|
如今云計(jì)算非����;�����,但在你把關(guān)鍵的業(yè)務(wù)系統(tǒng)外包到云端之前���,不妨先審視安全方面的一些問(wèn)題。
最關(guān)鍵的業(yè)務(wù)應(yīng)用程序處理許多公司的人力資源�����、財(cái)務(wù)��、信用卡及其他敏感數(shù)據(jù)���。如果任何這些信息受到危及���,就有可能纏身官司��,貴公司的品牌形象就會(huì)受損�����。這個(gè)惡夢(mèng)可能會(huì)導(dǎo)致客戶(hù)避免購(gòu)買(mǎi)貴公司的產(chǎn)品或服務(wù)�����。那么,云計(jì)算如何能夠切實(shí)有效地保護(hù)敏感數(shù)據(jù)呢?
要把你的應(yīng)用程序積極有效地推向云端�,就要解決好以下三個(gè)方面:
- 建立第二層防火墻保護(hù)機(jī)制(深度防御);
- 分析應(yīng)用程序的說(shuō)明文檔,查明防火墻規(guī)則方面的新變化;以及
- 收集系統(tǒng)和應(yīng)用程序的元數(shù)據(jù)���,以便實(shí)現(xiàn)平滑遷移��。
不妨先從深度防御開(kāi)始說(shuō)起�����。
首先��,應(yīng)當(dāng)把敏感數(shù)據(jù)放在主企業(yè)防火墻后面的第二層防火墻段�����。這第二層防火墻和相應(yīng)網(wǎng)絡(luò)把敏感的應(yīng)用程序及其數(shù)據(jù)保護(hù)起來(lái)����,以免萬(wàn)一面向互聯(lián)網(wǎng)的防火墻被突破后���,很容易被人訪問(wèn)��。比如說(shuō)����,不妨看一下雜貨店。至少部署四個(gè)防火墻段/網(wǎng)段是明智之舉:一個(gè)段用于保護(hù)人力資源數(shù)據(jù)�����,一個(gè)段用于保護(hù)財(cái)務(wù)數(shù)據(jù)��,一個(gè)段用于保護(hù)信用卡PCI(支付卡行業(yè))數(shù)據(jù)�,還有一個(gè)段保護(hù)其他段共享的服務(wù)。含有共享服務(wù)的段可能含有常用的支持服務(wù)�����,比如網(wǎng)絡(luò)和系統(tǒng)管理�、加密和公鑰基礎(chǔ)設(shè)施(PKI)功能、訪問(wèn)控制服務(wù)以及安全事件管理功能�����。
保護(hù)企業(yè)避免內(nèi)部竊取數(shù)據(jù)的另一層架構(gòu)機(jī)制就是建立隧道訪問(wèn)協(xié)議(Tunneling Access Protocol)�����。隧道訪問(wèn)協(xié)議是一種訪問(wèn)控制功能�����,迫使所有管理員在針對(duì)段內(nèi)系統(tǒng)執(zhí)行管理任務(wù)之前���,把相關(guān)信息記入日志���。因此,所有管理員訪問(wèn)都被跟蹤���,從而防止內(nèi)部竊取信息�����。
需要解決的第二個(gè)方面是�����,需要進(jìn)行分析���,確保應(yīng)用程序成功遷移到云端的第二層防火墻后面���。我建議先從了解應(yīng)用程序的設(shè)計(jì)文檔入手。設(shè)計(jì)文檔讓你全面了解哪些業(yè)務(wù)需要應(yīng)用平臺(tái)��、使用什么中間件��、使用什么數(shù)據(jù)庫(kù)以及使用什么協(xié)議�。它還常常含有邏輯架構(gòu)。
關(guān)注與應(yīng)用程序交互的所有系統(tǒng)顯得很重要�。你的安全團(tuán)隊(duì)會(huì)收集有關(guān)該應(yīng)用程序的各種信息:什么數(shù)據(jù)是敏感數(shù)據(jù)、哪些工具如何用來(lái)加密數(shù)據(jù);如果這是面向互聯(lián)網(wǎng)的應(yīng)用程序���,還有滲透測(cè)試結(jié)果�����。我還建議制作一份協(xié)議圖�,表明所有服務(wù)器及其IP地址�����、所用的協(xié)議以及所用的協(xié)議(TCP或UDP)端口����。這份網(wǎng)絡(luò)視圖具體表明了哪些服務(wù)器需要彼此通話(huà)����,為此它們將使用哪些協(xié)議(端口)�。未必要列入交換機(jī)�����、路由器及網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的其他組件���,因?yàn)閰f(xié)議/端口就在它們上面運(yùn)行��。如果協(xié)議圖全面詳細(xì)����,創(chuàng)建防火墻規(guī)則應(yīng)該是很簡(jiǎn)單的一個(gè)步驟�。防火墻規(guī)則由源和目的地IP地址、所用協(xié)議以及在這些協(xié)議上運(yùn)行的端口組成�����。
