缓解企业对公有云安全担忧十个简单办法

对OpSource——我们不提亚马逊Web服务(AWS)、Rackspace、Terremark和其他企业——来说,这个答案就是2层VLAN。在OpSource案例中,用户使用VPN客户端或站到站VPN隧道连接到云中。这种做法让公有云成为私有云的延伸,从而使其成为一种安全的混合云。

美国国家公路交通安全管理局(NHTSA)在2009年时花费了30天时间建设并测试了为总统奥巴马的《协助消费者回收暨节约法案》所构建的基础设施,NHTSA的答案是来自Layer 7科技公司的CloudSpan CloudConnect网关。这种服务允许NHTSA将其服务器放置在公有云中,并加以适当的安全控制。结果是,这个被消费者称为“旧车换现金”的法案让超过69万的美国人领到了货币补贴,可以用旧车换辆更新、更清洁、更安全的新车。

具有VPN功能的公有云和附加的安全层,如CloudSpan,还只是众多解决公有云安全问题的其中两例而已。每个个案都有自己的长处和短处,缺陷中有成本、复杂性、性能和延迟开销等。

组织可以优化这些解决公有云安全的方法,这要依据某个应用到底是不是关键任务,以及如何保证该应用所需的数据安全而定。下面是十个强化公有云安全以支持企业级应用的方法。

1、为公有云选择合适的应用

有些企业,包括大多数新创企业,一开始都会为其所有应用采用公有云服务,包括关键任务应用及其相关数据。例如快速成长的社交媒体网站Pinterest就使用了150个AWS实例,所存储的数据目前已超过了400TB,这样一个新创企业就把自己的所有应用都放在了公有云上。

然而,公有云并不适合于所有组织,也并不适合于一个组织内的所有应用。一般来说,适合于公有云的企业应用都没有很严格的安全要求。在网站、应用开发、测试、在线产品目录和产品文档等案例中,大多数云服务提供商(CSP)所提供的默认安全足以应付此类应用的安全需求。

2、如有必要,评估并强化安全

CSP所提供的公有云安全可以说千差万别。因此在评估CSP时务必注意这一点。ISO/IEC 27000标准系列提供了系统研究信息安全风险、重视各类威胁、漏洞及其影响的各种准则,用于设计和实施一套全面的信息安全控制系统,采用可确保准则遵照执行的管理流程。

正考虑将敏感应用及其数据迁移到公有云的组织需要根据这些标准来评估和比较不同CSP的安全措施。如有必要,在组织内部私有云所使用的安全措施也可扩展到其公有云实例中。如上所述,诸如CloudSpan等公司的产品允许组织在私有和公有云实例上强制执行相同标准的信息和应用安全策略。

3、确认并使用适当的第三方审计服务

在考虑安全合规性时,组织不能简单地相信CSP的宣传。第三方审计服务可以审计CSP的流程及相关程序,看他们是否符合安全标准,是否一致等,并可将它们与CSP对客户的承诺进行对照。SAS 70 Type II标准规定了此类审计至少需要延续6个月甚至更长时间。将一些应用迁移到公有云中,并在一定延长期内对其加以审计,可以为组织提供一定的适应期,以便企业能更自信地将更多敏感应用及相关数据迁移到公有云中。

4、增加身份验证层

大多数CSP都会为公有云实例提供良好的身份验证服务,但是像SaaS安全厂商CloudPassage的产品Halo NetSec还额外增加了一个身份验证层。这里你需要权衡,是需要更好的公有云安全还是需要降低可能增加的网络延迟成本、可能带来的性能退化以及额外增加的故障点。

5、考虑附加安全对集成的影响

大多数领先CSP提供的默认安全已经相当强大。在其上再增加公有云安全措施可能会影响到整体的应用性能,同时还会让认证和接入管理工作变得更复杂。如果企业的关键任务应用需要与其他业务应用集成的话,那么这些考虑因素就更加重要了,因为最终用户不喜欢应用在他们需要的时候急忙打不开。

6、把安全条款放在SLA的最前面

在运行私有云时,你会有一些工具让你知道何时以及何地可能发生安全泄露。但是一个CSP的客户如何才能不断获知此类安全泄露事件呢?

