對OpSource——我們不提亞馬遜Web服務(wù)(AWS)、Rackspace、Terremark和其他企業(yè)——來說，這個答案就是2層VLAN。在OpSource案例中，用戶使用VPN客戶端或站到站VPN隧道連接到云中。這種做法讓公有云成為私有云的延伸，從而使其成為一種安全的混合云。

美國國家公路交通安全管理局(NHTSA)在2009年時花費(fèi)了30天時間建設(shè)并測試了為總統(tǒng)奧巴馬的《協(xié)助消費(fèi)者回收暨節(jié)約法案》所構(gòu)建的基礎(chǔ)設(shè)施，NHTSA的答案是來自Layer 7科技公司的CloudSpan CloudConnect網(wǎng)關(guān)。這種服務(wù)允許NHTSA將其服務(wù)器放置在公有云中，并加以適當(dāng)?shù)陌踩�控制。結(jié)果是，這個被消費(fèi)者稱為“舊車換現(xiàn)金”的法案讓超過69萬的美國人領(lǐng)到了貨幣補(bǔ)貼，可以用舊車換輛更新、更清潔、更安全的新車。

具有VPN功能的公有云和附加的安全層，如CloudSpan，還只是眾多解決公有云安全問題的其中兩例而已。每個個案都有自己的長處和短處，缺陷中有成本、復(fù)雜性、性能和延遲開銷等。

組織可以優(yōu)化這些解決公有云安全的方法，這要依據(jù)某個應(yīng)用到底是不是關(guān)鍵任務(wù)，以及如何保證該應(yīng)用所需的數(shù)據(jù)安全而定。下面是十個強(qiáng)化公有云安全以支持企業(yè)級應(yīng)用的方法。

1、為公有云選擇合適的應(yīng)用

有些企業(yè)，包括大多數(shù)新創(chuàng)企業(yè)，一開始都會為其所有應(yīng)用采用公有云服務(wù)，包括關(guān)鍵任務(wù)應(yīng)用及其相關(guān)數(shù)據(jù)。例如快速成長的社交媒體網(wǎng)站Pinterest就使用了150個AWS實例，所存儲的數(shù)據(jù)目前已超過了400TB，這樣一個新創(chuàng)企業(yè)就把自己的所有應(yīng)用都放在了公有云上。

然而，公有云并不適合于所有組織，也并不適合于一個組織內(nèi)的所有應(yīng)用。一般來說，適合于公有云的企業(yè)應(yīng)用都沒有很嚴(yán)格的安全要求。在網(wǎng)站、應(yīng)用開發(fā)、測試、在線產(chǎn)品目錄和產(chǎn)品文檔等案例中，大多數(shù)云服務(wù)提供商(CSP)所提供的默認(rèn)安全足以應(yīng)付此類應(yīng)用的安全需求。

2、如有必要，評估并強(qiáng)化安全

CSP所提供的公有云安全可以說千差萬別。因此在評估CSP時務(wù)必注意這一點。ISO/IEC 27000標(biāo)準(zhǔn)系列提供了系統(tǒng)研究信息安全風(fēng)險、重視各類威脅、漏洞及其影響的各種準(zhǔn)則，用于設(shè)計和實施一套全面的信息安全控制系統(tǒng)，采用可確保準(zhǔn)則遵照執(zhí)行的管理流程。

正考慮將敏感應(yīng)用及其數(shù)據(jù)遷移到公有云的組織需要根據(jù)這些標(biāo)準(zhǔn)來評估和比較不同CSP的安全措施。如有必要，在組織內(nèi)部私有云所使用的安全措施也可擴(kuò)展到其公有云實例中。如上所述，諸如CloudSpan等公司的產(chǎn)品允許組織在私有和公有云實例上強(qiáng)制執(zhí)行相同標(biāo)準(zhǔn)的信息和應(yīng)用安全策略。

3、確認(rèn)并使用適當(dāng)?shù)牡谌�方審計服�?wù)

在考慮安全合規(guī)性時，組織不能簡單地相信CSP的宣傳。第三方審計服務(wù)可以審計CSP的流程及相關(guān)程序，看他們是否符合安全標(biāo)準(zhǔn)，是否一致等，并可將它們與CSP對客戶的承諾進(jìn)行對照。SAS 70 Type II標(biāo)準(zhǔn)規(guī)定了此類審計至少需要延續(xù)6個月甚至更長時間。將一些應(yīng)用遷移到公有云中，并在一定延長期內(nèi)對其加以審計，可以為組織提供一定的適應(yīng)期，以便企業(yè)能更自信地將更多敏感應(yīng)用及相關(guān)數(shù)據(jù)遷移到公有云中。

4、增加身份驗證層

大多數(shù)CSP都會為公有云實例提供良好的身份驗證服務(wù)，但是像SaaS安全廠商CloudPassage的產(chǎn)品Halo NetSec還額外增加了一個身份驗證層。這里你需要權(quán)衡，是需要更好的公有云安全還是需要降低可能增加的網(wǎng)絡(luò)延遲成本、可能帶來的性能退化以及額外增加的故障點。

