云安全:安全地共享 IT 解决方案

  • 项目

您可以在本地资源的固定成本与云资源的可变成本之间共享 IT 解决方案,而不会失去对企业资产访问的控制。我们来告诉您怎么做。

Dan Griffin 和 Tom Jones

在孩子年纪很小的时候,我们会让他们乖乖呆在家里,确保安全。在他们学会照顾自己后,我们就会让他们出去闯荡。企业资产就像我们的孩子一样。过去,我们一般把企业资产放在网络外围防护之内。我们设置防火墙以确保这些资产不会流失。

如果您告诉 IT 经理他可以将本地计算负载共享到可按需提供的基于云的资源,他的第一反应肯定是非常兴奋,因为这样能够节约成本并改善用户体验。但与过度保护孩子的父母一样,兴奋往往会变为疑虑和不安,因为要面对通过多个控制点来保护企业资产的新挑战。

数据处理已从企业数据中心迁移到世界各地的 PC 上。从逻辑上讲,下一步就要将企业数据和应用程序从企业防火墙后面移动到更靠近需要这些数据的业务用户的位置。这意味着要移动到云中。

若要从云计算中获益,免除后顾之忧,您需要建立分布式访问控制,来配合分布式内容和分布式应用。在本文中,我们将概要介绍一些步骤,在将数据和应用程序移出企业外围防护后仍能确保可靠性和可控性。

保护您的云体系结构:循序渐进

  1. 建立面向服务的体系结构 (SOA) 以确保您可以安全地重定位每个组件
  2. 集中管理数据和应用程序的部署和更新
  3. 使用联合身份管理来确保所有用户在云中的每个点上是已知的
  4. 向每个用户分配角色和其他特性来验证数据访问声明
  5. 向应用程序及可随应用程序一起移动到云中的数据分配访问控制规则
  6. 基于已验证的用户访问声明来授予对应用程序和数据的访问权

面向服务的体系结构

确保云部署无后顾之忧的第一步是要创建一个展示应用程序和数据流的关系图。对于要面向服务的设计,每个应用程序都必须作为一项可供用户本地访问或在云中访问的服务。类似地,对于数据,应用程序中不应指定数据的位置。您必须能在部署应用程序时配置该位置。您可以通过图 1 来了解 IT 环境的各个组件将如何与源自本地资源或云资源的应用程序和数据关联。

Figure 1 A look at the architecture of application and data flows

图 1 应用程序和数据流的体系结构概览。

您的开发团队会外包应用程序可执行文件。您可以让开发团队直接从供应商那里应用可执行文件,但如果您首先将所有应用程序代码和更新放在企业内部,然后从企业进行分发,则可进行更多控制。数据将从客户端计算机迁移到企业或云数据存储(云数据存储在图 1 中显示为 SharePoint 服务器)。

当应用程序访问数据时,此操作将通过每个数据存储的本地访问控制机制进行授权。当应用程序可执行文件和企业数据移出企业外围并移至云中时,还需考虑其完整性。最灵活的理想管理情况是,您可以将本地资源和云资源作为一个实体进行管理,这可动态响应资源请求。

关于云的财务情况

证明任何云部署的合理性的第一步是确定投资回报。您通常将成本分类为设置或转换(包括配置新服务、培训和停用旧服务)成本。投资回报以每个月减少的成本和收回投资的月数表示。更复杂的分析包括折扣现金流分析,但如果投资回报的时间不到两年,则很可能对决策过程没有任何实际价值。

云部署的真正价值在于可产生无形效益,如改进对服务需求波动的响应和加强成本控制。从 IT 部门的角度考虑以下各类成本:

  1. 固定成本通常从对固定设备(如服务器和机房)的投资中产生。在资产的整个生存期内,固定成本通常会进行折旧。无论设备的使用情况如何,每月都会将该折旧成本计入收益表。
  2. 可变成本取决于提供的服务量,并包括货物销售成本和根据云的使用情况收取的任何费用(如根据当前工作量收取的短期设备租赁费)。利用此类成本,IT 部门可将成本与服务交付紧密联系起来。
  3. 半可变成本通常从为全职员工提供的服务或更加难以增加或减少的其他资源中产生。软件租赁服务或电子邮件配置服务属于此类别。为员工提供服务和取消为员工提供服务所具有的惯性,将导致此成本明显跟不上服务需求的变化。