CSP所提供的公有云安全保障不是最好的,除非在签约时写成书面的SLA条款,除非透明监控和报表功能对云客户来说是可用的。CSP自拟的合同在这方面可能毫无用处。

7、坚持透明的安全流程

在SLA中对透明和可检验的安全流程、程序以及实践的要求远远超出了对潜在的数据泄露风险的要求。在企业租借托管服务器时,至少还有一个物理的场所在,你还可以看见放置物理服务器的机柜。而在公有云中,你却无法准确地知道企业云实例的物理行踪,你所有可依赖的只有CSP为你提供的信息。这也是为什么透明是如此重要的原因。

8、简化日志和监控

仔细考量CSP云实例的监控和日志是确保公有云安全的另一个关键。在签署SLA之前,比较一下各家CSP的日志和监控实践,或许能揭示出各家CSP所提供的安全措施之间的细微差别。

9、加密

你可以使用自己的加密方法,而不使用CSP所提供的方法。虽然CSP会对信息加密之后再发送到公共互联网上,存储在公有云中,但CSP还要发送加密密钥。这可能会让组织感觉不放心,因为密钥有可能会在发送途中落入恶意分子手中。

有不少可安装产品或SaaS厂商都可以联机进行这类加密。这样做时,只有客户和第三方厂商指导密钥,CSP则无法获知。

10、采用多家、冗余的CSP分散风险

从多家厂商购买连接数据中心的高带宽,是一种常见的做法,这是因为企业希望将风险在多家提供商之间分散。如果一家CSP宕机,其他厂商依然可以正常运行。目前,有不少云配置工具都已集成在了领先CSP的服务中。

企业可以按需自动启动多个CSP的附加的服务器实例,有些网站如Pinterest(下午和傍晚)和Netflix(周末)可以在峰值期间提供此类实例。在此处,如果CPU使用率达到某个阀值,附加的实例便会启动,而当使用率下降时,实例便会关闭。

在启动附加实例时,采用循环方式使用不同CSP的实例是很合理的。例如,第一个实例使用AWS的,第二个使用Rackspace的,第三个使用OpSource……等等。如果采用这种方式,那么6月29日发生的AWS服务中断事件就不会对组织的应用造成不利影响了。

权衡公有云的安全与性能

虽然安全是很多组织在使用公有云作为IaaS时的首要关注问题,但是也有不少方法可以有效地解决这一问题。最简单的方法就是只将最不敏感的应用和数据迁移到公有云中。

如果组织决定把关键任务应用迁移到云中,则需要在CSP所提供的安全措施之外再增加一些安全措施。不过在增加公有云安全层时总是需要进行一番权衡的,因为这样做有可能增加故障点或导致应用运行得更慢。在安全和性能之间寻找恰当的平衡点可能是困难的,但努力实现这种平衡则会让组织感到安心。

时间: 2024-11-05 21:37:10

缓解企业对公有云安全担忧十个简单办法的相关文章

公有云安全探索中寻求破题之道

也许有一天,云安全厂商和云服务供应商将说服企业的CIO们,可以放心将企业安全敏感数据和重要程序从私有云搬家到公有云平台,但不幸的是,这一天还远没有到来. 笔者专访的信息安全从业者.顾问和分析师表示,云安全厂商和云服务供应商在企业信息化应用方面,还有很长的路要走,在公共和私有云混合部署前,他们需要为企业客户提供一个便捷.安全的公共云空间. 公共云安全问题已经成为全球企业信息化转型的关键 关于企业IT部门将非敏感数据存储放入公有SaaS平台的问题,业界人士表示,如果放入类似Salesforce公司这

公有云安全:落地的第一要务

公有云,一个炙手可热的词汇,一个众说纷纭的技术,一个尚未成熟的市场.这三个看似矛盾的现状,源发于Google在技术领域的努力,开始于亚马逊在市场领域的开拓,呈现于各大厂商的角力之中. 作为一种通过互联网提供免费或成本低廉的信息服务模式,公有云从一开始就引发各方争论.关于它的每个技术细节.业务运作及市场前景,各方立场的不同,导致各自对它的评判也是"公说公有理,婆说婆有理",但核心问题,还是围绕着"价格"和"安全"来展开. 公有云:价格or安全,谁是

