雲計算:第一趟雲端之旅

  • 發行項

最初的業務線專案使雲計算需要一系列的關鍵決策點,包括工作人員和過程的變化。

Dan Griffin 和 Tom Jones

財務模型中的為雲計算似乎是不可抗拒的選項,以滿足預算的壓力。 後消費服務,是按月進行記帳。 這樣的雲計算服務被視為業務的費用,不是資本的費用。

您可以通過將資源整合到大型共用資料中心減少系統開銷。 這在員額配置和電源消耗中創建了效率。 您可以擴展您的服務使用向上或向下,您需要 — — 沒有產能過剩和沒有丟失的機會。

最後,有多種方式廣泛部署基於雲計算的應用程式可以支援您的業務需要。 你可以準備和占移動員工、 業務夥伴的多樣化集合和全球供應鏈。

雖然成本和協作的好處可能是顯而易見的路雲不是沒有其坑坑洞洞,其中許多隱藏的。 你將不得不重新培訓您的 IT 員工、 創建新徵用和操作過程,和更新資料的安全性和法規遵從性的政策。 幸運的是,您可以有系統的方式來解決這些挑戰。 這是一個典型的組織將在其第一次的業務線 (LOB) 專案以基於互聯網的雲供應商面臨的重大決策點一看。

入門

業務經理總是在尋找,説明他們更有效地運行他們的業務應用程式 — — 不管是資料進行分析,更快地決定制作或進入業務運營更多的瞭解。 它提供及營辦服務連續預算壓力下不斷擴大套上是否這些能力來自于商業或自訂的應用程式,則負擔。

當一個企業應用程式是完全獨立的沒有法規遵從性或安全約束時,雲託管的代價大大簡化了部署和操作成本。 大多數業務應用程式將需要更仔細的風險和利益分析,才決定如何管理雲託管:

  1. 身份驗證為這兩個公共和私人 (企業) 使用者。
  2. 安全威脅和使用公共雲計算時的緩解措施。
  3. 法規遵從性,並如何簡化他們與正確的體系結構。

前兩個考慮因素有大多數部署的通用解決方案。 法規取決於位置和要由應用程式處理的資料類型。 主要法規遵從性問題 — — 大約為了降低複雜性的 — — 是:

  1. 從跨國際禁止個人或國家秘密的政府法規。
  2. HIPAA 或類似法規保護的健康資訊。
  3. 身份資訊竊取,在財務帳戶訪問的特定版本。
  4. 公開披露的使用者的個人識別資訊 (PII)。
  5. 處理業務敏感性資料的內部要求。

驗證問題

一些雲服務的使用者不會像微軟活動目錄的企業目錄的一部分。 在這種情況下,雲服務需要聚合使用者從不同的標識提供程式 (國內流離失所者)。 相信這些都可能有不同的訪問規則的雲計算資源。

時有兩個公共和私人 (企業) 內部使用者,雲計算應用程式將需要訪問和政策的資料訪問。 因此,方便可以部署到雲計算的資料。 這種類型的部署將允許訪問任何類型的設備,即使該設備不是企業目錄的一部分。

你可能會將舊資料移動到新的資料庫為雲託管,但應該沒有什麼不同,比任何其他遷移處理的架構映射和資料移轉。 有的工具,使身份聯邦過程更加容易。 但是,也可以與資料庫或雲資源中的資料相關的法規遵從性問題。

Windows Azure 存取控制 (AC) 服務是一種方便的雲服務,可以從該處所的活動目錄聯邦服務 (ADF) 伺服器和外部的國內流離失所者提供的 Windows Live、 Facebook 或其他社交網站聚合索賠。 使用為您支援許多程式設計語言和許多現有國內流離失所者的身份聚合提供雲服務。

使用交流,您可以輕鬆地映射索賠為給定或關閉-現場應用自訂由 ADF,例如,生成的索賠。 這種方法可以減少應用程式的複雜性和維護成本。 交流也可以調解的處所內對使用者、 雲計算資源和使用者從 Internet 訪問的資料的關係 (請參見圖 1)。

圖 1 WindowsAzure 存取控制服務可以對樓宇和雲之間進行斡旋資源。

公共雲計算安全威脅

幾個組織可以承受相同的臨界品質,它的人員、 專業技術和流程,作為主要的雲計算基礎架構提供商。 經驗表明您可以運行一些應用程式更安全地在雲計算比對處所。

不過,會有新的威脅,引入公共互聯網連接的結果。 這些類型的威脅提出網路 de-perimeterization,所以您需要解決這些最終無論如何。 不過,新的公共雲計算部署應進行安全審查。 你應該考慮下列注意事項。

在企業域中,只有加入域的電腦被允許。 您可以使用 IPsec 和網路訪問保護 (NAP) 等的機制來確保所有機器都的知名和託管的安全威脅。 但是,您還可以擴展到了雲計算的這些機制。

