云服务供应商如何在云中将敏感数据分成若干种类呢?Gregory Machler将对如何获取元数据进行讲解。
关于云计算的介绍五花八门,但是在你将重要的业务系统交付给外包商,转移到云中时,我们还是先了解一些安全事宜吧。
最重要的商业应用一般关系到人力资源,财务,信用卡和其他敏感数据。如果这其中任意一类信息遭受损失,都可能导致公司与别人对簿公堂。而这将导致你失去本该属于你的客户。那么如何才能用云计算有效保护你的敏感信息呢?
以下三个方面应该处理好以便将你的应用有效地转移到云:
创建一个次级防火墙保护 (深层防御);
分析应用文档以确定新的防火墙规则更改;
保障传送顺畅的系统和应用元数据的集合。
首先,我们看一看深层防御。将敏感数据放到位于公司主要防火墙之后的次级防火墙区域中。次级防火墙和响应网络会保护敏感应用及其数据,从而确保在面向web的防火墙被破坏的时候,使其不被其他人轻易访问。例如,最好是部署四个以上的防火墙/网络区域:一个用于存放人力资源的数据,一个用来存放财务数据,一个用来存放信用卡PCI数据,另一个用来存放其他区域共享的服务。这个区域包含的共享服务可以是一些普通的支持服务,如网络和系统管理,加密和PKI功能,访问控制服务和安全事件管理功能。
另一种架构部署——隧道访问协议,可以保护企业免遭内部数据盗窃。隧道访问协议时一个访问控制功能,它可以让管理员在区域系统上执行管理任务时记录信息。因此,所有的管理型访问都会被追踪,这样就可以挫败内部信息的盗窃。
第二个要处理的地方是分析,此分析要能够确定应用是否被成功转移到云中的次级防火墙。建议首先从应用的设计文档开始。它可以让你从整体上了解哪些业务需要应用来执行,有哪些中间件被使用,哪些数据库被使用以及有哪些协议被使用。通常它还包括一些逻辑架构。
有必要将注意力放到与应用互动的所有系统上。你的安全团队会收集该应用的各种信息:哪些数据时敏感的,什么样的工具被用来加密,这些工具怎样进行加密,当它是面向web的应用时会有哪些渗透测试结果。同样,我们建议创建一个协议表格来显示所有服务器及其IP地址,所使用的协议以及端口使用的协议(TCP或UDP)。网络视图明确地显示了哪些服务器可以彼此传输信息,它们又适合哪些协议。有必要将交换机,路由和其他网络架构区域纳入进来,因为协议/端口只在它们之上运行。如果协议表格很完整,那么创建防火墙规则就是很简单的事情。防火墙规则由源和目标IP地址,所使用的协议,运行于协议之上的端口组成。
最后,建议将系统和应用元数据收集好整理在一起,以便更好地转移应用。另外,如果你遇到业务中断等灾难或者其他要将你的应用从云中转出的行为,你都会需要这些数据。系统信息存在于每个防火墙/网络区域上。所有的应用都共享相同的系统数据,如相同的防火墙,路由,交换机,加密法则以及存储子系统。系统元数据包括供应商,模式,软件发布及版本还有其他系统范围内的配置数据。应用数据是类似的,但是它要处理加载平衡器,加密方法,中间件,数据库,服务器硬件和操作系统和服务,协议以及运行于这些系统之上的端口。应用元数据包括供应商,模式,软件发布和版本以及其他应用配置数据。
将元数据保存在什么地方是另一个存在争议的问题。建议将这一信息保存在LDAP存储的层级中。我们可以在目录中创建两个层级:一个是“区域系统”,主要用于以上示例的四个区域;另一个称为“应用”,主要用于给定区域中所有应用。这样的分类排序有利于元数据的系统化管理,而敏感的云应用也可以快速部署到位。最重要的是,它可以将应用或区域快速部署到云中。
总而言之,转移重要的云应用涉及到将数据放到次级防火墙之后。普通的服务存在于所有分区应用都共享的其中一个区域之中。应用应该位于单独的分区中,而分区的依据则是按照受保护的数据类型来划分,如信用卡数据,财务数据和人力资源数据以及共享的服务。应该创建各种文档或审查各类文档以确保次级防火墙之后的应用可以顺利转移。收集的元数据来自二层架构:每个区域的普通系统和每个区域的不同应用。建议将元数据保存在可以被很容易就检索到的目录中。