Cloud-Computing: Der erste Schritt zur Cloud

Bringen die Wolke das erste Line-of-Business-Projekt erfordert eine Reihe von kritischen Entscheidungspunkte, einschließlich Personal und Prozess Änderungen.

Dan Griffin und Tom Jones

Das Finanzierungsmodell für Cloud computing scheint wie eine unwiderstehliche Option für die Erfüllung der Haushalt Druck. Nach dem Konsum von Dienstleistungen, sind Sie auf einer monatlichen Basis berechnet. Die Cloud computing-Services werden also eine operative Kosten, kein Kapitalaufwand betrachtet.

Sie können Mehrbelastung verringern, durch die Konsolidierung von Ressourcen in großen gemeinsamen Datenzentren. Dies schafft Effizienz in Personal- und Power Verbrauch. Sie können Skalieren Ihrer Serviceverbrauch nach oben oder unten wie Sie benötigen – keine Überkapazitäten und keine Chance.

Schließlich gibt es mehrere Möglichkeiten, dass im großen und ganzen bereitgestellte Cloud-basierte Anwendungen Ihre Geschäftsanforderungen unterstützen können. Sie können vorzubereiten und Konto für einen zunehmend mobilen Mitarbeiterstamm, eine vielfältige Sammlung von Geschäftspartnern und einer weltweiten Supply Chain.

Während die Kosten und Zusammenarbeit Vorteile offensichtlich sein könnte, ist die Straße in die Cloud nicht ohne seine Schlaglöcher, von die viele ausgeblendet sind. Sie müssen Ihre IT-Mitarbeiter umschulen, erstellen Sie neue Bestellvorschlagszeile und Betriebsprozesse und Aktualisieren von Sicherheits- und Compliance-Policies. Glücklicherweise können Sie diese Herausforderungen auf eine systematische Weise. Hier ist ein Blick auf die große Entscheidungspunkte, die eine typische Organisation dabei das erste Line-of-Business (LOB)-Projekt auf einem Internet-basierten Wolke Anbieter ausgesetzt sein werden.

Erste Schritte

Business-Manager sind immer auf der Suche nach Anwendungen zu helfen, ihr Unternehmen effizienter führen — ob es ist analysieren Daten für schnellere Entscheidung machen oder immer größere Sichtbarkeit in den Geschäftsbetrieb. Und ob diese Funktionen aus kommerziellen oder benutzerdefinierte Anwendungen kommen, die Belastung ist auf es zu liefern und betreiben eine immer größer werdenden Gruppe von Diensten unter ständigen Haushalt Druck.

Wenn eine Geschäftsanwendung völlig eigenständig ohne Einhaltung oder Sicherheitseinschränkungen ist, die Gegenleistung für Cloud-hosting ist stark vereinfacht, Kosten für die Bereitstellung und den Betrieb. Die meisten geschäftlichen Anwendungen benötigen eine sorgfältigere Nutzen-Risiko-und Analyse, bevor Sie entscheiden, wie Sie Cloud-hosting verwalten:

1. Authentifizierung für beide öffentliche und Private (Enterprise) Benutzer.
2. Bedrohungen der Sicherheit und Schutzmaßnahmen bei der Verwendung der öffentlichen Cloud.
3. Compliance-Vorschriften, und wie sie mit der richtigen Architektur zu vereinfachen.

Die ersten beiden Überlegungen haben gemeinsame Lösungen für die meisten Bereitstellungen. Compliance-Vorschriften hängen von der Lage und Typ der Daten von der Anwendung behandelt werden. Die wichtigsten Compliance-Probleme – etwa nach absteigendem Komplexität — sind:

1. Regierungsverordnungen Verbot persönlichen oder nationalen Geheimnisse von internationalen Grenzen.
2. Gesundheitsinformation durch HIPAA oder ähnliche Regelungen geschützt.
3. Identitätsdiebstahl, in bestimmten Version des Zugangs zu finanziellen Konten.
4. Bekanntgabe der eines Benutzers persönlich identifizierbaren Informationen (PII).
5. Interne Anforderungen für die Behandlung von Unternehmen sensible Daten.

Authentifizierungsprobleme

Einige Wolke Service-Benutzer wird nicht Teil des ein Unternehmensverzeichnis wie Microsoft Active Directory sein. In diesem Fall muss der Wolke Dienst aggregierte Benutzer aus verschiedenen Identitätsprovider (IdPs). Diese müssen möglicherweise unterschiedliche Zugriffsregeln, die Cloud-Ressourcen.

Wenn beide öffentliche und Private (innerhalb eines Unternehmens) Benutzer vorhanden sind, werden Wolke Anwendungen Zugriff auf Daten zuzugreifen und Sie Politik erforderlich. So könnten Sie bequem, dass Daten in die Cloud bereitstellen. Dieser Typ von Bereitstellung wird bei jeder Art von Gerät, Zugriff, selbst wenn das Gerät ist nicht Teil des Unternehmensverzeichnisses.

