云服務(wù)供應(yīng)商如何在云中將敏感數(shù)據(jù)分成若干種類呢?Gregory Machler將對如何獲取元數(shù)據(jù)進(jìn)行講解。
關(guān)于云計(jì)算的介紹五花八門,但是在你將重要的業(yè)務(wù)系統(tǒng)交付給外包商,轉(zhuǎn)移到云中時,我們還是先了解一些安全事宜吧。
最重要的商業(yè)應(yīng)用一般關(guān)系到人力資源,財(cái)務(wù),信用卡和其他敏感數(shù)據(jù)。如果這其中任意一類信息遭受損失,都可能導(dǎo)致公司與別人對簿公堂。而這將導(dǎo)致你失去本該屬于你的客戶。那么如何才能用云計(jì)算有效保護(hù)你的敏感信息呢?
以下三個方面應(yīng)該處理好以便將你的應(yīng)用有效地轉(zhuǎn)移到云:
創(chuàng)建一個次級防火墻保護(hù) (深層防御);
分析應(yīng)用文檔以確定新的防火墻規(guī)則更改;
保障傳送順暢的系統(tǒng)和應(yīng)用元數(shù)據(jù)的集合。
首先,我們看一看深層防御。將敏感數(shù)據(jù)放到位于公司主要防火墻之后的次級防火墻區(qū)域中。次級防火墻和響應(yīng)網(wǎng)絡(luò)會保護(hù)敏感應(yīng)用及其數(shù)據(jù),從而確保在面向web的防火墻被破壞的時候,使其不被其他人輕易訪問。例如,最好是部署四個以上的防火墻/網(wǎng)絡(luò)區(qū)域:一個用于存放人力資源的數(shù)據(jù),一個用來存放財(cái)務(wù)數(shù)據(jù),一個用來存放信用卡PCI數(shù)據(jù),另一個用來存放其他區(qū)域共享的服務(wù)。這個區(qū)域包含的共享服務(wù)可以是一些普通的支持服務(wù),如網(wǎng)絡(luò)和系統(tǒng)管理,加密和PKI功能,訪問控制服務(wù)和安全事件管理功能。
另一種架構(gòu)部署——隧道訪問協(xié)議,可以保護(hù)企業(yè)免遭內(nèi)部數(shù)據(jù)盜竊。隧道訪問協(xié)議時一個訪問控制功能,它可以讓管理員在區(qū)域系統(tǒng)上執(zhí)行管理任務(wù)時記錄信息。因此,所有的管理型訪問都會被追蹤,這樣就可以挫敗內(nèi)部信息的盜竊。
第二個要處理的地方是分析,此分析要能夠確定應(yīng)用是否被成功轉(zhuǎn)移到云中的次級防火墻。建議首先從應(yīng)用的設(shè)計(jì)文檔開始。它可以讓你從整體上了解哪些業(yè)務(wù)需要應(yīng)用來執(zhí)行,有哪些中間件被使用,哪些數(shù)據(jù)庫被使用以及有哪些協(xié)議被使用。通常它還包括一些邏輯架構(gòu)。
有必要將注意力放到與應(yīng)用互動的所有系統(tǒng)上。你的安全團(tuán)隊(duì)會收集該應(yīng)用的各種信息:哪些數(shù)據(jù)時敏感的,什么樣的工具被用來加密,這些工具怎樣進(jìn)行加密,當(dāng)它是面向web的應(yīng)用時會有哪些滲透測試結(jié)果。同樣,我們建議創(chuàng)建一個協(xié)議表格來顯示所有服務(wù)器及其IP地址,所使用的協(xié)議以及端口使用的協(xié)議(TCP或UDP)。網(wǎng)絡(luò)視圖明確地顯示了哪些服務(wù)器可以彼此傳輸信息,它們又適合哪些協(xié)議。有必要將交換機(jī),路由和其他網(wǎng)絡(luò)架構(gòu)區(qū)域納入進(jìn)來,因?yàn)閰f(xié)議/端口只在它們之上運(yùn)行。如果協(xié)議表格很完整,那么創(chuàng)建防火墻規(guī)則就是很簡單的事情。防火墻規(guī)則由源和目標(biāo)IP地址,所使用的協(xié)議,運(yùn)行于協(xié)議之上的端口組成。
最后,建議將系統(tǒng)和應(yīng)用元數(shù)據(jù)收集好整理在一起,以便更好地轉(zhuǎn)移應(yīng)用。另外,如果你遇到業(yè)務(wù)中斷等災(zāi)難或者其他要將你的應(yīng)用從云中轉(zhuǎn)出的行為,你都會需要這些數(shù)據(jù)。系統(tǒng)信息存在于每個防火墻/網(wǎng)絡(luò)區(qū)域上。所有的應(yīng)用都共享相同的系統(tǒng)數(shù)據(jù),如相同的防火墻,路由,交換機(jī),加密法則以及存儲子系統(tǒng)。系統(tǒng)元數(shù)據(jù)包括供應(yīng)商,模式,軟件發(fā)布及版本還有其他系統(tǒng)范圍內(nèi)的配置數(shù)據(jù)。應(yīng)用數(shù)據(jù)是類似的,但是它要處理加載平衡器,加密方法,中間件,數(shù)據(jù)庫,服務(wù)器硬件和操作系統(tǒng)和服務(wù),協(xié)議以及運(yùn)行于這些系統(tǒng)之上的端口。應(yīng)用元數(shù)據(jù)包括供應(yīng)商,模式,軟件發(fā)布和版本以及其他應(yīng)用配置數(shù)據(jù)。
將元數(shù)據(jù)保存在什么地方是另一個存在爭議的問題。建議將這一信息保存在LDAP存儲的層級中。我們可以在目錄中創(chuàng)建兩個層級:一個是“區(qū)域系統(tǒng)”,主要用于以上示例的四個區(qū)域;另一個稱為“應(yīng)用”,主要用于給定區(qū)域中所有應(yīng)用。這樣的分類排序有利于元數(shù)據(jù)的系統(tǒng)化管理,而敏感的云應(yīng)用也可以快速部署到位。最重要的是,它可以將應(yīng)用或區(qū)域快速部署到云中。
總而言之,轉(zhuǎn)移重要的云應(yīng)用涉及到將數(shù)據(jù)放到次級防火墻之后。普通的服務(wù)存在于所有分區(qū)應(yīng)用都共享的其中一個區(qū)域之中。應(yīng)用應(yīng)該位于單獨(dú)的分區(qū)中,而分區(qū)的依據(jù)則是按照受保護(hù)的數(shù)據(jù)類型來劃分,如信用卡數(shù)據(jù),財(cái)務(wù)數(shù)據(jù)和人力資源數(shù)據(jù)以及共享的服務(wù)。應(yīng)該創(chuàng)建各種文檔或?qū)彶楦黝愇臋n以確保次級防火墻之后的應(yīng)用可以順利轉(zhuǎn)移。收集的元數(shù)據(jù)來自二層架構(gòu):每個區(qū)域的普通系統(tǒng)和每個區(qū)域的不同應(yīng)用。建議將元數(shù)據(jù)保存在可以被很容易就檢索到的目錄中。