假設(shè)一個(gè)組織之前已經(jīng)成功地使用著云服務(wù)���,把某些對(duì)于組織不那么重要的功能外包出去����,如果一直以來(lái)的使用體驗(yàn)都很好����,那么他們就會(huì)很自然地考慮下一步把一個(gè)或多個(gè)企業(yè)應(yīng)用遷移至云計(jì)算環(huán)境��。
但是�����,把應(yīng)用遷移至云計(jì)算是需要經(jīng)過(guò)仔細(xì)規(guī)劃的�,尤其是對(duì)于應(yīng)用與其數(shù)據(jù)的安全性方面更應(yīng)謹(jǐn)慎����。當(dāng)我們?cè)谝?guī)劃云計(jì)算應(yīng)用遷移工作時(shí),首先分析和制定出應(yīng)用的安全需求是非常重要的��。在本文中,我們將解釋如何開(kāi)展安全分析工作以確保在云計(jì)算遷移規(guī)劃中充分考慮到應(yīng)用安全性的問(wèn)題��。
配置文件中的組件
一個(gè)應(yīng)用的安全配置文件是對(duì)應(yīng)用安全特性的詳細(xì)分析����。該配置文件提供了對(duì)關(guān)鍵安全功能的全面審計(jì)�����,并涉及了與應(yīng)用相關(guān)的各種安全屬性——例如加密����、訪(fǎng)問(wèn)控制�����、錯(cuò)誤日志記錄和處理等等�����。
配置文件應(yīng)當(dāng)包括如下的信息:
· 執(zhí)行摘要:解釋配置文件的目的和范圍�,還詳細(xì)描述了應(yīng)用的配置及其安全屬性。
· 安全參數(shù):標(biāo)示用于歸類(lèi)應(yīng)用安全等級(jí)的度量。
· 分析結(jié)果:提供對(duì)每個(gè)安全標(biāo)準(zhǔn)分析結(jié)果的解釋?zhuān)约八鼈兪侨绾闻c應(yīng)用的保密性、完整性以及可用性相關(guān)聯(lián)的���,還確定了潛在的漏洞及其影響。
· 建議措施:提供關(guān)于如何補(bǔ)救所發(fā)現(xiàn)的漏洞����、在遷移之前解決運(yùn)行問(wèn)題以及確定未解決所有安全問(wèn)題而存在風(fēng)險(xiǎn)的詳細(xì)信息��。
制定配置文件
最好的做法就是從分析應(yīng)用的業(yè)務(wù)需求和技術(shù)需求入手���。這將有助于組織從運(yùn)行和財(cái)務(wù)兩個(gè)角度確定這個(gè)應(yīng)用是否是遷移至云計(jì)算的一個(gè)好的候選對(duì)象�����,尤其是從安全性角度進(jìn)行評(píng)估����。初始的標(biāo)準(zhǔn)如下:
1. 訪(fǎng)問(wèn)和登陸應(yīng)用的需求
2. 需要安全證書(shū)
3. 防火墻需求
4. 加密需求
5. 有權(quán)限訪(fǎng)問(wèn)應(yīng)用的用戶(hù)
接下來(lái)的工作就是,確定你的應(yīng)用是否適合在公共云計(jì)算�、私有云計(jì)算或混合云計(jì)算中運(yùn)行���。除了選擇云計(jì)算的一般標(biāo)準(zhǔn)(如資源可用性���、定價(jià)模式和結(jié)構(gòu)�����、應(yīng)用管理服務(wù))以外,還需確定云計(jì)算選擇結(jié)果是如何影響安全規(guī)定的��。例如��,如果選擇了一個(gè)公共云服務(wù)�,那么就需確認(rèn)服務(wù)供應(yīng)商是否能夠在不作修改和沒(méi)有額外費(fèi)用支出的情況下支持企業(yè)安全需求,或者它可以增加軟件和/或設(shè)備���,或者作出一些安排以確保兼容性的要求。在私有云計(jì)算中����,安全性是這個(gè)組織所需承擔(dān)的責(zé)任���,因此必須提供問(wèn)題中應(yīng)用所要求的安全性���。在混合云計(jì)算中,應(yīng)用所在的位置——無(wú)論是私有云計(jì)算還是公共云計(jì)算——都應(yīng)當(dāng)能夠確定確保安全性的舉措。但是,在混合云計(jì)算中位于公共云計(jì)算網(wǎng)絡(luò)和私有云計(jì)算網(wǎng)絡(luò)之間的安全性必須得到充分重視與關(guān)注,以便于保護(hù)應(yīng)用能夠免受可能的跨網(wǎng)絡(luò)安全漏洞的影響��。一旦你確定了云計(jì)算類(lèi)型,那么就可以建立應(yīng)用將使用的如下環(huán)境之一:軟件即服務(wù)(SaaS)�、平臺(tái)即服務(wù)(PaaS)或者集成實(shí)施即服務(wù)(IaaS)。選擇環(huán)境將是一項(xiàng)極具挑戰(zhàn)性的任務(wù)��,因?yàn)槿魏我粋€(gè)環(huán)境都有著其自身的安全性考量:
SaaS – 如果一個(gè)組織正在尋求一種完全保護(hù)應(yīng)用及其數(shù)據(jù)完整性的模式,那么請(qǐng)務(wù)必與服務(wù)供應(yīng)商針對(duì)SaaS系統(tǒng)的安全性策略進(jìn)行確認(rèn)�,以確定他們將能夠?yàn)閼?yīng)用及其數(shù)據(jù)提供足夠的安全保障��。