Sie werden wahrscheinlich am Ende Verschieben von alte Daten in die neue Datenbank für Cloud-hosting, aber die Schemazuordnung und Datenmigration nicht anders als jede andere Migration sollte. Gibt es Tools, mit die den Identität Föderation Prozess zu erleichtern. Allerdings könnte auch Kompatibilität Fragen im Zusammenhang mit den Daten in der Datenbank oder der Cloud-Ressourcen.

Die Windows Azure Access Control (AC) Service ist ein bequeme Cloud-Service, die Ansprüche von einem lokalen Active Directory Federation Services (ADFS) Server und eine externe IdP von Windows Live, Facebook oder anderen social networking Sites bereitgestellten aggregieren kann. Mithilfe von Cloud-Diensten für Identität Aggregation gibt, die Sie für viele Programmiersprachen und viele vorhandenen Vertriebene unterstützen.

AC verwenden, können Sie leicht Ansprüche generiert von ADFS, z. B. Ansprüche angepasst für eine gegebene auf - oder außerhalb von Geschäftsräumen Anwendung zuordnen. Dieser Ansatz reduziert Kosten für Anwendung Komplexität und Wartung. AC kann auch vermitteln die Beziehung von lokalen Benutzern, Cloud-Ressourcen und Benutzer Zugriff auf die Daten aus dem Internet (finden Sie unter Abbildung 1).

Abbildung 1 WindowsAzure Access Control Service können vermitteln zwischen lokalen und Cloud-Ressourcen.

Öffentliche Cloud Sicherheitsbedrohungen

Einige Organisationen können die gleiche kritische Masse davon Personal, Fachwissen und Prozesse wie die größere Wolke Infrastruktur-Anbieter leisten. Und die Erfahrung hat gezeigt, dass einige Anwendungen sicherer in der Wolke als on-premise ausgeführt werden können.

Allerdings werden es neue Bedrohungen aufgrund eines öffentlichen Internet-Verbindungen eingeführt. Diese Arten von Bedrohungen sind von Netzwerk-De-perimeterization, eingeführt, so Sie sie schließlich auf jeden Fall zu lösen müssen. Dennoch sollten neue öffentliche Wolke Bereitstellungen Sicherheitsüberprüfung unterliegen. Sie sollten die folgenden Überlegungen zu berücksichtigen.

Innerhalb der Domäne Unternehmen dürfen nur Domäne beigetretenen Computer. Sie können Mechanismen wie Netzwerkzugriffsschutz (Network Access Protection, NAP) und IPsec verwenden, um sicherzustellen, dass alle Maschinen bekannt und verwalteten gegen Sicherheitsbedrohungen sind. Sie können jedoch auch diese Mechanismen in der Wolke erweitern.

Darüber hinaus fallen Cloud-basierten Servern von Service Level Agreements (SLA) die in einer Sicherheitsüberprüfung eingeschlossen werden müssen. Sie müssen sicherstellen, dass Verfügbarkeit, Sicherheit, Datenschutz und Compliance Zertifizierungen sind zufriedenstellend bearbeitet.

Hier sind einige der bestimmte Angriffspunkte, die Sie im Rahmen einer Sicherheitsüberprüfung abdecken sollte:

• Offenlegung von Informationen oder Denial-of-Service-Angriffe auf den öffentlichen Verkehr
• Man-in-the-Middle spoofing der Wolke oder lokalen Server
• Entführung bestehende Verbindungen im öffentlichen Internet
• Wiedergabe der Wolke Anmeldeinformationen

Diese Art von Angriffen wurden alle in früheren Generationen von EnterpriseServices gesehen. Können Sie den Datenfluss analysieren Bedrohungen eingeführt, wenn eine öffentliche Wolke mit lokalen Diensten verwendet wird (siehe Abbildung 2). Hier sind die drei grundlegenden Typen von Verbindungen, die Sie analysieren müssen:

1. Weder Ende der Verbindung ist an einem vertrauenswürdigen Speicherort. Es gibt keine Möglichkeit, die Verbindung zu bewerten, so dass Ansprüche, die aus der IdP in diesem Beispiel mit dem Dienst angemeldet sein muss, um Integrität der Nachricht zu gewährleisten.
2. Ein Ende der Verbindung ist in der Wolke. Der andere ist an einem Benutzerstandort nicht von dem Unternehmen verwaltet. In diesem Fall können Sie die Verbindung mit einem Link SSL (TLS oder HTTPS) schützen, wo eine (oder beide) Enden der Verbindung sicherzustellen, gewisses Maß an Authentifizierung, sowie den Datenschutz bei der Durchfahrt der Wolke Anmeldeinformationen bereitgestellt werden können. Ohne eine überprüfbare Identität an jedem Ende sind Man-in-the-Middle-Angriffe möglich.
3. Beide Enden der Verbindung sind an einem vertrauenswürdigen Speicherort. Da die Wolke möglicherweise nicht unter Kontrolle des Unternehmens, ist starker Identität an beiden Enden auch erforderlich. In diesem Beispiel werden SSL oder IPsec VPN-Verbindungen die Schutzvorkehrungen erforderlich bereitstellen.

Abbildung 2 Analyse die Bedrohungen für Ihre Daten fließen vor der Aktion.