您可以证明出于某些原因(如将工资单服务转交给专门的提供商)将云服务用于半可变成本的合理性。与电子邮件中一样,工资单中的规则也是快速变化的 - 软件需要不断更新,而用于执行这些功能的专业技术的成本很高。虽然根据半可变成本来证明云配置的合理性会更加困难,但结果仍具有积极意义,可帮助 IT 部门集中精力完成将价值传递给企业产品这一实际使命。

完成安全云部署所需的四个步骤

大多数 IT 主管人员都认为,云计算是一种采用虚拟化技术降低资本支出的方法。许多供应商将所有 Internet 服务都附上“云”这个标签。在本文中,我们引用了 Gartner Inc. 的描述来说明云如何变得对业务如此重要:“因为技术的商品化和标准化,部分因为虚拟化和面向服务的软件体系结构的兴起,最重要的是因为 Internet 普及率的急剧增长。”这在以下四个特定领域显得尤为重要:

  1. 集中化数据管理(例如使用 SharePoint)
  2. 集中化应用程序管理(例如使用 Exchange)
  3. 联合身份管理(例如使用 Active Directory 联合身份验证服务 (ADFS))
  4. 为迁移到云提供的其他帮助

集中化数据管理

早在 2007 年,Gartner 就已开始在安全会议上表示,是时候放弃企业和 Internet 之间厚重的外围边界了。当时,专家们甚至还在为企业边界是否已可穿透一事争论不休。外围已变得与抵御入侵者这一任务毫无关联,因此每种 IT 服务都需要访问控制。当前实际使用的是安全多层保护策略。为了确保真正的安全,仅包含数据的服务器才可最终控制访问。

由于许多部署都包含几百台甚至几千台服务器,因此管理每台服务器上的访问仍是不合理的。IT 部门无法真正确定数据权限和访问规则。但 IT 部门可建立角色管理系统,业务所有者可利用此系统来允许或拒绝与业务目标相关的访问。

有关数据修改和数据访问的法规要求变得越来越严格。这就需要采用一种新的模式,从而允许将数据迁移到最适合服务访问请求的服务器,同时以合理的成本确保合规性。以下是在云环境中进行数据管理时需考虑的一些要求:

  • 随时随地快速访问用户已获授权的数据
  • 访问不会因自然灾难或业务灾难受损
  • 应合法的政府请求发现数据(假定企业可提供所需数据)
  • 数据丢失防护 (DLP) 是服务产品不可缺少的一部分
  • 面向服务的体系结构 (SOA) 应能够轻松地将数据迁移到云以及从云迁移回来
  • 数据标识不得包含其物理位置,以便轻松移动数据
  • 数据的位置标记应为逻辑上的原产国家/地区,而非数据的物理位置
  • 数据备份和恢复操作应基于数据标识而非其位置
  • 数据访问规则可由数据的业务所有者创建和维护
  • 访问权限可由合规性审核员查看
  • 敏感数据可具有针对修改和访问的审核控制
  • 职责分离可防止同一个管理员同时修改数据和审核日志
  • 服务级别协议 (SLA) 必须明确说明每个人的期望和职责

Starbucks Corp. 发现,通过纸质介质来分发最新定价信息、业务分析数据和新闻不仅成本较高而且会导致延迟,这样做并不划算。因此,该公司现在利用 SharePoint 来为其由 16,000 个位置构成的网络提供支持。SharePoint 网站已成为关键业务通信渠道,员工可通过此网站获取最新信息,并能够在需要某些信息时快速搜索到这些信息。