最后���,我建議全面收集系統(tǒng)和應(yīng)用程序的元數(shù)據(jù)���。想成功移植應(yīng)用程序�����,就需要做好這項(xiàng)工作�。另外���,如果你遇到了災(zāi)難��、業(yè)務(wù)中斷或想從云端撤下應(yīng)用程序�����,就需要這些數(shù)據(jù)�。每個(gè)防火墻段/網(wǎng)段都有相應(yīng)的系統(tǒng)信息�。所有應(yīng)用程序共用相同的系統(tǒng)數(shù)據(jù),比如相同的防火墻��、路由器��、交換機(jī)���、加密算法(如果用于某個(gè)段中的所有應(yīng)用程序)和存儲(chǔ)子系統(tǒng)�����。系統(tǒng)元數(shù)據(jù)包括廠商�����、型號(hào)�����、軟件版本及其他系統(tǒng)級(jí)配置數(shù)據(jù)���。應(yīng)用程序數(shù)據(jù)很相似,但它面對(duì)的是負(fù)載均衡器��、加密方法�����、中間件�����、數(shù)據(jù)庫(kù)�����、服務(wù)器硬件和操作系統(tǒng),以及在這些系統(tǒng)上運(yùn)行的服務(wù)�、協(xié)議和端口。應(yīng)用程序元數(shù)據(jù)包括廠商���、型號(hào)���、軟件版本及其他應(yīng)用程序配置數(shù)據(jù)。
下一個(gè)爭(zhēng)論的焦點(diǎn)是這些元數(shù)據(jù)應(yīng)該存放在哪里�。我建議把這些信息采用層次結(jié)構(gòu)存放在輕型目錄訪問(wèn)協(xié)議(LDAP)存儲(chǔ)庫(kù)中。我會(huì)在該目錄中建立兩個(gè)層:一個(gè)層名為段系統(tǒng)(Segment System)�����,針對(duì)上述例子四個(gè)段中的每個(gè)段;后一個(gè)層名為應(yīng)用程序(Application)�,面向某個(gè)段中的所有應(yīng)用程序。這種結(jié)構(gòu)能夠有系統(tǒng)性地收集所有元數(shù)據(jù)��,以便敏感的云應(yīng)用程序能夠快速部署����。而最重要的是,它能夠把應(yīng)用程序及/或段迅速部署到云端。
總之����,遷移關(guān)鍵的云應(yīng)用程序需要把數(shù)據(jù)放在第二層防火墻后面。常用服務(wù)存在于所有分段應(yīng)用程序都能共享的其中一個(gè)段中����。應(yīng)用程序應(yīng)根據(jù)所保護(hù)數(shù)據(jù)的類(lèi)型,比如信用卡數(shù)據(jù)���、財(cái)務(wù)數(shù)據(jù)�、人力資源數(shù)據(jù)以及共享服務(wù)�����,放在不同的段中�。應(yīng)編制及/或?qū)忛喐鞣N說(shuō)明文檔���,確保在第二層深度防御防火墻后面移植應(yīng)用程序的工作順利進(jìn)行���。這些元數(shù)據(jù)是從分兩層的層次結(jié)構(gòu)中收集而來(lái)的:按段劃分的常用系統(tǒng),以及每個(gè)段中的不同應(yīng)用程序��。我建議將元數(shù)據(jù)保存在容易檢索的目錄中。
本文出自:億恩科技【xuefeilisp.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)���!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商���!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
