每每谈到云安全,人们通常会说"云服务供应商应该怎样做",因为数据与应用服务都由供应商提供。不过企业也必须记住,作为云服务的用户,他们也承担着云安全的重要责任,在有些情况下甚至是最大的云安全责任。企业绝不要忘记,一旦发生安全事故,他们是第一时间面临挑战的,因为毕竟企业才是负责收集数据的实体。
其实,云安全理应是云服务供应商和企业的共同责任。责任界限的划分应直接取决于企业所选择的云服务模型,它们既可能是软件即服务(SaaS),又可能是平台即服务(PaaS),还可能是基础架构即服务(IaaS)。
作为一种极端服务模型,SaaS被看作是安全"黑匣子",在这种模型下,大多数的应用安全活动都无法被企业看到。IaaS则代表另一个极端,这时候,企业就成为了应用、数据以及其他级别基础设施的主要安全负责人。那么企业在云中应该怎么做才能为云资源提供企业级安全保护呢?
集中管理
云架构的基本前提是在企业外围的数据和流程分配。每个基于云的服务都具有存在于企业外并最终不受IT部门直接控制的服务器。如果缺乏外围限制访问的安全性,每台服务器都需要控制自身资源的访问。一个企业使用的服务器多达数百台,甚至数千台,考虑通过IT管理每台服务器的访问权限,这不现实。
管理服务器访问的可行方法是建立集中控制机制,通过用户角色和数据类型确定访问权限,然后将这些规则推送到基于云的服务。控制因素需要以数据本身为基础而不是根据服务器的物理位置判断。这是因为,数据可经常被迁移到提供访问的最适合位置,并且审计控制必须建立在数据基础上,而不必考虑位置。
联合身份管理
在分布式环境中维护通用用户身份对维护有效的访问至关重要。因为数据存储在多个应用程序访问的多台服务器上,因此,无论位置和应用程序如何,身份管理必须能分配并撤销用户权限。
联合身份管理需要管理企业拥有和控制的内部系统访问权限。企业还必须将同样的权限等级应用到访问计算资源(外部提供)的用户。这种身份管理简化了过程,并允许企业控制内部和外部应用程序的访问权限。
了解厂商
云服务厂商通常会提供不同的服务级协议(Service-Level Agreements,SLA),其涵盖了最常见的风险与合规问题。IT部门有义不容辞的责任了解SLA未充分涵盖哪些领域,并提供自己的缓解流程或与厂商合作缩小标准产品和所需企业保护之间的差距。政府法规十分重视合规和完全确保网络安全保护,在某些情况,这些法规提出了强制要求。
部署网络入侵保护
网络计算面临的现实就是:数据盗窃分子在未来会一直存在,并会对现有的机会加以利用。运行多个分布在广泛地区的多个计算资源变得日益复杂,这使得有效防御构建十分困难。不存在保护企业系统的单一方法,IT部门需要执行所有正规预防措施,以保持系统定期更新,从而应对新发现的威胁媒介。
使用知名度较高的工具尤为重要,因为这些工具在现有签名病毒检测工具的基础上增加了警报层。此外,云系统附加允许个人将企业网络连接到未审查的服务。某些白名单服务还能帮助防止流氓服务取得网络访问权,并注入漏洞利用。
保护企业数据一直以来都是一个挑战,而当今基于云的基础设施更加复杂化。安全专业人员需要了解企业的连接网络,并将最佳资源部署到位,以保护资源安全。IT部门可以与其它服务提供商合作,定期更新硬件,并开发整个企业范围的服务器管理策略,从而减少网络基础设施中的安全隐患数量。
本文转自d1net(转载)