如何把數(shù)據(jù)遷移到云計算
開發(fā)者喜歡云計算,因為它部署后很快能投入運行;企業(yè)喜歡云計算,因為基礎(chǔ)設(shè)施的費用會降低;用戶也喜歡云計算,因為他們能更快地獲得新功能。然而幾家歡喜幾家愁,負責企業(yè)信息安全的IT專業(yè)人士正絞盡腦汁,尋找將應(yīng)用程序和數(shù)據(jù)安全轉(zhuǎn)移到云服務(wù)中的方法。
長久以來,IT組織的重點目標之一便是強化身份管理技術(shù)及相關(guān)流程,而云計算所帶來的安全風險無疑使這個目標不進反退。
公司可以將目錄服務(wù)驗證擴展到企業(yè)環(huán)境外,以處理云服務(wù)中的應(yīng)用程序或系統(tǒng),可是如果第三方系統(tǒng)受到攻擊,驗證系統(tǒng)也可能會連帶地受到攻擊。企業(yè)也可采用新的解決方案:在云服務(wù)和現(xiàn)有基礎(chǔ)設(shè)施之間設(shè)置隔離帶,這種方法的缺點是企業(yè)將不得不整合多種身份管理和訪問管理系統(tǒng),因此這種繁瑣的替代方案不具吸引力。
幸運的是,某些云供應(yīng)商開始著手解決這個問題。谷歌提供的新功能可以將谷歌應(yīng)用程序整合進現(xiàn)有的單點登錄工具,既提高了安全性又簡化了管理流程。我們采訪的一家企業(yè)部署了先進的驗證服務(wù)器,從而云系統(tǒng)就可通過輕量級目錄訪問協(xié)議(LDAP)進行驗證。另一家企業(yè)將其基于網(wǎng)絡(luò)的驗證協(xié)議進行擴展,使之能與外部來源協(xié)同工作,并通過網(wǎng)絡(luò)服務(wù),使用內(nèi)部托管系統(tǒng)對云服務(wù)進行驗證。
數(shù)據(jù)遷移應(yīng)注意數(shù)據(jù)的丟失與備份
數(shù)據(jù)存放在何處?哪些人有權(quán)訪問?數(shù)據(jù)安全嗎?這些都是大問題,因為除了軟件即服務(wù)(software as a service,SaaS)供應(yīng)商之外,云服務(wù)供應(yīng)商很少具備長期處理敏感數(shù)據(jù)的經(jīng)驗。一般說來,數(shù)據(jù)在云服務(wù)中是共享存儲的,因此具有潛在危險。其實,我們就是把數(shù)據(jù)存放在公司內(nèi)部也是有風險的,更別提云服務(wù)了。我們經(jīng)常對企業(yè)內(nèi)數(shù)據(jù)訪問的風險/利益進行評估,這種方法同樣也可套用到云服務(wù)上,判斷可將那些數(shù)據(jù)轉(zhuǎn)移到云服務(wù)中,以及如何保護數(shù)據(jù)。這就需要我們了解并核實供應(yīng)商的標準,搞清楚是否可以對它們進行修改。
在使用云服務(wù)(如亞馬遜公司的彈性計算云)時,企業(yè)可對虛擬實例中運行的操作系統(tǒng)、應(yīng)用程序或數(shù)據(jù)庫管理系統(tǒng)進行數(shù)據(jù)加密。在使用其他服務(wù)(如應(yīng)用程序托管)時,IT組織需要在開發(fā)程序時多留個心眼,確保在程序中內(nèi)置安全措施(比如說數(shù)據(jù)加密)。
不論數(shù)據(jù)存放在何處,企業(yè)都應(yīng)該慎重考慮數(shù)據(jù)丟失風險。亞馬遜公司明白電腦會時不時發(fā)生故障,所以它建議客戶通過冗余和備份計劃應(yīng)對電腦故障。有些云供應(yīng)商提供備份服務(wù)或數(shù)據(jù)導(dǎo)出功能,這樣企業(yè)就可以自行創(chuàng)建數(shù)據(jù)備份;另一些供應(yīng)商則要求客戶使用企業(yè)自行開發(fā)或第三方開發(fā)的備份程序。
數(shù)據(jù)遷移請注意以下關(guān)鍵問題
如何進行備份?有些云供應(yīng)商會進行數(shù)據(jù)備份,但多數(shù)情況下你得自己進行備份。很多亞馬遜EC2的客戶利用該公司的簡單存儲服務(wù)(Simple Storage Service)或彈性塊存儲服務(wù)(Elastic Block Storage)來存放備份文件。
可以對備份進行測試嗎?如果云服務(wù)發(fā)生故障無法使用時,企業(yè)能訪問備份文件嗎?
