企業(yè)該怎樣安全管理云計(jì)算中的敏感數(shù)據(jù)

云服務(wù)供應(yīng)商如何在云中將敏感數(shù)據(jù)分成若干種類呢?Gregory Machler將對如何獲取元數(shù)據(jù)進(jìn)行講解。

　　關(guān)于云計(jì)算的介紹五花八門，但是在你將重要的業(yè)務(wù)系統(tǒng)交付給外包商，轉(zhuǎn)移到云中時(shí)，我們還是先了解一些安全事宜吧。

　　最重要的商業(yè)應(yīng)用一般關(guān)系到人力資源，財(cái)務(wù)，信用卡和其他敏感數(shù)據(jù)。如果這其中任意一類信息遭受損失，都可能導(dǎo)致公司與別人對簿公堂。而這將導(dǎo)致你失去本該屬于你的客戶。那么如何才能用云計(jì)算有效保護(hù)你的敏感信息呢?

　　以下三個(gè)方面應(yīng)該處理好以便將你的應(yīng)用有效地轉(zhuǎn)移到云：

　　創(chuàng)建一個(gè)次級防火墻保護(hù) (深層防御);

　　分析應(yīng)用文檔以確定新的防火墻規(guī)則更改;

　　保障傳送順暢的系統(tǒng)和應(yīng)用元數(shù)據(jù)的集合。

　　首先，我們看一看深層防御。將敏感數(shù)據(jù)放到位于公司主要防火墻之后的次級防火墻區(qū)域中。次級防火墻和響應(yīng)網(wǎng)絡(luò)會保護(hù)敏感應(yīng)用及其數(shù)據(jù)，從而確保在面向web的防火墻被破壞的時(shí)候，使其不被其他人輕易訪問。例如，最好是部署四個(gè)以上的防火墻/網(wǎng)絡(luò)區(qū)域：一個(gè)用于存放人力資源的數(shù)據(jù)，一個(gè)用來存放財(cái)務(wù)數(shù)據(jù)，一個(gè)用來存放信用卡PCI數(shù)據(jù)，另一個(gè)用來存放其他區(qū)域共享的服務(wù)。這個(gè)區(qū)域包含的共享服務(wù)可以是一些普通的支持服務(wù)，如網(wǎng)絡(luò)和系統(tǒng)管理，加密和PKI功能，訪問控制服務(wù)和安全事件管理功能。

　　另一種架構(gòu)部署——隧道訪問協(xié)議，可以保護(hù)企業(yè)免遭內(nèi)部數(shù)據(jù)盜竊。隧道訪問協(xié)議時(shí)一個(gè)訪問控制功能，它可以讓管理員在區(qū)域系統(tǒng)上執(zhí)行管理任務(wù)時(shí)記錄信息。因此，所有的管理型訪問都會被追蹤，這樣就可以挫敗內(nèi)部信息的盜竊。

　　第二個(gè)要處理的地方是分析，此分析要能夠確定應(yīng)用是否被成功轉(zhuǎn)移到云中的次級防火墻。建議首先從應(yīng)用的設(shè)計(jì)文檔開始。它可以讓你從整體上了解哪些業(yè)務(wù)需要應(yīng)用來執(zhí)行，有哪些中間件被使用，哪些數(shù)據(jù)庫被使用以及有哪些協(xié)議被使用。通常它還包括一些邏輯架構(gòu)。

　　有必要將注意力放到與應(yīng)用互動(dòng)的所有系統(tǒng)上。你的安全團(tuán)隊(duì)會收集該應(yīng)用的各種信息：哪些數(shù)據(jù)時(shí)敏感的，什么樣的工具被用來加密，這些工具怎樣進(jìn)行加密，當(dāng)它是面向web的應(yīng)用時(shí)會有哪些滲透測試結(jié)果。同樣，我們建議創(chuàng)建一個(gè)協(xié)議表格來顯示所有服務(wù)器及其IP地址，所使用的協(xié)議以及端口使用的協(xié)議(TCP或UDP)。網(wǎng)絡(luò)視圖明確地顯示了哪些服務(wù)器可以彼此傳輸信息，它們又適合哪些協(xié)議。有必要將交換機(jī)，路由和其他網(wǎng)絡(luò)架構(gòu)區(qū)域納入進(jìn)來，因?yàn)閰f(xié)議/端口只在它們之上運(yùn)行。如果協(xié)議表格很完整，那么創(chuàng)建防火墻規(guī)則就是很簡單的事情。防火墻規(guī)則由源和目標(biāo)IP地址，所使用的協(xié)議，運(yùn)行于協(xié)議之上的端口組成。

　　最后，建議將系統(tǒng)和應(yīng)用元數(shù)據(jù)收集好整理在一起，以便更好地轉(zhuǎn)移應(yīng)用。另外，如果你遇到業(yè)務(wù)中斷等災(zāi)難或者其他要將你的應(yīng)用從云中轉(zhuǎn)出的行為，你都會需要這些數(shù)據(jù)。系統(tǒng)信息存在于每個(gè)防火墻/網(wǎng)絡(luò)區(qū)域上。所有的應(yīng)用都共享相同的系統(tǒng)數(shù)據(jù)，如相同的防火墻，路由，交換機(jī)，加密法則以及存儲子系統(tǒng)。系統(tǒng)元數(shù)據(jù)包括供應(yīng)商，模式，軟件發(fā)布及版本還有其他系統(tǒng)范圍內(nèi)的配置數(shù)據(jù)。應(yīng)用數(shù)據(jù)是類似的，但是它要處理加載平衡器，加密方法，中間件，數(shù)據(jù)庫，服務(wù)器硬件和操作系統(tǒng)和服務(wù)，協(xié)議以及運(yùn)行于這些系統(tǒng)之上的端口。應(yīng)用元數(shù)據(jù)包括供應(yīng)商，模式，軟件發(fā)布和版本以及其他應(yīng)用配置數(shù)據(jù)。

　　將元數(shù)據(jù)保存在什么地方是另一個(gè)存在爭議的問題。建議將這一信息保存在LDAP存儲的層級中。我們可以在目錄中創(chuàng)建兩個(gè)層級：一個(gè)是“區(qū)域系統(tǒng)”，主要用于以上示例的四個(gè)區(qū)域;另一個(gè)稱為“應(yīng)用”，主要用于給定區(qū)域中所有應(yīng)用。這樣的分類排序有利于元數(shù)據(jù)的系統(tǒng)化管理，而敏感的云應(yīng)用也可以快速部署到位。最重要的是，它可以將應(yīng)用或區(qū)域快速部署到云中。

　　總而言之，轉(zhuǎn)移重要的云應(yīng)用涉及到將數(shù)據(jù)放到次級防火墻之后。普通的服務(wù)存在于所有分區(qū)應(yīng)用都共享的其中一個(gè)區(qū)域之中。應(yīng)用應(yīng)該位于單獨(dú)的分區(qū)中，而分區(qū)的依據(jù)則是按照受保護(hù)的數(shù)據(jù)類型來劃分，如信用卡數(shù)據(jù)，財(cái)務(wù)數(shù)據(jù)和人力資源數(shù)據(jù)以及共享的服務(wù)。應(yīng)該創(chuàng)建各種文檔或?qū)彶楦黝愇臋n以確保次級防火墻之后的應(yīng)用可以順利轉(zhuǎn)移。收集的元數(shù)據(jù)來自二層架構(gòu)：每個(gè)區(qū)域的普通系統(tǒng)和每個(gè)區(qū)域的不同應(yīng)用。建議將元數(shù)據(jù)保存在可以被很容易就檢索到的目錄中。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]