錄訪問協(xié)議）或者Active Directory來接口數(shù)據(jù)庫、文件系統(tǒng)或驅(qū)動器，只有來自云端的特定的人才能夠訪問這些數(shù)據(jù)。同時，我還希望云供應(yīng)商能夠提供一個針對所有云客戶的目錄分區(qū)，按照云客戶/細(xì)分部門/應(yīng)用/用戶這種順序來說明哪些人可以訪問不同的應(yīng)用程序數(shù)據(jù)庫、文件系統(tǒng)、磁盤或者固態(tài)硬盤驅(qū)動器。這種鎖定的訪問方式可以阻止未授權(quán)用戶或者管理員不當(dāng)?shù)拇嫒』蛟L問數(shù)據(jù)。

最后，我正在尋找一個地方來保存數(shù)據(jù)分段和元數(shù)據(jù)。這樣是為了讓客戶公司可以向云中存儲或者摘錄這些數(shù)據(jù)分段或應(yīng)用程序。我建議使用LDAP目錄或Active Directory來存儲云中客戶的元數(shù)據(jù)。云客戶可以在某些原因下，利用這種靈活性來提取某些應(yīng)用程序，并且改進(jìn)這些數(shù)據(jù)。云客戶也可以由于云供應(yīng)商的不足將這些數(shù)據(jù)分片和應(yīng)用程序從云中刪除。這個目錄元數(shù)據(jù)的層次結(jié)構(gòu)有一個給定的網(wǎng)絡(luò)分段，來定義虛擬防火墻、交換機、路由器和負(fù)載平衡器的元數(shù)據(jù)段。分段數(shù)據(jù)的子數(shù)據(jù)將成為每個數(shù)據(jù)段支撐的應(yīng)用程序的元數(shù)據(jù)。

總結(jié)一下，云計算只能包含使用共同標(biāo)準(zhǔn)的外包企業(yè)的應(yīng)用和基礎(chǔ)設(shè)施。存儲的敏感數(shù)據(jù)需要使用共同的加密算法、協(xié)議，并且他們的周圍有一個加密的數(shù)據(jù)保護(hù)邊界。對于存儲在數(shù)據(jù)庫或文件系統(tǒng)中的數(shù)據(jù)來說，加密算法需要有一個更新的途徑。敏感數(shù)據(jù)同樣也需要一個全局的云供應(yīng)商LDAP目錄或Active Directory目錄，此目錄定義了客戶端/系統(tǒng)/應(yīng)用/用戶這四項內(nèi)容，以此來定義誰可以訪問存儲在數(shù)據(jù)庫、文件系統(tǒng)、磁盤或固態(tài)硬盤中的應(yīng)用數(shù)據(jù)。最后，該目錄還需涵蓋包含云計算元數(shù)據(jù)的層次結(jié)構(gòu)，使用戶可以輕松的往云中添加應(yīng)用數(shù)據(jù)或從云中刪除數(shù)據(jù)。

標(biāo)簽： 安全 防火墻 防火墻設(shè)備 數(shù)據(jù)庫 通信 網(wǎng)絡(luò) 云服務(wù) 云計算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。