|
如今云計算非��;���,但在你把關鍵的業(yè)務系統(tǒng)外包到云端之前,不妨先審視安全方面的一些問題�����。
最關鍵的業(yè)務應用程序處理許多公司的人力資源、財務��、信用卡及其他敏感數(shù)據(jù)����。如果任何這些信息受到危及���,就有可能纏身官司�����,貴公司的品牌形象就會受損�。這個惡夢可能會導致客戶避免購買貴公司的產(chǎn)品或服務���。那么��,云計算如何能夠切實有效地保護敏感數(shù)據(jù)呢?
要把你的應用程序積極有效地推向云端���,就要解決好以下三個方面:
- 建立第二層防火墻保護機制(深度防御);
- 分析應用程序的說明文檔,查明防火墻規(guī)則方面的新變化;以及
- 收集系統(tǒng)和應用程序的元數(shù)據(jù)�����,以便實現(xiàn)平滑遷移。
不妨先從深度防御開始說起�����。
首先����,應當把敏感數(shù)據(jù)放在主企業(yè)防火墻后面的第二層防火墻段。這第二層防火墻和相應網(wǎng)絡把敏感的應用程序及其數(shù)據(jù)保護起來�,以免萬一面向互聯(lián)網(wǎng)的防火墻被突破后,很容易被人訪問���。比如說�����,不妨看一下雜貨店��。至少部署四個防火墻段/網(wǎng)段是明智之舉:一個段用于保護人力資源數(shù)據(jù)��,一個段用于保護財務數(shù)據(jù)����,一個段用于保護信用卡PCI(支付卡行業(yè))數(shù)據(jù),還有一個段保護其他段共享的服務�。含有共享服務的段可能含有常用的支持服務,比如網(wǎng)絡和系統(tǒng)管理���、加密和公鑰基礎設施(PKI)功能��、訪問控制服務以及安全事件管理功能�����。
保護企業(yè)避免內(nèi)部竊取數(shù)據(jù)的另一層架構機制就是建立隧道訪問協(xié)議(Tunneling Access Protocol)。隧道訪問協(xié)議是一種訪問控制功能����,迫使所有管理員在針對段內(nèi)系統(tǒng)執(zhí)行管理任務之前,把相關信息記入日志���。因此����,所有管理員訪問都被跟蹤����,從而防止內(nèi)部竊取信息。
需要解決的第二個方面是,需要進行分析���,確保應用程序成功遷移到云端的第二層防火墻后面��。我建議先從了解應用程序的設計文檔入手��。設計文檔讓你全面了解哪些業(yè)務需要應用平臺�����、使用什么中間件�、使用什么數(shù)據(jù)庫以及使用什么協(xié)議�����。它還常常含有邏輯架構���。
關注與應用程序交互的所有系統(tǒng)顯得很重要�����。你的安全團隊會收集有關該應用程序的各種信息:什么數(shù)據(jù)是敏感數(shù)據(jù)�、哪些工具如何用來加密數(shù)據(jù);如果這是面向互聯(lián)網(wǎng)的應用程序��,還有滲透測試結果。我還建議制作一份協(xié)議圖�,表明所有服務器及其IP地址、所用的協(xié)議以及所用的協(xié)議(TCP或UDP)端口���。這份網(wǎng)絡視圖具體表明了哪些服務器需要彼此通話���,為此它們將使用哪些協(xié)議(端口)。未必要列入交換機��、路由器及網(wǎng)絡基礎架構的其他組件��,因為協(xié)議/端口就在它們上面運行���。如果協(xié)議圖全面詳細,創(chuàng)建防火墻規(guī)則應該是很簡單的一個步驟�����。防火墻規(guī)則由源和目的地IP地址��、所用協(xié)議以及在這些協(xié)議上運行的端口組成��。
最后����,我建議全面收集系統(tǒng)和應用程序的元數(shù)據(jù)�。想成功移植應用程序���,就需要做好這項工作��。另外�����,如果你遇到了災難���、業(yè)務中斷或想從云端撤下應用程序,就需要這些數(shù)據(jù)����。每個防火墻段/網(wǎng)段都有相應的系統(tǒng)信息。所有應用程序共用相同的系統(tǒng)數(shù)據(jù)�����,比如相同的防火墻�����、路由器、交換機�����、加密算法(如果用于某個段中的所有應用程序)和存儲子系統(tǒng)��。系統(tǒng)元數(shù)據(jù)包括廠商��、型號�、軟件版本及其他系統(tǒng)級配置數(shù)據(jù)。應用程序數(shù)據(jù)很相似���,但它面對的是負載均衡器���、加密方法、中間件����、數(shù)據(jù)庫���、服務器硬件和操作系統(tǒng)����,以及在這些系統(tǒng)上運行的服務、協(xié)議和端口����。應用程序元數(shù)據(jù)包括廠商、型號����、軟件版本及其他應用程序配置數(shù)據(jù)。
下一個爭論的焦點是這些元數(shù)據(jù)應該存放在哪里����。我建議把這些信息采用層次結構存放在輕型目錄訪問協(xié)議(LDAP)存儲庫中。我會在該目錄中建立兩個層:一個層名為段系統(tǒng)(Segment System)��,針對上述例子四個段中的每個段;后一個層名為應用程序(Application)�,面向某個段中的所有應用程序。這種結構能夠有系統(tǒng)性地收集所有元數(shù)據(jù)��,以便敏感的云應用程序能夠快速部署�����。而最重要的是�,它能夠把應用程序及/或段迅速部署到云端。
總之���,遷移關鍵的云應用程序需要把數(shù)據(jù)放在第二層防火墻后面��。常用服務存在于所有分段應用程序都能共享的其中一個段中����。應用程序應根據(jù)所保護數(shù)據(jù)的類型,比如信用卡數(shù)據(jù)�����、財務數(shù)據(jù)��、人力資源數(shù)據(jù)以及共享服務����,放在不同的段中。應編制及/或?qū)忛喐鞣N說明文檔���,確保在第二層深度防御防火墻后面移植應用程序的工作順利進行���。這些元數(shù)據(jù)是從分兩層的層次結構中收集而來的:按段劃分的常用系統(tǒng),以及每個段中的不同應用程序�����。我建議將元數(shù)據(jù)保存在容易檢索的目錄中����。
本文出自:億恩科技【www.allwellnessguide.com】
服務器租用/服務器托管中國五強�!虛擬主機域名注冊頂級提供商���!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
