私有云安全:哪些程序和工具更有效?
盡管公眾一直誤以為私有云是安全的,事實(shí)上,私有云并不是絕對(duì)安全的,因?yàn)樗撬接械摹R氡WC私有云的安全,必須要制定完善的計(jì)劃,并且進(jìn)行經(jīng)常性檢查,才能保證私有云安全,避免出現(xiàn)損失。
要想確保私有云安全,首先應(yīng)該檢查私有云所在網(wǎng)絡(luò)的安全性。根據(jù)特定的私有云的性質(zhì),有多種檢查形式。然而,針對(duì)大多數(shù)網(wǎng)絡(luò),協(xié)議和檢查是最常見(jiàn)的。
維護(hù)私有云安全,第一步是計(jì)劃。在計(jì)劃階段,執(zhí)行協(xié)議和程序,訪問(wèn)私有云中的數(shù)據(jù)。如果僅僅訪問(wèn)云內(nèi)部,顯然,公司必須確保這些服務(wù)不能被外部訪問(wèn)。但是,如果員工處在公司的外部網(wǎng)絡(luò),訪問(wèn)私有云資源,決定如何獲得數(shù)據(jù),并將身份驗(yàn)證機(jī)制落實(shí)到位變得很重要。此外,如果有限制的話,還要確定哪些資源需要設(shè)置訪問(wèn)限制。如果幾個(gè)人正在同時(shí)訪問(wèn)資源,創(chuàng)建多個(gè)虛擬機(jī)(VM),運(yùn)行多個(gè)應(yīng)用程序,那么,私有云可能會(huì)過(guò)載,私有云的安全性可能會(huì)受到威脅。因此,提前制定計(jì)劃,降低這種風(fēng)險(xiǎn),執(zhí)行協(xié)議。
當(dāng)構(gòu)建私有云或者公共云時(shí),公司要保證配備專(zhuān)門(mén)的安全人員來(lái)降低風(fēng)險(xiǎn)。安全人員負(fù)責(zé)保護(hù)運(yùn)行環(huán)境,在發(fā)生災(zāi)難性事件時(shí),能夠隨時(shí)做好應(yīng)對(duì)的準(zhǔn)備。
測(cè)試私有云的安全性
在物理機(jī)器上進(jìn)行周期性Wireshark或TShark捕捉,物理機(jī)器覆蓋著虛擬基礎(chǔ)設(shè)施。一旦管理員大概了解哪些類(lèi)型的流量能夠進(jìn)出網(wǎng)絡(luò),哪些類(lèi)型的流量不能夠進(jìn)出網(wǎng)絡(luò),那么,他們就可以很容易編寫(xiě)腳本。開(kāi)發(fā)一個(gè)關(guān)于什么是正常網(wǎng)絡(luò)行為的基線,也是一個(gè)好方法。例如,如果網(wǎng)絡(luò)管理員知道自己的私有云不具備DHCP服務(wù)器,然而,他們?cè)赪ireshark捕獲看到“提供DHCP”的信息,進(jìn)一步調(diào)查是至關(guān)重要的。
當(dāng)在私有云環(huán)境中使用Wireshark時(shí),一定要確保從一個(gè)主機(jī)完成捕獲。這樣能更全面的捕獲網(wǎng)絡(luò)流量,而不是簡(jiǎn)單地從虛擬機(jī)內(nèi)部捕獲流量。
此外,經(jīng)常進(jìn)行系統(tǒng)日志的檢查,因?yàn)檫@些日志屬于私有云環(huán)境。有很多硬件設(shè)備和軟件應(yīng)用程序,執(zhí)行自動(dòng)的日志分析,完成報(bào)警觸發(fā)和警報(bào)消息。例如,如果一個(gè)人在周六下午2點(diǎn)試圖登錄到私有云,這可能被自動(dòng)化系統(tǒng)視為是不合法的。然而,這些系統(tǒng)也是由人類(lèi)創(chuàng)建的,這些系統(tǒng)永遠(yuǎn)不可能完全取代一個(gè)經(jīng)驗(yàn)豐富的人員,能夠察覺(jué)到異常。因此,一個(gè)有經(jīng)驗(yàn)的專(zhuān)業(yè)人士進(jìn)行經(jīng)常性檢查是必要的。
轉(zhuǎn)移到公共云值得嗎?
許多組織移動(dòng)到公共云,因?yàn)樾遁d云基礎(chǔ)設(shè)施的成本和維護(hù)云基礎(chǔ)設(shè)施的責(zé)任,值得組織付出時(shí)間和金錢(qián)。但是,從安全性的角度考慮,移動(dòng)到公共云是最好的方式嗎?答案既是肯定的又是否定的。
許多公司認(rèn)為,不會(huì)受到DOS攻擊和其他形式的攻擊,因?yàn)楣镜幕A(chǔ)設(shè)施存在于Amazon Web服務(wù)龐大的數(shù)據(jù)中心之一。如果組織的基礎(chǔ)設(shè)施被攻擊者攻擊,那么提供商對(duì)此承擔(dān)責(zé)任。然而,在周末,公司將應(yīng)該設(shè)置呼叫系統(tǒng),安排網(wǎng)絡(luò)管理員,投入大量的時(shí)間和資源,從而避免私有云受到攻擊。
公共云的優(yōu)勢(shì)
另一方面,決定移動(dòng)到公共云的公司——如果有的話——很少知道數(shù)據(jù)存放在哪,以及如何處理這些數(shù)據(jù)。當(dāng)公司使用公共云,沒(méi)有公共云所在物理機(jī)器的root訪問(wèn)權(quán)限。因此,懷有不良企圖的人,如果具有root訪問(wèn)權(quán)限,就能夠訪問(wèn)給定的盒子,摧毀一個(gè)公司的數(shù)據(jù)。現(xiàn)在,公共和私有云仍然有利弊。