走进公有云安全

企业对于将数据移动到公共云设施的主要担忧是安全性.然而,具有讽刺意味的是,公有云相较于现场服务器和存储设备这些传统存储方式,可以更好地为数据存储提供保护.具有领先地位的云服务提供商通常在云安全方面有更多的专业知识.因此,他们可以利用 大量的现有技术来保证企业数据在其基础设施中的安全.事实上,在企业发生的数据盗窃案中,有许多是员工盗取硬盘或是在未经允许的情况下进行数据复制所造成的.因此,如果将数据放在服务提供商的存储设备中进行异地存储,就可以有效地消除风险. 围绕云计算,有各种各样的恐惧和担忧.我

小编带你解读2015年的公有云安全情况

近日,云服务商UCloud安全中心公布了<2015公有云安全年度报告>,报告对全年DDoS攻击情况,漏洞遭受攻击情况.以及云安全发展趋势.年度安全事件等情况等进行了总结和披露.从这份报告中,我们能够了解过去一年公有云市场的安全情况.通过对过去一年的安全问题总结,我们就可以对2016年的安全问题进行针对性地解决. 对于公有云的安全,基本上可以分为两块:DDoS攻击和漏洞攻击.这也不难理解,毕竟公有云是暴露在互联网上,所以面临的网络安全也是显而易见的. DDoS攻击分析 DDoS攻击一直是互联网毒

公有云安全:哪个工具可以保证?

尽管我们的企业使用了一系列的AWS工具,我们还是希望能进一步提升数据的安全措施.那么,在AWS中,有哪些可用的工具来确保数据和资源的安全性呢? AWS拥有一系列的安全服务,包括身份识别和访问管理.虚拟私有云(VPC),以及大量的加密选项和审计工具.然而,特定行业的云客户,如金融.健康事业,他们大部分希望寻求第三方工具来确保公有云资源 的安全,或提升信息安全控制.下面有一些值得考虑的选项. Alert Logic为AWS用户提供了大量的服务,包括威胁管理产品--它提供了漏洞扫描和网络入侵检测服务.

公有云安全防护 数据加密助其摆脱风险

眼下,云计算发展的如火如荼,在市场上已占有了一大片天地.公有云作为云计算的主要形态,作为一个支撑平台,因其低廉的价格和具有强大吸引力的服务,越来越多的公众企业与机构开始涉足这个领域. 2013年,中国为多个国际巨大大开公有云市场的大门:微软.IBM.亚马逊--在公有云倍受青睐的同时也有相当数量的人坚定的站在私有云这一阵营,他们认为比起公有云来,私有云有着优越的安全性.必须承认的是,公有云确实存在着信息安全隐患.云服务器上的数据安全如何保证? 一.用户拥有数据,同时也要为此负责 "当我们把数据上传

UCloud 2015公有云安全年度报告:互联网金融被DDos次数增长330%

3月1日,云服务商UCloud发布<2015公有云安全年度报告>.报告指出,游戏.企业服务.电商和互联网金融行业则成为攻击"重灾区",游戏占攻击总量的30.1%,而互联网金融Q4相比Q3暴增330%以上.此外,上百G的反射性分布式拒绝服务(DistributedDenial of Service,简称DDoS)攻击已成为黑客最常用的攻击手段. UCloud指出,互联网安全形势日益错综复杂,UCloud优盾服务将为企业提供全方位的安全保障,UCloud也提倡与安全厂商.爱好者

UCloud 2015公有云安全年度报告:漏洞攻击增速超40%

3月1日,云服务商UCloud发布<2015公有云安全年度报告>.报告指出,Web攻击.暴力破解等漏洞攻击次数相比2014年增长超过40%,80.443.8080.8000等端口成为Web攻击的重点目标,SQL注入和Web组件漏洞攻击占3/4以上,SSH.HTTP.RDP.FTP.MySQL.MSSQL等应用程序则成为暴露破解的选择对象.此外,攻击源呈现全球分布,网络安全形势日益错综复杂. UCloud指出,面对愈发多变的攻击手段,UCloud优盾服务将为企业提供全方位的安全保障,UCloud

十个简单好用的设计技巧

[编者按]本文作者Mark Praschan是一位具有将近十年经验的http://www.aliyun.com/zixun/aggregation/7007.html">网页设计师,Web开发师,Web项目经理人. 文中强调复杂的高级效果能为设计增色不少,但如果用得不对,只会影响用户对重点内容的关注.高级效果可能正好是一项好的设计的冲击力所在,但即便如此,也还是需要一些更简单的效果与其配合. 简单的效果和技巧是建造当今设计的基石.比方说,如果你都不知道如何正确选择颜色和文字效果,灿烂的 星