5、考慮附加安全對集成的影響

大多數(shù)領(lǐng)先CSP提供的默認(rèn)安全已經(jīng)相當(dāng)強(qiáng)大。在其上再增加公有云安全措施可能會影響到整體的應(yīng)用性能，同時還會讓認(rèn)證和接入管理工作變得更復(fù)雜。如果企業(yè)的關(guān)鍵任務(wù)應(yīng)用需要與其他業(yè)務(wù)應(yīng)用集成的話，那么這些考慮因素就更加重要了，因為最終用戶不喜歡應(yīng)用在他們需要的時候急忙打不開。

6、把安全條款放在SLA的最前面

在運(yùn)行私有云時，你會有一些工具讓你知道何時以及何地可能發(fā)生安全泄露。但是一個CSP的客戶如何才能不斷獲知此類安全泄露事件呢?

CSP所提供的公有云安全保障不是最好的，除非在簽約時寫成書面的SLA條款，除非透明監(jiān)控和報表功能對云客戶來說是可用的。CSP自擬的合同在這方面可能毫無用處。

7、堅持透明的安全流程

在SLA中對透明和可檢驗的安全流程、程序以及實踐的要求遠(yuǎn)遠(yuǎn)超出了對潛在的數(shù)據(jù)泄露風(fēng)險的要求。在企業(yè)租借托管服務(wù)器時，至少還有一個物理的場所在，你還可以看見放置物理服務(wù)器的機(jī)柜。而在公有云中，你卻無法準(zhǔn)確地知道企業(yè)云實例的物理行蹤，你所有可依賴的只有CSP為你提供的信息。這也是為什么透明是如此重要的原因。

8、簡化日志和監(jiān)控

仔細(xì)考量CSP云實例的監(jiān)控和日志是確保公有云安全的另一個關(guān)鍵。在簽署SLA之前，比較一下各家CSP的日志和監(jiān)控實踐，或許能揭示出各家CSP所提供的安全措施之間的細(xì)微差別。

9、加密

你可以使用自己的加密方法，而不使用CSP所提供的方法。雖然CSP會對信息加密之后再發(fā)送到公共互聯(lián)網(wǎng)上，存儲在公有云中，但CSP還要發(fā)送加密密鑰。這可能會讓組織感覺不放心，因為密鑰有可能會在發(fā)送途中落入惡意分子手中。

有不少可安裝產(chǎn)品或SaaS廠商都可以聯(lián)機(jī)進(jìn)行這類加密。這樣做時，只有客戶和第三方廠商指導(dǎo)密鑰，CSP則無法獲知。

10、采用多家、冗余的CSP分散風(fēng)險

從多家廠商購買連接數(shù)據(jù)中心的高帶寬，是一種常見的做法，這是因為企業(yè)希望將風(fēng)險在多家提供商之間分散。如果一家CSP宕機(jī)，其他廠商依然可以正常運(yùn)行。目前，有不少云配置工具都已集成在了領(lǐng)先CSP的服務(wù)中。

企業(yè)可以按需自動啟動多個CSP的附加的服務(wù)器實例，有些網(wǎng)站如Pinterest(下午和傍晚)和Netflix(周末)可以在峰值期間提供此類實例。在此處，如果CPU使用率達(dá)到某個閥值，附加的實例便會啟動，而當(dāng)使用率下降時，實例便會關(guān)閉。

在啟動附加實例時，采用循環(huán)方式使用不同CSP的實例是很合理的。例如，第一個實例使用AWS的，第二個使用Rackspace的，第三個使用OpSource……等等。如果采用這種方式，那么6月29日發(fā)生的AWS服務(wù)中斷事件就不會對組織的應(yīng)用造成不利影響了。

權(quán)衡公有云的安全與性能

雖然安全是很多組織在使用公有云作為IaaS時的首要關(guān)注問題，但是也有不少方法可以有效地解決這一問題。最簡單的方法就是只將最不敏感的應(yīng)用和數(shù)據(jù)遷移到公有云中。

如果組織決定把關(guān)鍵任務(wù)應(yīng)用遷移到云中，則需要在CSP所提供的安全措施之外再增加一些安全措施。不過在增加公有云安全層時總是需要進(jìn)行一番權(quán)衡的，因為這樣做有可能增加故障點或?qū)е聭?yīng)用運(yùn)行得更慢。在安全和性能之間尋找恰當(dāng)?shù)钠胶恻c可能是困難的，但努力實現(xiàn)這種平衡則會讓組織感到安心。

在不久的將來，云計算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計算，及時獲取人工智能、大數(shù)據(jù)、云計算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： 安全 大數(shù)據(jù) 服務(wù)器 公有云 互聯(lián)網(wǎng) 漏洞 媒體 網(wǎng)絡(luò) 信息安全 云服務(wù) 云計算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。