PaaS – 如果使用一個(gè)多應(yīng)用的平臺(tái)�����,請(qǐng)務(wù)必確認(rèn)是否支持虛擬平臺(tái)和適當(dāng)權(quán)限管理之間的隔離�����,其中包括了用戶(hù)之間的以及應(yīng)用本身的。
IaaS – 與PaaS類(lèi)似��,請(qǐng)務(wù)必與云服務(wù)供應(yīng)商仔細(xì)確認(rèn)關(guān)于物理環(huán)境與虛擬環(huán)境之間隔離的安全性措施以及它與安全性措施的兼容性。當(dāng)然,還應(yīng)檢查潛在的供應(yīng)商是如何審核這些措施的���。
數(shù)據(jù)收集
一個(gè)應(yīng)用的安全配置文件需要收集和分析與安全性相關(guān)的信息���。以10至15天為周期的數(shù)據(jù)采集頻率收集應(yīng)用的使用情況信息����,將有助于確定部署在云計(jì)算中應(yīng)用的大小���,并確定每日使用模式和每周使用模式之間的差異�,其中也包括了安全性。
主要的應(yīng)用數(shù)據(jù)包括:CPU使用率統(tǒng)計(jì)、內(nèi)存使用率統(tǒng)計(jì)���、存儲(chǔ)性能數(shù)據(jù)(如吞吐量、延遲以及每秒的輸入/輸出運(yùn)算)以及網(wǎng)絡(luò)性能數(shù)據(jù)(如吞吐量、延遲���、每秒連接數(shù)以及掉線(xiàn)數(shù))���。
應(yīng)用的安全性數(shù)據(jù)包括應(yīng)用被訪(fǎng)問(wèn)的次數(shù)�����、訪(fǎng)問(wèn)被拒絕的次數(shù)或者防火墻阻止可疑代碼的次數(shù)����。安全性數(shù)據(jù)可能還需包括消息頭中的錯(cuò)誤數(shù)、造成錯(cuò)誤消息的數(shù)據(jù)簽名或令牌使用�。如果使用了加密技術(shù),那么安全性數(shù)據(jù)還應(yīng)當(dāng)包括加密性能統(tǒng)計(jì)�。
除了識(shí)別與云計(jì)算遷移相關(guān)的潛在風(fēng)險(xiǎn)以外,配置文件的結(jié)果和數(shù)據(jù)都是按照已知的潛在缺陷和漏洞列表��、行業(yè)的特定標(biāo)準(zhǔn)以及良好的安全習(xí)慣對(duì)源代碼進(jìn)行分析而得來(lái)的。
在遷移計(jì)劃和測(cè)試中使用配置文件
如果需要執(zhí)行應(yīng)用的云計(jì)算遷移,在選擇了云計(jì)算模式和環(huán)境之后�、在收集和分析所有必要的數(shù)據(jù)之后,就可以把安全配置文件應(yīng)用至應(yīng)用����,然后用于驗(yàn)證其安全性了。
具體而言�����,在識(shí)別需要何種安全資源中安全性配置文件的使用是至關(guān)重要的���,這不僅能保證應(yīng)用及其數(shù)據(jù)可被提供給授權(quán)用戶(hù),而且能夠確保它不會(huì)以任何方式被更改或破壞——或被未經(jīng)授權(quán)的人訪(fǎng)問(wèn)。
此外���,組織還可以使用安全性配置文件數(shù)據(jù)制定和執(zhí)行針對(duì)云服務(wù)供應(yīng)商安全性規(guī)定的測(cè)試�,并驗(yàn)證訪(fǎng)問(wèn)和身份驗(yàn)證程序的有效性��。他們還可以在傳輸中監(jiān)控?cái)?shù)據(jù)以找出可能的漏洞�����,以及通過(guò)防火墻監(jiān)控流量以確保它們被正確配置�����。另外����,組織可以驗(yàn)證保護(hù)應(yīng)用免受流氓系統(tǒng)的影響,并確保應(yīng)用免受在相同環(huán)境中運(yùn)行的其他應(yīng)用的影響�。
作為整個(gè)應(yīng)用配置文件的一部分,組織也將能夠?qū)踩渲梦募糜谝?guī)劃遷移應(yīng)用所需的服務(wù)器的數(shù)量和類(lèi)型以及基礎(chǔ)設(shè)施組件��,預(yù)測(cè)用戶(hù)行為(例如所連接用戶(hù)或請(qǐng)求和交易率的總數(shù))���,估計(jì)所需云計(jì)算資源的成本并建立基準(zhǔn)以評(píng)估應(yīng)用的遷移后性能�����。
來(lái)源:CIO時(shí)代網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品����,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力����。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀(guān)點(diǎn)和立場(chǎng)�。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056。
延伸閱讀