Architekt für Compliance

Sie möglicherweise nicht in der Lage, um zu bestimmen, wie Wirtschaftsprüfer Daten klassifizieren werden, bevor eine Anwendung für die Bereitstellung bereit ist. Schlimmer noch, könnte die Klassifizierung von Daten ändern, sogar nachdem die Anwendung bereitgestellt wird. Einhaltung Prüfer lieber einen fertigen app-Audit durchzuführen, bevor sie bereitgestellt wird, aber das kann teuer sein.

Statt einer Bereitstellung warten auf Klarheit hält, ist es einfacher, Institut kompensierende Steuerelemente Compliance-Probleme zu vermeiden. Mit diesen Methoden können Sie Kompatibilitätsprobleme mit Wolke Bereitstellungen zu vermeiden können:

1. Stellen Sie sicher eine gute Trennung des Steuerelements. Dies deutet darauf hin, dass jeder Prozess, der auf sensible Daten zugreifen kann auch nicht für das Internet zugänglich sein sollte. Wenn einige Internet verbundenen Prozess die Daten, versuchen Sie, suchen Sie die vertraulichen Daten getrennt von den nicht-sensibler Daten, selbst wenn sie mit demselben Schlüssel zugegriffen werden.
2. Stellen Sie sicher, dass Datenprotokolle zwischen den Anwendungen, die vertrauliche Daten verarbeiten und die öffentlich zugängliche Anwendungen wurden entwickelt, so dass sie sensible Daten aufnehmen können.
3. Verwenden von Verschlüsselung zum Schutz sensibler Daten. Entschlüsselungsschlüssel sollte nicht öffentlich zugängliche apps zugänglich sein. Sie können Tasten und apps in der Wolke oder lokalen bereitstellen, aber sie sollten niemals die gleichen Zugriffsberechtigungen wie öffentlich zugänglichen Anwendungen haben.

Wenn Sie zur Freigabe von Daten für Benutzer im öffentlichen Internet, trennen die Compliance-Engine, die den Zugang behandelt die LOB-app und Audit überprüft für sensible Daten. Diese Datenflüsse zu veranschaulichen, dass Architektur (finden Sie unter Abbildung 3). Dies könnte komplex erscheinen, aber es gibt nur zwei wichtige Konzepte müssen Sie zur Trennung des Steuerelements zu verstehen:

1. Sie können Benutzer-Authentifizierung mit einer Zuordnung Dienst wie Windows Azure AC Service Ansprüche aggregieren. Diese sammelt Benutzeranmeldeinformationen aus eine Föderierte am lokalen Active Directory und einem Cloud-basierten IdP, z. B. Windows Live oder Facebook.
2. Trennen Sie die Komponenten der LOB-Anwendung, die geschützte Daten von denen, die dies nicht tun, behandeln, so dass Einhaltung Überwachung Bemühungen auf dem ehemaligen konzentrieren kann.

Abbildung 3 eine Einhaltung überprüft sollten behandelt werden unabhängig von der LOB-Anwendungen.

Jetzt müssen Sie bestimmen, wo Sie das Access-Datenbankmodul Übereinstimmung finden werde. Sie hätten die Einhaltung Engine in der Wolke für betriebliche Effizienz oder lokalen zur Erhöhung der Sicherheit gehostet. Sie müssen alle Verbindungen zu schützen, die vertrauliche Daten enthalten.

Wir haben vier Lösungen hier für moving in der Wolke untersucht. Jede Lösung behebt bestimmte Anwendungsanforderungen oder Schwachstellen. Ihr erster Schritt ist, welche Daten zu verstehen, Sie auf dem Internet für die Öffentlichkeit verfügbar zu machen müssen. Wenn das vertrauliche Daten ist, ist Benutzerauthentifizierung entscheidend. Wenn nicht, dann Trennung von Daten und kann alle Kompatibilitätsprobleme vermeiden. Nachdem Sie diese Entscheidungen treffen, eine vorläufige Datenflussdiagramm ziehen Sie aus und sehen Sie sich die Angriffspunkte. Zusammen genommen, sollte diese Vorbereitung Ihnen das Vertrauen benötigen Sie eine LOB Wolke Bereitstellung anzugehen.

Dan Griffin ist der Gründer von JW Secure Inc., ein Software-Security-Beratungsunternehmen mit Sitz in Seattle. Folgen ihm auf Twitter bei twitter.com/JWSdan.

Tom Jones ist ein Software-Architekt und Autor, Sicherheit, Zuverlässigkeit und Benutzerfreundlichkeit für vernetzte Lösungen für finanzielle und andere kritische Cloud-basierte Unternehmen spezialisiert. Seine Innovationen im Bereich Sicherheit umfassen eine Vielzahl von obligatorischen Integrität zum Verschlüsseln von Modems. Er kann erreicht werden unter tom@jwsecure.com.

Verwandte Inhalte

• Cloud-Computing: Erreichung Steuerelement in der Hybrid Cloud
• Cloud-Computing: Virtuelle Cloud-Sicherheitsaspekte
• Cloud-Computing: Treuhandverwaltung in virtuellen Rechenzentren