管理云服務?擴展現有IT安全模式
公有云與私有云帶來了新的IT安全需求,數據中心團隊需要重新考慮如何處理防火墻、身份管理等問題。
云計算與數據中心之間有許多相似點,但團隊管理云服務,應該擴展現有的IT安全模式。
在最簡單的模式中,云服務器是遠端服務器或服務器集群,它們提供某種服務。當第三方“擁有”云資源,并處理用戶數據時,這種方式可以被視為公有云。當云資源或至少云的一部分包含在公司自己的數據中心內,它被稱為私有云。兩種模式的混合,數據穿梭于兩者之間,被視為混合云。
當管理員們升級其IT安全模式到云上后——無論是公有或私有云,都有著各種類型的服務需要保護。例如,某些企業網絡允許用戶通過云存儲服務存儲數據。如果這項服務是對外開放的,如OneDrive、Google Drive或iCloud,在服務器前配置防火墻與規則集,不是個理想的方式,因為性能可能會受到影響。應該考慮將這些緊密配置的防火墻放在這些服務器后面,非軍事區內,以增強保護。
身份管理
管理員可能通過身份管理來加固數據中心安全基礎設施。很多時候,身份管理***結合單點登錄使用,這個平臺實現允許用戶通過一套授權憑據來訪問一系列不同的系統。例如,VMware的Identity Manager允許管理員通過Active Directory基礎設施來授予不同用戶訪問不同應用程序的權限,還可以將終端用戶的移動設備加入域內,實現設備間信任。當有人加入組織,管理員可以通過Identity Manager將她的移動設備加入域,如果這個人后來離開了組織,管理員也可以將該移動設備從域內刪除。
在云中,身份管理的IT安全模式同樣發生了變化。負責身份管理的系統管理員通常需要對非本地的云資源訪問進行授權。以Salesforce為例,管理員和用戶都訪問相同的云資源,但管理員被授予了更高級的權限,可以授權或撤銷其他用戶的權限。不過,如果Salesforce的某些部分出現故障,系統管理員能采取的措施很少。相反,在傳統的數據中心環境中,系統管理員不僅授權和撤銷最終用戶的權限,同樣還需要處理和解決自建數據中心基礎設施內的各種問題。
電子郵件安全
傳統數據中心環境通常都承載了電子郵件服務器集群,主機服務器通常都在某些類型的網絡防火墻設備后面,并且運行著反病毒軟件。近年來,許多公司已經將其電子郵件基礎設施放置在能夠處理深度包檢測的網絡防火墻設備后。
確保郵件安全的方法之一,還有基于云的電子郵件檢查,如TrendMicro的Hosted Email Security與Antispam Protection。這種模式下,組織仍然擁有電郵服務器,但同樣也注冊了TrendMicro的電子郵件域。任何來自組織外部IP網絡的郵件都會被發送到TrendMicro的反病毒服務器上,經由***的惡意軟件簽名檢測。如果郵件被視為安全,它將會被發送到預期的收件人信箱內。
虛擬桌面基礎設施
如果公司擁有數據中心,提供云服務并且不向公眾開放,只有授權人員可以訪問數據中心內的數據。例如,公司可能在某個數據中心內維護著自己的整個企業網絡,而且提供虛擬桌面基礎設施(VDI)作為服務。在這種場景下,用戶不是從自己的辦公桌上訪問各自的桌面。相反,他們訪問某個托管數據中心服務器上的虛擬桌面。從安全角度看,這樣的方式被證明是有利的。例如,管理員可以分配不同的桌面到各個類型的員工或部門;某種桌面可能適合財務與審計部門,而另一種可能適合市場營銷和銷售。然而,涉及到顆粒度量級的場景,可能會給服務器造成容量壓力。
數據中心內的VDI場景,管理員管理虛擬環境,同樣還包括了運行虛擬桌面的裸機服務器。從這個角度看,數據中心管理員管理更接近物理服務器,而不是虛擬化環境。因此,許多傳統的安全機制,如網絡防火墻,是可以考慮的設備,管理員還可能分配不同的物理服務器來承載不同類型的虛擬桌面負載。為保護某些負載上的敏感數據,團隊可能會在不同的VDI部署之間增加防火墻。
許多行為可能是數據中心與私有或公有云應用程序結合所引發的連鎖反應。確定那些公有或私有云服務器需要來自自己數據中心的支持,并確保自己的基礎設施與IT安全模式——包括權限,針對每個服務都進行了適當的設置。