使用 Microsoft System Center Operations Manager (SCOM) 和其他分析工具跟踪可用性和可靠性。由于 SharePoint 同时支持内部网络连接和外部网络连接,因此服务器位置会进行调整以适应当前网络拓扑,而无需考虑本地环境、云环境或混合环境。此部署使 Starbucks 公司获得了以下好处:

  • 通过利用有效的监控和报告工具来提高系统稳定性,为店铺发展和容量需求提供支持
  • 允许店铺合作伙伴利用直观的门户界面更高效地工作,并轻松访问企业内部的信息
  • 利用增强的文档管理和隐私功能来维护数据的安全性
  • 通过与合作伙伴进行沟通来完善趋势和增长报告,使店铺的工作重点与公司的目标保持一致

完整性保护

必须阻止任何数据存储变成病毒或间谍软件的传染媒介。数据类型(如可执行文件和压缩或加密文件)可能会因各种完整性和合规性问题而被阻止。Microsoft 员工 David Tesar 发表了一篇有关使用 Forefront Protection 2010 for SharePoint(已于 2010 年 5 月发布)来保护 SharePoint 的一些商业原因的博客文章。

数据丢失保护和检测

为了确保完全保护,必须将一个客户的数据与另一个客户的数据正确分离。必须安全存储数据(在数据“闲置”时),并能够安全地将数据从一个位置移动到另一个位置(“移动”安全性)。IT 经理必须确保云提供商的系统已准备就绪,以防止数据泄露或被第三方访问。此内容应纳入 SLA 中。正确的职责分离将确保未经授权的用户无法通过审核和/或监控 – 即便是云提供商的“特权”用户也是如此。图 2 演示了易受外部攻击的各种数据转换。

Figure 2 The relationships of data and trust transitions

图 2 数据转换和信任转换间的关系

针对使用 Internet 或物理介质的企业桌面和服务器的新攻击点包括:

  1. 从企业到云的数据传输(传输过程中会丢失授权信息)
  2. 对不具有企业保护的云 SharePoint 服务的云访问
  3. 私有数据泄露或来自外部 ID 提供商的授权信息的数据泄露

随着数据量的增加,筛选此类数据所需的时间量或增加存储容量所需的成本可能会相当大。利用 Forefront Protection 2010 for SharePoint 所具有的数据关键字和文件筛选功能,可以控制 SharePoint 服务器上允许的数据类型,并提供有关已存在的文件类型的报告。此功能不需要额外存储容量并可帮助防止数据泄露,这样便降低了成本。

例如,如果您公司内有一台可公开访问的 SharePoint 服务器,则可启用关键字文件筛选来防止文件内出现任何包含“机密”或“仅供内部使用”一词的内容。您甚至可以指定一个阈值,规定这些词在被您禁止发布之前可出现的次数。

权限管理服务 (RMS) 也是对深层防御策略的有效补充,可用于保护文档自身,而不管文档的存储位置或下载位置如何。虽然大多数商业应用程序都不需要这一层保护,但它对于一些特别机密的文件(如公开发布之前的财务计划或收购计划)很有用。自发布 Windows Server 2008 之后,RMS 就在 Active Directory 中起到了一定的作用

任何取证调查都需要完整的审核跟踪,这将产生大量数据。您可以对高风险资源启用审核收集服务 (ACS)(SCOM 的一个加载项),以便在每条审核记录生成时将其放到一个中心位置以进行安全存储和分析。此配置将阻止攻击者篡改取证数据,即便攻击者拥有很高的特权也是如此。

图 2 中的“信任”箭头指示此重要的身份验证信息和授权信息流(本文后面的“联合身份管理”一节将对此进行讨论)。

集中化医疗保健数据管理

期盼进入医药信息市场分一杯羹的主要参与者包括 Microsoft HealthVaultDossia。Dossia 是一家独立的非盈利性机构,它由美国的一些规模最大的雇主创办,专门负责收集和存储终身健康记录信息。

美国总统奥巴马期望通过集中管理美国医疗保健数据,从而降低成本并提高研究质量。尽管颁布了《健康保险携带和责任法案》,但在保护病人隐私方面还是面临着巨大的压力。医疗信息是相当敏感的,它所产生的巨大影响可能会改变人们的生活(例如,在雇用决策中使用医疗信息)。