另外,基於雲計算的伺服器已覆蓋您必須在安全審查中包含的服務級別協定 (SLA)。 您需要確保,正常執行時間、 安全、 隱私和法規遵從性認證得到圓滿解決。

以下是一些您應涵蓋的安全審查範圍內的特定攻擊點:

  • 資訊披露或公共交通的拒絕服務攻擊
  • 中間的人欺騙的雲或處所上的伺服器
  • 劫持了公共互聯網上的現有連接
  • 雲憑據的重播

這些類型的攻擊都取得了前幾代的企業服務。 您可以使用資料流程分析威脅的侵擾公共雲計算對樓宇服務一起使用時 (請參見圖 2)。 這裡有你要分析的連接的三種基本類型:

  1. 在受信任位置連接既不結束。 沒有方法來評估該連接,所以在此示例中的國內流離失所者從任何申索必須登錄到服務以確保消息的完整性。
  2. 雲計算在連接的另一端。 另一個是在使用者網站不是由企業管理。 在這種情況下,您可以保護與憑據可以向任一 (或) 兩端的連結以確保某一級別的身份驗證,以及資料保護,同時過境雲的 SSL (TLS 或 HTTPS) 連結的連接。 每一端可驗證的身份,沒有人在中間攻擊是可能的。
  3. 這兩個連接的兩端都在受信任位置。 因為雲可能不受控制,兩端的強身份也是企業的必需的。 在此示例中 SSL 或 IPsec (VPN) 連接將提供必要的保護措施。

Analyze the threats to your data flow before taking action

圖 2 分析您的資料所面臨的威脅流之前採取行動。

法規遵從性的建築師

您可能無法確定如何審計將分類資料準備好部署應用程式之前。 更糟的是,資料分類可以更改時,應用程式部署之後,甚至。 法規遵從性審計更願意進行完成應用程式審核之前部署它,但這可能是昂貴。

舉起等待清晰的部署,而不是很容易進行補償的控制項,以避免法規遵從性問題。 這些方法可以説明您避免與雲部署的法規遵從性問題:

  1. 確保控制分離效果好。 這表明可以訪問敏感性資料的任何進程應該還無法訪問互聯網。 如果一些面向 Internet 的過程需要資料,嘗試查找敏感性資料分別從非敏感性資料,即使他們通過相同的金鑰。
  2. 請確保資料處理敏感性資料的應用程式之間的協定並面向公眾的應用程式的設計,所以他們不能容納的敏感性資料。
  3. 使用加密來保護敏感性資料。 解密金鑰應該面向公眾的應用程式可以訪問。 您可以部署敏感鍵和應用程式中的雲或處所,但他們應該永遠不會有被公開地訪問應用程式相同的存取權限。

當你不得不釋放到公共 internet 上的使用者資料時,分開將處理所有訪問和審計檢查對敏感性資料的法規遵從性引擎的 LOB 應用程式。 這些資料流程動說明該體系結構 (請參見圖 3)。 這可能會出現複雜的但您需要瞭解有關控制分離的只有兩個主要概念:

  1. 您可以與地圖服務像 Windows Azure 交流服務索賠聚合使用者身份驗證。 這從樓宇聯合活動目錄和基於雲計算的流離失所,如 Windows Live 或 Facebook 收集使用者憑據。
  2. 單獨處理受保護的資料,從那些不這樣做,因此法規遵從性審計的努力可以集中精力,前者的 LOB 應用程式的元件。

圖 3 任何法規遵從性檢查應處理獨立的業務線應用程式。

現在你要確定你會在其中找到法規遵從性訪問引擎。 也可以寄宿在雲計算的運營效率或處所上增強的安全性的法規遵從性引擎。 你要保護敏感性資料的所有連接。

我們探索了四種解決方案移動到了雲計算。 每個解決方案解決特定的應用程式需要或漏洞。 你的第一步是瞭解什麼你就不得不公開了公共互聯網上的資料。 如果是敏感性資料,使用者身份驗證是至關重要的。 如果不是,然後將資料和控制可能避免任何法規遵從性問題。 一旦你作出這樣的選擇,畫出一個初步資料流程圖,看看攻擊點。 兩者合計,這個準備應該給你你需要解決 LOB 雲部署的信心。

Email Dan Griffin

Dan Griffin 是 JW 安全公司,總部位於西雅圖的軟體安全諮詢機構的創始人。 跟隨他在 Twitter 上 twitter.com/JWSdan

 

Email Tom Jones

Tom Jones 是一個軟體架構師和作者從事安全性、 可靠性和可用性,金融和其他關鍵基於雲計算的企業網路解決方案。 他的創新安全跨一整套從強制完整性進行加密的數據機。 他可以通過 tom@jwsecure.com

相關的內容