云计算代表着业务功能的巨大变化,对一个机构的IT基础设施来说更是如此。没有人能比网络管理者更能感受这种变化的影响了,因为他们的任务就是保证机构数据和网络用户的安全。
虽然共享数据、应用程序和IT基础设施可以在成本和生产效率上带来显著的优势,但是它们都只发生在企业防火墙和物理环境这一理想区域以外。作为一个网络管理者,你在云计算实现过程中的任务是,在把数据、应用程序和基础设施传输到云端之后,仍能确保用户和数据的安全。虽然云服务提供商需要为企业数据安全承担共同的责任,但最终企业安全的支持者(即网络管理者)要对此负责。在这篇文章中,我们将针对基础设施延伸进入云端的安全性问题,讨论如何构建企业网络。
在把任何数据或应用程序移动到云端之前,必须对内部网络安全现状进行评估。这是一个对网络进行检测的好时机,以此观察网络防护性能与你的数据策略(包括安全性、完整性和可用性)、法规要求以及行业非常好的标准的匹配程度。
这种检测带来的好处很多。使用一个或多个免费商业网络检测工具肯定会发现实际情况比理想情况要更糟糕。一旦这些被更好的安全技术和改进程序所完善,那么就可以为网络及其它所承载的设备、用户和应用程序以及它所处理的流量确立一个合理的安全底线。在今后的检测和安全配置检查中可以参考这个底线,从而确定网络安全在转到云计算后会受到哪些影响。
其次,这也表明,理解云服务提供商的安全策略和程序是很重要的。关键是寻找一个既能够满足企业的安全要求,又能与防火墙防护能力相当的安全级别。为了避免混淆谁将对你数据安全的各个方面(如备份、访问和数据损坏)负责,我将根据合同,明确应该由哪一方来负责遵守相关政策或标准。
根据云服务的传输方式,防火墙的设置可能需要调整。为了确保包括周边防护(如IDS / IPS系统)在内的措施已经得到正确的调整,请与供应商紧密合作,因为供应商肯定具有处理各种可能的网络安全配置问题的经验。如果有必要,修改防火墙规则或者开放其他端口,必须确保每次进行这些改动都进行了另外一次网络检测,从而更新网络安全底线。可以使用如Nmap这样的工具来检查,以确保只有合适的端口被开放,并且没有任何授权或连接违反了安全策略。
每当一项新的服务被添加到网络中,必须确保访问权限和职责的充分隔离,防止个人可能有意无意地损坏公司数据。对账户和人力资源雇佣登记的权限进行审查非常必要,这可以确保权限仍然适当,而那些不再使用的账户也已得到终止。作为云计算的一部分,如果你对第三方(如,供应商和客户)开放网络访问权限,那么任何网络接入控制(NAC)系统配置也必需重新检查。要确保当前NAC产品可以应付用户的急剧增加。实际上,许多机构仍在寻找基于SaaS的NAC解决方案,从而确保可扩展性和互操作性。
因为云计算的应用会在一定程度上消除静态数据和动态数据之间的差异,因此数据加密成为最重要的防护手段之一。本质上,加密的数据是受到保护的,因此即使受到其他服务的保护,所有的数据和通讯都将需要进行加密。此外,加密的数据不可读取,减轻了对云端数据损坏的一些担忧。数据加密还允许任务和数据的分离,因为密钥控制着数据的访问。我可能会使用诸如Wireshark这样的分析软件对网络进行常规检查,从而确保通信信道正在被加密。
最后,不要因为第一次开发实验内部云和混合云,而害怕测试网络的安全性。你可以采用与云计算供应商相同的方式来提供应用服务,而这只能在网络周边范围内进行,或用有限的、非关键任务的功能来测试云供应商的实力从而进行实验。我还建议你阅读云安全联盟发布的指南,这将有助于你了解云计算组织主要的关注领域。
然而,为云计算构建网络只是第一步。为了使云计算真正成功,你需要确保当你开始运行云服务时,你的安全底线仍然能够得到执行。你还需要适应和发展防御和安全技术,以便处理新的威胁。在下一篇文章中,我们将关注这些挑战。