在雇用决策中使用遗传标记这一点上已经出现了一些问题。国会已在反基因歧视法中解决了这些问题。由于云服务提供商尝试越过此雷区,因此未来几年成本遏制和私密性之间的紧张局势将日益加剧。

虽然雇主采取了鼓励降低医疗保健成本的措施,但了解安全模型也非常重要:数据收集者、使用数据的方式、可访问数据的人员以及收集和共享数据所产生的风险。云计算的环境中有一个有趣的问题,即,当出现问题时谁承担责任?谁是记录的监管人,如果出现重大数据破坏或误用情况,会产生什么后果?随着敏感信息(如医疗记录)移入到云中,安全问题肯定会逐步升级。

集中化应用程序管理

虚拟主机应用程序至少已外包 10 年了。在此期间,Akamai 已为世界范围的网站所有者承载了大量(此数量正不断增加)时间性要求高的文件。此外,程序员 Dave Winer 与 Microsoft 一起创建了 Web 服务的前身,这些服务已扩展到目前可用的各种 WS-* 标准

基于 Web 的应用程序已变得越来越重要,使新名称看来好像对结合服务取向和标准化 Internet 服务接口很重要 – 因此涉及到术语“云计算”。与 10 年前相比,今天新的不同之处在于,对以合理的边际成本创造的价值给予了关注。由于大量供应商争着提供 Exchange 服务,因此各公司不再需要开发 Exchange 专业技术即可获得 Exchange 服务带来的好处。

对于从本地位置轻松迁移到云中,然后再从云中迁回本地位置的服务,应用程序必须提供一组面向服务的标准接口以便同时在本地和云中使用服务。这就是最初将云应用程序称作软件即服务的原因。应用最广泛的应用程序-服务接口标准就是前面提到的 WS-* 协议。在修订业务应用程序时,正好可以借机查看这些应用程序(包括查看应用程序-接口规范)是否符合现有 Web 服务标准之一。

所有授权声明和身份验证标识都必须由所有资源(无论是本地资源还是基于云的资源)共享。随着时间的推移,所有应用程序都将能够迁移到最高效的场所来达到其客户的期望。此时,移动应用程序已经变成一件简单的事情,只需更改应用程序的目录条目即可。配置资源只是选定服务提供商的一项基本职能。云提供了资源的虚拟化视图,它看上去像一台从不会对服务关闭的计算机,但实际上可根据需要将其承载于多台计算机上或在一台计算机上共享。

任何应用程序提供商都必须确保它不会变成恶意软件的传染媒介。电子邮件提供商尤其有可能成为恶意软件分发的媒介,而攻击几乎可通过具有公共组件的任何通道发起。通过使用 Forefront Protection 2010 for Exchange,云托管的应用程序的用户完全不必担心任何其他客户将损害他们所依赖的服务。所有可执行文件必须先通过检查,然后才能加载到服务器上和客户端计算机中。

联合身份管理

目前,联机标识具有两大表现形式:

  1. 政府或公司坚持将人的身份和联机标识紧紧绑定在一起。计算机可读的护照和政府签发的智能卡的出现印证了这一主张。Active Directory 是此类支持的一个示例。
  2. 联机 ID 提供程序提供了用于与生成配置文件的一致标识,以便预测未来行为。通过对在 Internet 上运行的 Windows Live ID 进行简单的 Turing 测试(如 CAPCHA)就可以证实有人正在请求此帐户。已发送到 Internet 电子邮件帐户的验证代码是一个更简单的示例。

可以向云服务提供上述一类或两类标识(具体取决于应用程序)以获取访问数据的授权。每个企业都拥有自己的身份管理系统,以便控制对信息和计算资源的访问。对于获取权限以便在云中运行应用程序而言,这两类标识同等重要。

