即便是對(duì)安全性問(wèn)題方面的一個(gè)小小建議也都足以讓一個(gè)云計(jì)算項(xiàng)目泡湯�����,并讓整個(gè)云計(jì)算規(guī)劃過(guò)程及其規(guī)劃者飽受質(zhì)疑����。為了避免出現(xiàn)這種情況,企業(yè)必須以辯證的方法來(lái)看待安全性問(wèn)題�����,集中精力加強(qiáng)對(duì)新風(fēng)險(xiǎn)的管理���,并從理念上理解可接受的風(fēng)險(xiǎn)等級(jí)�。
大多數(shù)問(wèn)題的發(fā)生都是由于企業(yè)是在理想情況下對(duì)云計(jì)算安全性進(jìn)行評(píng)估的����。很少有企業(yè)會(huì)考慮在云計(jì)算中運(yùn)行一個(gè)全新的應(yīng)用程序;他們往往會(huì)希望把一個(gè)現(xiàn)成的成熟應(yīng)用程序遷往云計(jì)算�。這就意味著��,他們并不會(huì)對(duì)應(yīng)用程序的安全性進(jìn)行完整的評(píng)估�,而是把云計(jì)算安全性與他們目前的數(shù)據(jù)中心托管安全性進(jìn)行類比�。
從這個(gè)角度來(lái)看,云計(jì)算數(shù)據(jù)安全性評(píng)估就是指確定可接受的風(fēng)險(xiǎn)���。如同其他所有類比的風(fēng)險(xiǎn)管理一樣�����,安全性風(fēng)險(xiǎn)管理是一個(gè)在風(fēng)險(xiǎn)與成本之間進(jìn)行權(quán)衡的過(guò)程�����。對(duì)你在現(xiàn)有的數(shù)據(jù)中心中運(yùn)行的現(xiàn)有應(yīng)用程序進(jìn)行風(fēng)險(xiǎn)評(píng)估并擔(dān)憂應(yīng)用程序在云計(jì)算中運(yùn)行的風(fēng)險(xiǎn)是非常重要的�,這是因?yàn)閼?yīng)用程序在云計(jì)算中運(yùn)行所帶來(lái)的風(fēng)險(xiǎn)往往會(huì)高于你所能接受的程度�����。此舉可確保與云計(jì)算安全性相關(guān)的成本支出不會(huì)導(dǎo)致云計(jì)算項(xiàng)目因財(cái)務(wù)原因而流產(chǎn)�����,其實(shí)在現(xiàn)實(shí)生活中��,這種情況發(fā)生的概率是比較高�����。
從傳統(tǒng)意義上進(jìn)行分類�����,應(yīng)用程序的安全性可分為三個(gè)層次:網(wǎng)絡(luò)攔截���、應(yīng)用程序訪問(wèn)和物理數(shù)據(jù)安全����。下面�����,我們將逐一進(jìn)行介紹�����,并重點(diǎn)關(guān)注其中云計(jì)算與目前程序的差異����。
網(wǎng)絡(luò)攔截�。網(wǎng)絡(luò)攔截是未授權(quán)方通過(guò)監(jiān)控網(wǎng)絡(luò)流量查看機(jī)密數(shù)據(jù)而存在的風(fēng)險(xiǎn)��。當(dāng)通過(guò)Wi-Fi��、3G或4G等無(wú)線方式訪問(wèn)應(yīng)用程序時(shí)�����,網(wǎng)絡(luò)攔截的風(fēng)險(xiǎn)是最高的��,但是在大多數(shù)情況下���,把應(yīng)用程序遷往云計(jì)算并不會(huì)改變使用無(wú)線技術(shù)的用例��。例如����,如果一家企業(yè)希望用戶能夠更多地通過(guò)公共Wi-Fi熱點(diǎn)訪問(wèn)基于云計(jì)算應(yīng)用程序���,那么就可以使用SSL加密技術(shù)以保護(hù)數(shù)據(jù)信息流。對(duì)于通過(guò)瀏覽器進(jìn)行訪問(wèn)的應(yīng)用程序��,就可提供一個(gè)安全的https URL�����,但是請(qǐng)注意,對(duì)于使用客戶端軟件的應(yīng)用程序��,可能必須對(duì)應(yīng)用程序進(jìn)行二次開(kāi)發(fā)以確保實(shí)現(xiàn)基于SSL加密技術(shù)的會(huì)話�����。
密鑰管理是確保云計(jì)算中應(yīng)用程序安全性的最大問(wèn)題�。最常見(jiàn)的做法就是把應(yīng)用程序的安全密鑰存儲(chǔ)在應(yīng)用程序鏡像中。如果是在云計(jì)算應(yīng)用程序中完成這一工作的�����,那么密鑰就成為了云計(jì)算供應(yīng)商所保留的機(jī)器鏡像的一部分����,從而也就存在被具有機(jī)器鏡像存儲(chǔ)設(shè)備訪問(wèn)權(quán)的惡意人士竊取的可能性。使用公共密鑰存儲(chǔ)服務(wù)或技術(shù)可確保云計(jì)算中的密鑰��、應(yīng)用程序代碼以及數(shù)據(jù)永遠(yuǎn)不會(huì)被竊��。
