如果你已经成功地把你们公司中使用的应用程序和数据接入了云的话,那么别人就会说你完成一件非常棒的工作。但是你和我都知道,这些应用程序和数据的安全维护工作才刚刚开始。在这里,我将谈一谈在云计算实施后,或者实施方案已经确立并开始执行时,哪些技术和程序必须要开启、监督并保证其安全。
身份识别和访问管理(IAM)
云计算把我们大家变成了可以远程办公的工作者,但这也使得身份认证和访问管理(IAM)成为了迁移到云计算后的主要挑战之一。拥有一个健全的、关于用户以及用户访问周期性的管理方案很重要,因为它可以使得用户的账户、证书和访问权限都能适用并能进行更新,还能够禁用那些已经离职的用户的账户。我们还期待着建立这样一种机制,它可以充分利用联合身份管理,从而使得用户可以跨越相对独立的安全域安全地访问数据或者其他系统。
更具体一些来说,就是要企业应用程序中加入单点登录(SSO)功能,并且要利用这一架构来简化云提供商的工作。对于那些已经使用SSO的用户来说,他们会感觉到更加无缝迁移到云计算中,这会使得跨越不同类型云计算服务的信任管理简单一些。你还将会得到作了日志记录的基准数据,这些记录可以帮助你监控和评估由于迁移到云计算所带来的变化。
SSO产品应该采用联合实施普遍标准中的某个标准,比如安全声明标记语言(Security Assertion Markup Language)和自由联盟统一联合框架(Liberty Alliance ID-FF)。这些标准扩展了现有的从内部网络越过防火墙到外部云的访问和身份策略,同时仍然可以按照你的信息保护和数据分类规定来执行适当的认证强度。
带宽
云计算不仅使得互联网的使用增加,而且还增加了网络堵塞瓶颈的风险。Web应用程序对延迟极其敏感,网络太忙会导致很多程序的运行非常吃力。停机或者处理缓慢将会大大降低雇员效率,并可能导致他们不遵守相关的策略。比如,文件或着数据传输慢可能会导致员工使用那些相对不安全的方法,这会破坏公司所规定的安全政策。
解决这个问题的一种方法是使用WAN优化产品,这种产品可以通过“改进应用程序流量管理、消除多余的传输”来缓解企业应用程序网络流量的拥塞问题。比如,Citrix系统公司推出的Ctrix Netscaler软件,它提供一个Web 应用程序的防火墙,并且结合了第4-7网络层负荷均衡的流量管理。其它WAN优化厂商还包括Riverbed Technology和Blue Coat系统公司。
防火墙
内部网络和云之间的连结当然应该被加密;在互联网上用明文来回地发送任何敏感或者关键数据就像是主动邀请攻击者来窃取信息一样。作为网络工程师,你一定要确保网络设备可以应付那些在SSL加密通信中大量占用处理器时间的公钥加密算法,你可能需要将那些处理所有SSL操作的SSL加速卡或者代理添加到基础设施中去。但是,加密本身并不能阻止恶意软件或者其它方面的网络攻击。因此,重要的是要对防火墙进行升级来保护你的内部网络,这样防火墙就可以对SSL的流量进行审查。最理想的情况是加密与数据丢失防护产品一起工作,这样可以在执行相关政策的同时还可以对数据进行分类和监管。
审计
在云计算实施后,另外一个重要的任务是对所有安全策略进行审计,以确保它们仍然适用。此外,还需要对故障恢复和业务连续性的计划和程序进行更新和测试。既然云计算基础设施是每天系统管理的一部分,所以过程以及更为重要的“人的角色”需要改变。公司内部的IT团队一定需要与云供应商紧密合作,这样可以在业务连续性计划中很好的理解另一方的责任,包括数据恢复的哪一方面应该由谁来处理。时刻为服务中断而做好准备,这会对严重安全事件起到缓解作用。
最后,不要把供应商服务品质协议SLA里的陈述看作是理所当然的。你需要检查,在商定的时间范围内供应商确实已经对系统进行了备份和修补。你应该要求拥有一份审计结果的副本,并且确保任何建议已经被落实。进行建设性的对话将使得解决双方的安全问题更加容易,所以要保持经常的联系,特别是在应用程序或者系统更新的时候。这种沟通将有助于减少变化而对相关产业或者政府规定的服从所带来的不利影响。