外部标识提供程序通常只验证客户或其他临时用户。因此,云标识系统需要跟踪每个标识的所有者以及提供给该标识的保证级别。只有在本地环境和云环境中使用同一标准服务标识接口进行授权时,服务才能在这两个环境中共存。

只有少数企业对创建自己的私有云服务感兴趣。对于这样做的企业,云标识解决方案必须适用于它的所有分公司和收购的公司。虽然云服务可以创建自己的标识提供程序,但此类专有解决方案将会利用我们的真正的云服务定义来创建它。

在这些情况下,需要一个联合网关,每个云服务将通过此网关将外部标识链接到内部标识管理器(如 Forefront Identity Manager),以便为每个完全独立于原始标识提供程序的云资源提供简单快捷的授权提供程序。标识提供程序必须创建一个包含所有已知标识源的列表,这些标识用于授予对资源的访问权,以确保任何云服务提供程序均能容纳所有这些标识。

使用联合身份

正如 Forefront 博客中所报告的,Thomson Reuters 已能提供针对其 Treasura 财务管理及相关云服务的单一登录 (SSO) 访问。该公司利用其客户的企业登录标识来使用基于 ADFS 2.0 的联合身份管理,使客户无需再次登录即可访问 Thomson Reuters 产品。

Treasura 支持多种标识提供程序,包括 Sun OpenSSO 和 Microsoft Active Directory。由于 Windows Identity Foundation 为其应用程序开发人员提供了同一熟悉的 Windows 开发工具,使其无需编写自定义身份验证代码即可提供 SSO,因此 Thomson Reuters 有望平均节省三个月的开发时间。

仅通过公司自己的标识提供程序来公开访问权限是进行云身份验证的最简单方法。当只允许使用公司的标识提供程序进行任何用户跟踪时,此方法便有效。一旦客户或其他合作伙伴需要控制对云应用程序或数据的访问,企业将需要异类用户标识源。有时,标识的功能很强大(如国家公民身份智能卡),但在其他情况下,标识只提供连续性,如 Windows Live Identity(也称作 Passport)。

终结点应用程序和数据服务器必须先知道在此异类环境中存在的标识的来源和可靠性,然后才能授予访问权。因此,可以使用企业自己的 Active Directory 来保护业务关键信息,同时可使用外部标识提供程序长时间跟踪客户行为。

ADFS 既是 Microsoft 标识和安全平台的一部分,也是 Windows Azure 云操作环境的一部分。ADFS 是一个 Windows Server 组件,它提供了 Web SSO 技术以便针对多个 Web 应用程序对用户进行身份验证。

ADFS 2.0 旨在允许用户在云托管的应用程序和内部部署应用程序之间使用 SSO。这将使 Microsoft Online Services 能够利用 Active Directory 中的企业 ID 或 Windows Live ID 进行身份验证。云管理员仍需要具有此功能的单独 ID。以前,ADFS 2.0 与 Windows Identity Foundation 通过其代码名“Geneva”为人们所熟知。

云迁移帮助

当您的组织准备迁移到云时,可通过多种方式获取帮助,包括供应商支持、安全服务、可用性、应用程序安全性、弹性、管理、隐私和私有云服务:

  • 供应商支持 -- 专门研究企业安全性的公司具有专业技术,可对公司在迁移到云计算服务时涉及的许多新问题进行评估。任何合格的云安全专家都能够创建清单和模板,以供企业在实施新服务时使用。务必创建针任何供应商的要求的列表,包括开发 SOA 以满足企业的特定安全需求。对于供应商而言,具有安全方面的专业技术以及在实际环境中部署安全解决方案的经验至关重要。通过与主要云提供商(如 Microsoft、Google Inc. 和 Amazon.com Inc.)合作所获得的特别经验将转化为可助您获得成功的计划。
  • 物理计算机安全和人员安全 -- 提供商必须确保物理计算机足够安全。提供商还必须确保对这些计算机以及所有客户数据的访问不仅会受到限制,而且还会记录下来。美国审计总署 (GAO) 已针对国防采购下发了有关“软件供应商风险管理须知”的文件,这甚至应会为商业企业提供很好的指导。
  • 服务可用性 -- 云提供商必须使其客户确信他们将对其数据和应用程序具有可预知的适当访问权。对于 IT 团队而言,这表示他们将能够在需求增大时“扩展规模”,并在需求减小时“缩小规模”,从而使计算机资源变得灵活且经济高效。
  • 应用程序安全性 -- 云提供商通过实现针对外包或打包的应用程序代码的测试和验收过程,确保能够安全地通过云将应用程序作为服务提供。云提供商还要求在生产环境中采取应用程序安全措施(应用程序级别的防火墙和数据库审核)。
  • 弹性计算 -- 弹性是“云计算的真正价值所在,如果这称不上一次革命的话,也推动了整个概念的巨大进步”,Dustin Owens 在 2010 年 6 月出版的 ACM 通信 中如此表示。美国国家标准与技术研究院 (NIST) 在对云计算的定义中描述了这一重要特性 (V15):“云计算是一个模型,可用于对可配置的计算机资源(如网络、服务器、存储、应用程序和服务)的共享池方便地进行按需网络访问,只需执行最少的管理工作或服务提供程序交互即可快速配置和发布它们。”
  • 管理 -- 管理工具的更新版本可填补在本地资源和云资源之间共享的应用程序和数据之间的空隙。此功能仅在其涵盖范围从企业到云时有效。例如,据 System Center 团队博客上发布的新博客文章中所述,下一个版本的 System Center Configuration Manager 将支持“多种设备类型”,并让用户“几乎可以从任何位置通过多个设备类型无缝访问其数据,同时为 IT 提供统一管理工具和集中化控制”。
  • 隐私 -- 最后,提供商需确保对所有关键数据(如信用卡号)进行屏蔽,并确保只有授权用户才可以访问所有数据。另外,必须对数字标识和凭据进行保护 – 对提供商在云中收集或生成的有关客户活动的任何数据也是如此。

专用云

许多政府已制定相应的法律、法规和认证程序,旨在保护公民的隐私及其国家/地区利益。因此,许多涉及处理这些受法律保护的数据的应用程序将受到限制,不能随意使用公共的云。

例如,除了其他合规性要求之外,还需要考虑国家/地区机构认证(如由 NIST 管理的联邦信息安全管理法案 (FISMA)实施项目)。为此,一些云服务提供商正在创建专供美国联邦机构或其他政府机构使用的云,以此简化合规性检查。

2010 年冬天的暴风雪甚至导致位于华盛顿特区的美国联邦政府被迫关闭。突然之间,在家中或远程站点继续提供政府服务不再是想都不敢想的事情。在当前限制联邦政府信息曝光的趋势下,公布大量隐私信息所带来的风险正好可以阻止在 Internet 上公开过多数据。

还有一个示例,地方政府(如新泽西州的纽瓦克市)可更自主地寻找经济高效的解决方案,这些解决方案不需要大量的资金投入,却能让本市政府员工使用常见的各种工具,彼此轻松顺畅地合作,从而提高员工的工作效率。“在纽瓦克市,我们的重点是确保我们的 IT 现代化和成本节约项目超出市长所提出的创新政府的总体目标”,纽瓦克市的首席信息官 (CIO) Michael Greene 说道。

大量独立软件供应商已选择通过云平台(如 Windows Azure)来提供产品/服务。这已经向政府机构提供了公信力。现在,Windows Azure 云已变成一个应用程序平台,专用云的开发人员社区和政府用户都可从中受益。

Email Dan Griffin

Dan Griffin 是西雅图的一位软件安全顾问。您可以通过 www.jwsecure.com 与他联系。

 

Email Tom Jones

Tom Jones 是一位软件架构师兼作家,他专门研究适用于金融企业及其他基于云的企业的网络解决方案的安全性、可靠性和可用性。他在安全性方面的创新涵盖诸多方面(从强制完整性到调制解调器加密)。您可以通过 tom@jwsecure.com 与他联系*。*

 

相关内容