備份文件放在何處?它既可以存放在供應(yīng)商托管的云存儲系統(tǒng)中,也可以轉(zhuǎn)移到企業(yè)自己的基礎(chǔ)設(shè)施里。無論如何,你得確保備份數(shù)據(jù)在儲存和轉(zhuǎn)移時受到嚴密保護。
數(shù)據(jù)遷移后的管理和監(jiān)控
企業(yè)的信息安全團隊花費大量時間監(jiān)控漏洞郵件列表,給系統(tǒng)打補丁,有時還要重寫代碼修補漏洞。在使用云服務(wù)時,他們相信云供應(yīng)商也會盡力盡責地這么做。很少有廠商會向客戶提供驗證其安全措施的方法。在使用云系統(tǒng)(比如Joyent或亞馬遜公司的EC2)時,企業(yè)可在操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序?qū)由蠎?yīng)用安全措施,但歸根結(jié)底他們還是得依靠供應(yīng)商來保證網(wǎng)絡(luò)、存儲和虛擬基礎(chǔ)設(shè)施的安全。
雖然云服務(wù)的客戶不能親自給系統(tǒng)打補丁或者監(jiān)控漏洞,但它們?nèi)匀灰M力自行管理風險。企業(yè)必須評估哪些資產(chǎn)需要得到保護,并摸索出保護這些資產(chǎn)的方法,比如說,在云基礎(chǔ)設(shè)施周圍設(shè)置分層安全防護措施。即便如此,支付卡行業(yè)(Payment Card Industry,PCI)數(shù)據(jù)安全標準之類的法規(guī)仍然可能出乎人們的意料之外:PCI委員會并未說明應(yīng)該將云供應(yīng)商劃入哪個類別,因此不同的審計員可能會對同一個問題有著截然不同的處理方法。
客戶必須要求云服務(wù)供應(yīng)商提供監(jiān)控功能,這樣他們才能夠監(jiān)控訪問數(shù)據(jù)的人員。如果企業(yè)需要詳細的審計跟蹤信息,它們得對數(shù)據(jù)進行加密,或者只將那些不接觸敏感數(shù)據(jù)的應(yīng)用程序設(shè)置在云服務(wù)中。
該領(lǐng)域可能很快就會出現(xiàn)巨大進展。2008年年底,谷歌宣布其應(yīng)用程序通過了SAS 70 Type II的安全流程審查。我們希望能看到更多的供應(yīng)商將安全標準作為賣點,因為正是由于安全問題,企業(yè)才對是否將應(yīng)用程序轉(zhuǎn)移到云服務(wù)中感到猶豫不決。
但是,企業(yè)內(nèi)部信息安全團隊不應(yīng)該坐等供應(yīng)商提高安全性。從桌面應(yīng)用程序到服務(wù)器托管,云計算幾乎在每個領(lǐng)域都越來越有吸引力。那些需要更高安全級別的應(yīng)用程序(如與健康保險流通與責任法案(HIPAA)或PCI相關(guān)的應(yīng)用程序)可能很難在云服務(wù)中進行驗證,因此這些程序最好還是放在企業(yè)內(nèi)部服務(wù)器上。社區(qū)應(yīng)用程序和內(nèi)容網(wǎng)站更適用于云服務(wù)。什么樣的程序可以安心地將放在云服務(wù)中,這一點企業(yè)的IT部門必須心里有數(shù)。不過,云最終將成為基礎(chǔ)設(shè)施的一部分,所以IT部門必須找到安全連接企業(yè)系統(tǒng)和云基礎(chǔ)設(shè)施的方法。
【編輯推薦】