應(yīng)用程序訪問(wèn)��。云計(jì)算中的訪問(wèn)安全性通常也是一個(gè)廣受關(guān)注的重要問(wèn)題�,但事實(shí)上它完全不是一個(gè)日益嚴(yán)重的風(fēng)險(xiǎn)�����。如果你是使用互聯(lián)網(wǎng)訪問(wèn)你的應(yīng)用程序��,那么通過(guò)互聯(lián)網(wǎng)訪問(wèn)云計(jì)算中同樣的應(yīng)用程序就不會(huì)存在更多的風(fēng)險(xiǎn)�����,當(dāng)然其前提條件是你能夠如上所述正確地管理SSL和加密密鑰����。如果你打算使用虛擬專用網(wǎng)絡(luò)訪問(wèn)來(lái)代替互聯(lián)網(wǎng)訪問(wèn)�,尤其是創(chuàng)建一個(gè)互聯(lián)網(wǎng)VPN,那么就會(huì)出現(xiàn)新的挑戰(zhàn)����。
互聯(lián)網(wǎng)VPN通常會(huì)使用IPsec加密系統(tǒng),這是一種不同于SSL的安全技術(shù)�����,它會(huì)創(chuàng)建一個(gè)用戶群��,這個(gè)用戶群中用戶的數(shù)據(jù)流量都是通過(guò)他們與網(wǎng)絡(luò)之間的軟硬件進(jìn)行加密和解密處理的�����。當(dāng)企業(yè)在他們自己的內(nèi)部VPN上使用Ipsec技術(shù)時(shí)��,對(duì)于云計(jì)算是不存在任何額外安全性風(fēng)險(xiǎn)的�����;但是�,云計(jì)算供應(yīng)商們通常是不會(huì)支持在他們的云計(jì)算數(shù)據(jù)中心中增加安全設(shè)施的,因此就可能需要一個(gè)軟件以支持至每一個(gè)云計(jì)算應(yīng)用程序的IPsec VPN連接�����。一般而言�����,這可能是每個(gè)應(yīng)用程序機(jī)器鏡像的一部分���,是一種中間件����。請(qǐng)與你目前的IPsec供應(yīng)商確認(rèn),以確保你有一個(gè)云計(jì)算兼容的IPsec功能可以使用�����。
物理數(shù)據(jù)安全�����。數(shù)據(jù)資產(chǎn)的物理安全是絕大多數(shù)用戶所共同關(guān)心的最大問(wèn)題�����,同時(shí)這也是規(guī)劃者最難以解決的一個(gè)問(wèn)題�����。如果機(jī)密信息被存儲(chǔ)在云計(jì)算中�����,那么驗(yàn)證你的云計(jì)算供應(yīng)商的安全性資質(zhì)就是非常重要的了�。雖然已經(jīng)出現(xiàn)了大批的云計(jì)算安全合規(guī)性框架,如云計(jì)算安全聯(lián)盟(CSA)的開(kāi)放認(rèn)證框架(OCF)���;但問(wèn)題是�,這些框架都還未完全開(kāi)發(fā)完成。如果你計(jì)劃把機(jī)密信息存儲(chǔ)在云計(jì)算中�,那么你就需要確認(rèn)你的云計(jì)算供應(yīng)商提供何種框架以及這一框架是否能夠滿足你的實(shí)際需求。絕大多數(shù)的云計(jì)算項(xiàng)目規(guī)劃者所面臨的最大問(wèn)題就是確定云計(jì)算供應(yīng)商的框架是否支持你的合規(guī)性要求和政府法規(guī)���,這項(xiàng)審查工作應(yīng)由你的內(nèi)部審計(jì)或法務(wù)辦公室完成,如有必要可與政府監(jiān)管部門合作進(jìn)行�。
在云計(jì)算項(xiàng)目中,也許可以通過(guò)杜絕存儲(chǔ)機(jī)密數(shù)據(jù)而減少數(shù)據(jù)物理安全性問(wèn)題的產(chǎn)生���。如果應(yīng)用程序使用結(jié)構(gòu)化數(shù)據(jù)訪問(wèn)方法(DBMS/RDBMS 查詢處理)而不是塊級(jí)別的訪問(wèn)讀寫操作�����,那么就可以在把應(yīng)用程序遷往云計(jì)算的同時(shí)把數(shù)據(jù)儲(chǔ)存模塊保留在企業(yè)內(nèi)部�����。
獨(dú)立審計(jì)是云計(jì)算項(xiàng)目規(guī)劃者在研究云計(jì)算安全選項(xiàng)時(shí)另一個(gè)需要考慮的問(wèn)題���。嚴(yán)格遵循合規(guī)性需求的公司可能還需要擁有一個(gè)經(jīng)第三方認(rèn)證的云計(jì)算戰(zhàn)略。如果你有一家合規(guī)審計(jì)公司為你的內(nèi)部IT提供了到位的審計(jì)服務(wù)�����,那么這家公司很可能是你進(jìn)行云計(jì)算合規(guī)性和安全性審計(jì)的最佳選擇。如果你不這么做����,那么列出一份他們推薦的云計(jì)算供應(yīng)商和安全合規(guī)性審計(jì)公司的名單。先按照這些公司的表現(xiàn)選出前三名�,然后聯(lián)系這三家公司進(jìn)行項(xiàng)目競(jìng)標(biāo)。
來(lái)源: CIO時(shí)代網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品����,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力��。凡轉(zhuǎn)載文章��,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)��。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056�����。
延伸閱讀
