云端應用程序庫跟蹤最佳實踐
應用程序庫軟件一直以來都是大部分企業的主要應用。這類軟件允許管理員跟蹤企業所正在使用的應用程序,以確保軟件的使用許可和安全合規性問題。但是,這種應用程序庫跟蹤的方法對于云計算是存在問題的,也就是說它并不適合跟蹤云計算應用程序。
首先,對于云計算應用程序來說,應用程序庫跟蹤的概念似乎有些過時了。畢竟,云計算應用程序通常都是基于訂閱模式的。這意味著,確保使用許可合規性的概念已成為過時的概念。但是,這并不是說不需要進行庫跟蹤了。云計算簡單地改變了編制和管理庫的方法,以及編制云計算軟件庫的原因。
盤點云計算應用程序:安全性
當談及云計算應用程序盤點時,我們所關注的重點已從確保使用許可合規性轉移至控制成本和確保安全性。
安全性是編制基于云計算應用程序庫中最常被忽略的原因之一。對于管理員來說,在驗證應用程序是安全之前就知道用戶們正在使用哪些應用程序是至關重要的,因此需要編制一個云計算應用程序庫。然而,云計算應用程序庫的安全性內涵要比這深入得多。
一些基于云計算的應用程序在配置安全設置上提供了極其有限的方法,但另外一些應用程序所提供的方法則要豐富得多。擁有一個云計算應用程序庫可以使我們識別出那些具有可配置安全選項的應用程序。然后,管理員就可以驗證(如有必要就可重新配置)這些應用程序的安全設置。
對于那些有較高合規性要求的企業來說,擁有一個云計算應用程序庫則顯得尤其重要。例如,醫療保健機構就被HIPAA(醫療電子交換法案)要求確保以安全的方式來存儲和訪問受保護的電子健康數據。如果一個組織使用云計算應用程序來訪問這樣一個受保護的數據,那么該組織就必須負責確保所使用的云計算應用程序是符合HIPAA要求的。根據云計算應用程序的本質特點,該組織可能還必須在他們的合規性文檔中明示使用了該應用程序。
云端應用程序庫跟蹤最佳實踐
有時,云計算應用程序會對一個組織的安全性帶來直接的威脅。在過去的幾年中,就已出現過無數個跟蹤在線活動或包含某種形式間諜軟件的云計算應用程序例子了。對這些類型云計算應用程序的最好的保護應當是一個強有力的政策,由它來規定在云計算應用程序被使用之前它們必須得到IT部門的授權。當然,對于組織中個別部門已經使用了不同云計算應用程序的情況來說,這樣的政策已基本不起任何的保護作用了。一個集中式的云計算應用程序庫可以幫助我們確定目前正在使用的云計算應用程序。這樣一來,企業就可以研究不同的應用程序以確定是否存在著任何嚴重的安全漏洞。
構建一個云計算應用程序庫
似乎并不存在著這么一個專為編制云計算應用程序庫報告而設計的應用程序。在這樣的情況下,企業可能會考慮沿用他們現有使用許可軟件的方式,這樣他們就可以開始跟蹤云計算應用程序的使用情況。雖然,這個方法一開始可能并不能讓人滿意,但是這終究還是一個辦法。對云計算和內部部署兩種情況使用一個單一的應用程序庫應用程序就意味著在一個集中的位置存放所有的軟件庫數據。
在盤點云計算應用程序和內部部署應用程序之間還是存在著一些關鍵的差異點的,而這些差異點可能會影響到企業編制其軟件庫的方法。其中最顯著的差異點就是應用程序庫軟件將無法自動檢測到云計算應用程序。當然只要應用程序庫軟件允許手工輸入應用程序數據,那這就不成為一個問題。
但是,市場上的一些軟件庫應用程序是專為已安裝軟件而設計的,它們會周期性地掃描各網絡端點,因此也就不支持手工輸入數據了。對于那些希望編制云計算應用程序庫產品的擁有者來說,這可能是一個大問題,因為云計算應用程序實際上并不會被安裝到網絡端點上。
管理員可能會面臨的另一個挑戰是,傳統軟件庫應用程序是專為自動跟蹤軟件使用情況和編制使用許可數量而設計的。但是,這樣的一個應用程序是沒有辦法知道有多少用戶正在使用云計算應用程序或者是否所有的云計算應用程序都被計入。再次強調,應由管理員來對該信息進行手工維護。
實際工作中的應用程序庫
就目前而言,維護一個云計算應用程序庫在很大程度上是一個手工的過程。即便如此,花費相當資源來編制和維護這樣一個應用程序庫也是非常值得的,因為這個庫能夠幫助我們管理應用程序的安全控制。
例如,我們可以使用這個庫來確保不使用未經授權的云計算應用程序。很多軟件庫應用程序允許管理員編制一個“禁用軟件”列表。在云計算應用程序的情況下,這個列表可能會包含那些已知有間諜軟件的應用程序或具有違反企業安全策略已登記在冊漏洞的應用程序。可能很難記住所有被禁的應用程序,但是一個好的軟件庫應用程序應該可以對正在使用的云計算應用程序和被禁的云計算應用程序列表進行比較,并針對任何的違反情況向管理員提出警告。
此外,我們還可以通過跟蹤使用率的方法來使用這個庫以提高安全性。大多數企業都使用一個單獨的工具來跟蹤用戶訪問的網站。我們可以互相參考互聯網使用報告和云計算應用程序庫報告,以確定哪些云計算應用程序的使用率較高。從安全性的角度來看,這是非常重要的,因為如此多的云計算應用程序都把數據保存在云計算服務器中。如果數據表明,任意一個特定的云計算應用程序不再被使用,那么企業的應用程序支持團隊就可以提取這個應用程序的數據并取消云計算訂購,從而降低數據意外泄漏或因受攻擊而泄漏的機會。
結論
云計算應用程序的分散性就決定了應用程序訂購是非常容易失控的。當訂購一個新的云計算應用程序時,最好應對誰要求訂購、誰需要訪問以及訂購的目的等信息進行詳細地記錄。有了這樣的信息就會非常易于進行周期性的云計算應用程序庫審核,從而確保企業所訂購的云計算應用程序仍在被使用。
更重要的是,可以使用云計算應用程序庫來確保企業的數據仍然是安全的。擁有一個集中式的云計算應用程序庫可允許IT人員進行定期檢查,以確保云計算應用程序可繼續被安全地配置和使用。
作者簡介
Brien M. Posey, MCSE曾為他對Windows 2000 Server和IIS的貢獻而被授予微軟最有價值專業人士。他擔任一家全國性連鎖醫院的CEO,并曾為Fort Knox負責IT安全工作。
