|
云服務供應商如何在云中將敏感數(shù)據(jù)分成若干種類呢?Gregory Machler將對如何獲取元數(shù)據(jù)進行講解���。
關(guān)于云計算的介紹五花八門�����,但是在你將重要的業(yè)務系統(tǒng)交付給外包商����,轉(zhuǎn)移到云中時�,我們還是先了解一些安全事宜吧。
最重要的商業(yè)應用一般關(guān)系到人力資源����,財務,信用卡和其他敏感數(shù)據(jù)�。如果這其中任意一類信息遭受損失,都可能導致公司與別人對簿公堂���。而這將導致你失去本該屬于你的客戶���。那么如何才能用云計算有效保護你的敏感信息呢?
以下三個方面應該處理好以便將你的應用有效地轉(zhuǎn)移到云:
創(chuàng)建一個次級防火墻保護 (深層防御);
分析應用文檔以確定新的防火墻規(guī)則更改;
保障傳送順暢的系統(tǒng)和應用元數(shù)據(jù)的集合���。
首先,我們看一看深層防御��。將敏感數(shù)據(jù)放到位于公司主要防火墻之后的次級防火墻區(qū)域中�。次級防火墻和響應網(wǎng)絡會保護敏感應用及其數(shù)據(jù),從而確保在面向web的防火墻被破壞的時候�����,使其不被其他人輕易訪問�。例如,最好是部署四個以上的防火墻/網(wǎng)絡區(qū)域:一個用于存放人力資源的數(shù)據(jù)�,一個用來存放財務數(shù)據(jù)����,一個用來存放信用卡PCI數(shù)據(jù),另一個用來存放其他區(qū)域共享的服務���。這個區(qū)域包含的共享服務可以是一些普通的支持服務��,如網(wǎng)絡和系統(tǒng)管理����,加密和PKI功能,訪問控制服務和安全事件管理功能���。
另一種架構(gòu)部署——隧道訪問協(xié)議�����,可以保護企業(yè)免遭內(nèi)部數(shù)據(jù)盜竊����。隧道訪問協(xié)議時一個訪問控制功能���,它可以讓管理員在區(qū)域系統(tǒng)上執(zhí)行管理任務時記錄信息�。因此�,所有的管理型訪問都會被追蹤,這樣就可以挫敗內(nèi)部信息的盜竊����。
第二個要處理的地方是分析,此分析要能夠確定應用是否被成功轉(zhuǎn)移到云中的次級防火墻�����。建議首先從應用的設(shè)計文檔開始。它可以讓你從整體上了解哪些業(yè)務需要應用來執(zhí)行�,有哪些中間件被使用,哪些數(shù)據(jù)庫被使用以及有哪些協(xié)議被使用���。通常它還包括一些邏輯架構(gòu)����。
有必要將注意力放到與應用互動的所有系統(tǒng)上��。你的安全團隊會收集該應用的各種信息:哪些數(shù)據(jù)時敏感的�,什么樣的工具被用來加密,這些工具怎樣進行加密�,當它是面向web的應用時會有哪些滲透測試結(jié)果。同樣��,我們建議創(chuàng)建一個協(xié)議表格來顯示所有服務器及其IP地址�,所使用的協(xié)議以及端口使用的協(xié)議(TCP或UDP)。網(wǎng)絡視圖明確地顯示了哪些服務器可以彼此傳輸信息�,它們又適合哪些協(xié)議。有必要將交換機�����,路由和其他網(wǎng)絡架構(gòu)區(qū)域納入進來��,因為協(xié)議/端口只在它們之上運行��。如果協(xié)議表格很完整�,那么創(chuàng)建防火墻規(guī)則就是很簡單的事情。防火墻規(guī)則由源和目標IP地址����,所使用的協(xié)議,運行于協(xié)議之上的端口組成���。
最后�����,建議將系統(tǒng)和應用元數(shù)據(jù)收集好整理在一起�����,以便更好地轉(zhuǎn)移應用���。另外,如果你遇到業(yè)務中斷等災難或者其他要將你的應用從云中轉(zhuǎn)出的行為����,你都會需要這些數(shù)據(jù)�����。系統(tǒng)信息存在于每個防火墻/網(wǎng)絡區(qū)域上�。所有的應用都共享相同的系統(tǒng)數(shù)據(jù)���,如相同的防火墻����,路由���,交換機�,加密法則以及存儲子系統(tǒng)�����。系統(tǒng)元數(shù)據(jù)包括供應商�,模式,軟件發(fā)布及版本還有其他系統(tǒng)范圍內(nèi)的配置數(shù)據(jù)����。應用數(shù)據(jù)是類似的����,但是它要處理加載平衡器��,加密方法���,中間件,數(shù)據(jù)庫��,服務器硬件和操作系統(tǒng)和服務�,協(xié)議以及運行于這些系統(tǒng)之上的端口。應用元數(shù)據(jù)包括供應商��,模式�,軟件發(fā)布和版本以及其他應用配置數(shù)據(jù)。
將元數(shù)據(jù)保存在什么地方是另一個存在爭議的問題�����。建議將這一信息保存在LDAP存儲的層級中�����。我們可以在目錄中創(chuàng)建兩個層級:一個是“區(qū)域系統(tǒng)”�,主要用于以上示例的四個區(qū)域;另一個稱為“應用”���,主要用于給定區(qū)域中所有應用。這樣的分類排序有利于元數(shù)據(jù)的系統(tǒng)化管理���,而敏感的云應用也可以快速部署到位�。最重要的是�,它可以將應用或區(qū)域快速部署到云中。
總而言之�����,轉(zhuǎn)移重要的云應用涉及到將數(shù)據(jù)放到次級防火墻之后�。普通的服務存在于所有分區(qū)應用都共享的其中一個區(qū)域之中。應用應該位于單獨的分區(qū)中����,而分區(qū)的依據(jù)則是按照受保護的數(shù)據(jù)類型來劃分,如信用卡數(shù)據(jù)�����,財務數(shù)據(jù)和人力資源數(shù)據(jù)以及共享的服務�����。應該創(chuàng)建各種文檔或?qū)彶楦黝愇臋n以確保次級防火墻之后的應用可以順利轉(zhuǎn)移。收集的元數(shù)據(jù)來自二層架構(gòu):每個區(qū)域的普通系統(tǒng)和每個區(qū)域的不同應用�。建議將元數(shù)據(jù)保存在可以被很容易就檢索到的目錄中。
本文出自:億恩科技【www.allwellnessguide.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
