假設一個組織之前已經(jīng)成功地使用著云服務���,把某些對于組織不那么重要的功能外包出去����,如果一直以來的使用體驗都很好����,那么他們就會很自然地考慮下一步把一個或多個企業(yè)應用遷移至云計算環(huán)境。
但是���,把應用遷移至云計算是需要經(jīng)過仔細規(guī)劃的����,尤其是對于應用與其數(shù)據(jù)的安全性方面更應謹慎。當我們在規(guī)劃云計算應用遷移工作時��,首先分析和制定出應用的安全需求是非常重要的��。在本文中���,我們將解釋如何開展安全分析工作以確保在云計算遷移規(guī)劃中充分考慮到應用安全性的問題�����。
配置文件中的組件
一個應用的安全配置文件是對應用安全特性的詳細分析。該配置文件提供了對關(guān)鍵安全功能的全面審計��,并涉及了與應用相關(guān)的各種安全屬性——例如加密����、訪問控制、錯誤日志記錄和處理等等����。
配置文件應當包括如下的信息:
· 執(zhí)行摘要:解釋配置文件的目的和范圍,還詳細描述了應用的配置及其安全屬性��。
· 安全參數(shù):標示用于歸類應用安全等級的度量。
· 分析結(jié)果:提供對每個安全標準分析結(jié)果的解釋�����,以及它們是如何與應用的保密性����、完整性以及可用性相關(guān)聯(lián)的,還確定了潛在的漏洞及其影響����。
· 建議措施:提供關(guān)于如何補救所發(fā)現(xiàn)的漏洞、在遷移之前解決運行問題以及確定未解決所有安全問題而存在風險的詳細信息����。
制定配置文件
最好的做法就是從分析應用的業(yè)務需求和技術(shù)需求入手。這將有助于組織從運行和財務兩個角度確定這個應用是否是遷移至云計算的一個好的候選對象���,尤其是從安全性角度進行評估��。初始的標準如下:
1. 訪問和登陸應用的需求
2. 需要安全證書
3. 防火墻需求
4. 加密需求
5. 有權(quán)限訪問應用的用戶
接下來的工作就是�����,確定你的應用是否適合在公共云計算�����、私有云計算或混合云計算中運行���。除了選擇云計算的一般標準(如資源可用性��、定價模式和結(jié)構(gòu)���、應用管理服務)以外,還需確定云計算選擇結(jié)果是如何影響安全規(guī)定的�����。例如����,如果選擇了一個公共云服務��,那么就需確認服務供應商是否能夠在不作修改和沒有額外費用支出的情況下支持企業(yè)安全需求���,或者它可以增加軟件和/或設備�����,或者作出一些安排以確保兼容性的要求�����。在私有云計算中��,安全性是這個組織所需承擔的責任��,因此必須提供問題中應用所要求的安全性��。在混合云計算中��,應用所在的位置——無論是私有云計算還是公共云計算——都應當能夠確定確保安全性的舉措����。但是,在混合云計算中位于公共云計算網(wǎng)絡和私有云計算網(wǎng)絡之間的安全性必須得到充分重視與關(guān)注���,以便于保護應用能夠免受可能的跨網(wǎng)絡安全漏洞的影響����。一旦你確定了云計算類型��,那么就可以建立應用將使用的如下環(huán)境之一:軟件即服務(SaaS)、平臺即服務(PaaS)或者集成實施即服務(IaaS)。選擇環(huán)境將是一項極具挑戰(zhàn)性的任務,因為任何一個環(huán)境都有著其自身的安全性考量:
SaaS – 如果一個組織正在尋求一種完全保護應用及其數(shù)據(jù)完整性的模式�����,那么請務必與服務供應商針對SaaS系統(tǒng)的安全性策略進行確認,以確定他們將能夠為應用及其數(shù)據(jù)提供足夠的安全保障�����。
PaaS – 如果使用一個多應用的平臺���,請務必確認是否支持虛擬平臺和適當權(quán)限管理之間的隔離����,其中包括了用戶之間的以及應用本身的�����。
IaaS – 與PaaS類似�,請務必與云服務供應商仔細確認關(guān)于物理環(huán)境與虛擬環(huán)境之間隔離的安全性措施以及它與安全性措施的兼容性�。當然,還應檢查潛在的供應商是如何審核這些措施的�。
數(shù)據(jù)收集
一個應用的安全配置文件需要收集和分析與安全性相關(guān)的信息。以10至15天為周期的數(shù)據(jù)采集頻率收集應用的使用情況信息�����,將有助于確定部署在云計算中應用的大小,并確定每日使用模式和每周使用模式之間的差異�,其中也包括了安全性。
主要的應用數(shù)據(jù)包括:CPU使用率統(tǒng)計��、內(nèi)存使用率統(tǒng)計����、存儲性能數(shù)據(jù)(如吞吐量、延遲以及每秒的輸入/輸出運算)以及網(wǎng)絡性能數(shù)據(jù)(如吞吐量�����、延遲��、每秒連接數(shù)以及掉線數(shù))���。
應用的安全性數(shù)據(jù)包括應用被訪問的次數(shù)����、訪問被拒絕的次數(shù)或者防火墻阻止可疑代碼的次數(shù)��。安全性數(shù)據(jù)可能還需包括消息頭中的錯誤數(shù)��、造成錯誤消息的數(shù)據(jù)簽名或令牌使用。如果使用了加密技術(shù)�����,那么安全性數(shù)據(jù)還應當包括加密性能統(tǒng)計�。
除了識別與云計算遷移相關(guān)的潛在風險以外,配置文件的結(jié)果和數(shù)據(jù)都是按照已知的潛在缺陷和漏洞列表����、行業(yè)的特定標準以及良好的安全習慣對源代碼進行分析而得來的。
在遷移計劃和測試中使用配置文件
如果需要執(zhí)行應用的云計算遷移���,在選擇了云計算模式和環(huán)境之后�、在收集和分析所有必要的數(shù)據(jù)之后�,就可以把安全配置文件應用至應用,然后用于驗證其安全性了����。
具體而言,在識別需要何種安全資源中安全性配置文件的使用是至關(guān)重要的�,這不僅能保證應用及其數(shù)據(jù)可被提供給授權(quán)用戶,而且能夠確保它不會以任何方式被更改或破壞——或被未經(jīng)授權(quán)的人訪問����。
此外,組織還可以使用安全性配置文件數(shù)據(jù)制定和執(zhí)行針對云服務供應商安全性規(guī)定的測試�,并驗證訪問和身份驗證程序的有效性。他們還可以在傳輸中監(jiān)控數(shù)據(jù)以找出可能的漏洞�,以及通過防火墻監(jiān)控流量以確保它們被正確配置。另外�,組織可以驗證保護應用免受流氓系統(tǒng)的影響,并確保應用免受在相同環(huán)境中運行的其他應用的影響��。
作為整個應用配置文件的一部分�,組織也將能夠?qū)踩渲梦募糜谝?guī)劃遷移應用所需的服務器的數(shù)量和類型以及基礎(chǔ)設施組件,預測用戶行為(例如所連接用戶或請求和交易率的總數(shù))���,估計所需云計算資源的成本并建立基準以評估應用的遷移后性能����。
來源:CIO時代網(wǎng)
版權(quán)及免責聲明:凡本網(wǎng)所屬版權(quán)作品���,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”�,違者本網(wǎng)將保留追究其相關(guān)法律責任的權(quán)力����。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點和立場����。版權(quán)事宜請聯(lián)系:010-65363056�����。
延伸閱讀
