如今,上雲與否早已不是選擇題。在企業實作數字化轉型的過程中,雲計算的重要性不言而喻。對于CIO來說,關鍵任務變成了找到适合的雲服務商,并且根據自身業務特性逐漸遷移到雲端。不過随着業務加速雲化,一些企業的安全團隊卻仍然停留在原有的思維定式,忽視了對新業務部署時的風險控制,這種威脅不僅是在應用層,還有架構層。
安全要走在上雲前面(圖檔來自Healthcare IT Security)
今年以來,雲應用和基礎架構層面的資料洩露事件已經發生多起,而且勒索病毒和其他各類惡意軟體的數量也在顯著增加。例如,Slack和CloudFlare發現的漏洞影響了數百萬使用者的私密資訊,Verizon更是由于Amazon S3伺服器的配置錯誤,洩露了1400多萬美國客戶的資料。拿Slack來說,這種移動化辦公的方式正在被越來越多的人所接受,團隊工作組可以通過應用執行個體跨組織快速切換,一旦遭受黑客攻擊就是大規模的權限丢失。至于Verizon,面臨的問題則是失去了對基礎設施的控制,可遠端設定的伺服器上線是友善了,但安全協定卻不完善。
LinkedIn曾經做過一項調查:49%的CIO和企業認為,影響他們上雲的主要原因是擔心資料的丢失和洩漏,59%的人認為,傳統的網絡安全工具在雲端具有局限性。事實上,盡管目前各廠商在設計架構時更重視IaaS層的資源隔離,不過PaaS層和SaaS層仍儲存了大量的使用者資料。之是以出現這些問題,一方面是上雲業務與原有IT架構的安全元件內建度不夠,另一方面也是企業客戶過于追求成本效益,忽視了安全因素。
為了讓安全性追上業務向雲遷移的速度,雲服務商和企業客戶需要從基礎實施、托管平台、應用部署方面,圍繞政策法規、資料存儲、成本管理等流程建構一體化方案。在企業内部,涉及關鍵項目的所有成員要對雲安全技術引起重視,而不是把責任推給單獨的安全部門。在企業外部,需要讓身份通路、日志管理、事件響應滿足雲時代的監管标準。
決策與規劃方面,企業開發和使用應用程式,以及後續的測試、質保環節都有可能遭到外部攻擊,基于實體伺服器的IT資源虛拟化共享使得被黑往往是聯帶的,即使是專用伺服器也難以保證絕對的安全性。一般來說,企業CIO要在采購前制定預制規則和應對政策,首先是收集業務需求結合資料的存儲及處理,讓IT部署适配雲架構進而成為員工的操作規範。同時,企業的安全人員也要定期追蹤工作中産生的問題,與雲服務商配合從底層消除風險。
資料遷移與存儲方面,首要關注的應該是資料丢失和災備,傳統的煙囪式架構在處理敏感資料時會有安全缺失,企業在初期選擇雲服務商時才依據自身業務特性來制定具體的安全防護标準。此外,雖然雲服務商通常會提供資料備份,但企業最好還是在本地有自己的保護措施,并且要監控通路資料的ID,加密核心資訊。當涉及到多雲遷移的時候,各個雲服務商可以提供統一的資料管理API,減少出現服務故障導緻資料傳回的工作量成本。
總體來說,雲端資料遷移時先要打包整體的資料源,關注部分資料可能會導緻最終處理時失真。其次,資料遷移的對象範圍和規模要給出預估,充分利用邊緣化的存儲。再者,自動化流程往往比人工幹預要更有效率。涉及到具體的資料傳輸加密過程,可以結合用戶端/應用加密、鍊路/網絡加密、代理加密三種模式。其中,第一種是讓資料先加密再傳輸,第二種兼顧了硬體和軟體加密方案,第三種則是将加密機制整合到了應用程式中。
結語
企業部署雲計算不是一蹴而就,初期部署一些輕量化業務上雲測試是必要的。除了要選擇熟悉的雲服務商,還要實時監控資料中心和雲端業務的運作情況,并且在出現問題時迅速決定投入哪些資源來抵禦攻擊。更重要的是,企業要在隐私和安全性之間找到平衡點,運用威脅檢測等算法辨識有效或無用的流量資料,隻有這樣才能真正的用好雲。
本文作者:佚名
來源:51CTO
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)