搜索歷史

熱搜詞

原創(chuàng)

活動(dòng)

創(chuàng)新2.0

I T

產(chǎn)業(yè)

當(dāng)前位置：首頁(yè) >互聯(lián)網(wǎng)?IT > 云計(jì)算 > 云應(yīng)用 > 正文

管理云服務(wù)？擴(kuò)展現(xiàn)有IT安全模式

來(lái)源：TechTarget中國(guó) ：佚名 2016-09-12 11:34:35

公有云與私有云帶來(lái)了新的IT安全需求，數(shù)據(jù)中心團(tuán)隊(duì)需要重新考慮如何處理防火墻、身份管理等問(wèn)題。

云計(jì)算與數(shù)據(jù)中心之間有許多相似點(diǎn)，但團(tuán)隊(duì)管理云服務(wù)，應(yīng)該擴(kuò)展現(xiàn)有的IT安全模式。

在最簡(jiǎn)單的模式中，云服務(wù)器是遠(yuǎn)端服務(wù)器或服務(wù)器集群，它們提供某種服務(wù)。當(dāng)?shù)谌?ldquo;擁有”云資源，并處理用戶數(shù)據(jù)時(shí)，這種方式可以被視為公有云。當(dāng)云資源或至少云的一部分包含在公司自己的數(shù)據(jù)中心內(nèi)，它被稱為私有云。兩種模式的混合，數(shù)據(jù)穿梭于兩者之間，被視為混合云。

當(dāng)管理員們升級(jí)其IT安全模式到云上后——無(wú)論是公有或私有云，都有著各種類(lèi)型的服務(wù)需要保護(hù)。例如，某些企業(yè)網(wǎng)絡(luò)允許用戶通過(guò)云存儲(chǔ)服務(wù)存儲(chǔ)數(shù) 據(jù)。如果這項(xiàng)服務(wù)是對(duì)外開(kāi)放的，如OneDrive、Google Drive或iCloud，在服務(wù)器前配置防火墻與規(guī)則集，不是個(gè)理想的方式，因?yàn)樾阅芸赡軙?huì)受到影響。應(yīng)該考慮將這些緊密配置的防火墻放在這些服務(wù)器后面，非軍事區(qū)內(nèi)，以增強(qiáng)保護(hù)。

身份管理

管理員可能通過(guò)身份管理來(lái)加固數(shù)據(jù)中心安全基礎(chǔ)設(shè)施。很多時(shí)候，身份管理最好結(jié)合單點(diǎn)登錄使用，這個(gè)平臺(tái)實(shí)現(xiàn)允許用戶通過(guò)一套授權(quán)憑據(jù)來(lái)訪問(wèn)一系列不同的系統(tǒng)。例如，VMware的Identity Manager允許管理員通過(guò)Active Directory基礎(chǔ)設(shè)施來(lái)授予不同用戶訪問(wèn)不同應(yīng)用程序的權(quán)限，還可以將終端用戶的移動(dòng)設(shè)備加入域內(nèi)，實(shí)現(xiàn)設(shè)備間信任。當(dāng)有人加入組織，管理員可以通過(guò)Identity Manager將她的移動(dòng)設(shè)備加入域，如果這個(gè)人后來(lái)離開(kāi)了組織，管理員也可以將該移動(dòng)設(shè)備從域內(nèi)刪除。

在云中，身份管理的IT安全模式同樣發(fā)生了變化。負(fù)責(zé)身份管理的系統(tǒng)管理員通常需要對(duì)非本地的云資源訪問(wèn)進(jìn)行授權(quán)。以Salesforce為例，管理員和用戶都訪問(wèn)相同的云資源，但管理員被授予了更高級(jí)的權(quán)限，可以授權(quán)或撤銷(xiāo)其他用戶的權(quán)限。不過(guò)，如果Salesforce的某些部分出現(xiàn)故障，系統(tǒng) 管理員能采取的措施很少。相反，在傳統(tǒng)的數(shù)據(jù)中心環(huán)境中，系統(tǒng)管理員不僅授權(quán)和撤銷(xiāo)最終用戶的權(quán)限，同樣還需要處理和解決自建數(shù)據(jù)中心基礎(chǔ)設(shè)施內(nèi)的各種問(wèn) 題。

電子郵件安全

傳統(tǒng)數(shù)據(jù)中心環(huán)境通常都承載了電子郵件服務(wù)器集群，主機(jī)服務(wù)器通常都在某些類(lèi)型的網(wǎng)絡(luò)防火墻設(shè)備后面，并且運(yùn)行著反病毒軟件。近年來(lái)，許多公司已經(jīng)將其電子郵件基礎(chǔ)設(shè)施放置在能夠處理深度包檢測(cè)的網(wǎng)絡(luò)防火墻設(shè)備后。

確保郵件安全的方法之一，還有基于云的電子郵件檢查，如TrendMicro的Hosted Email Security與Antispam Protection。這種模式下，組織仍然擁有電郵服務(wù)器，但同樣也注冊(cè)了TrendMicro的電子郵件域。任何來(lái)自組織外部IP網(wǎng)絡(luò)的郵件都會(huì)被發(fā) 送到TrendMicro的反病毒服務(wù)器上，經(jīng)由最新的惡意軟件簽名檢測(cè)。如果郵件被視為安全，它將會(huì)被發(fā)送到預(yù)期的收件人信箱內(nèi)。

虛擬桌面基礎(chǔ)設(shè)施

如果公司擁有數(shù)據(jù)中心，提供云服務(wù)并且不向公眾開(kāi)放，只有授權(quán)人員可以訪問(wèn)數(shù)據(jù)中心內(nèi)的數(shù)據(jù)。例如，公司可能在某個(gè)數(shù)據(jù)中心內(nèi)維護(hù)著自己的整個(gè)企業(yè) 網(wǎng)絡(luò)，而且提供虛擬桌面基礎(chǔ)設(shè)施(VDI)作為服務(wù)。在這種場(chǎng)景下，用戶不是從自己的辦公桌上訪問(wèn)各自的桌面。相反，他們?cè)L問(wèn)某個(gè)托管數(shù)據(jù)中心服務(wù)器上的虛擬桌面。從安全角度看，這樣的方式被證明是有利的。例如，管理員可以分配不同的桌面到各個(gè)類(lèi)型的員工或部門(mén);某種桌面可能適合財(cái)務(wù)與審計(jì)部門(mén)，而另一種可能適合市場(chǎng)營(yíng)銷(xiāo)和銷(xiāo)售。然而，涉及到顆粒度量級(jí)的場(chǎng)景，可能會(huì)給服務(wù)器造成容量壓力。

數(shù)據(jù)中心內(nèi)的VDI場(chǎng)景，管理員管理虛擬環(huán)境，同樣還包括了運(yùn)行虛擬桌面的裸機(jī)服務(wù)器。從這個(gè)角度看，數(shù)據(jù)中心管理員管理更接近物理服務(wù)器，而不是虛擬化環(huán)境。因此，許多傳統(tǒng)的安全機(jī)制，如網(wǎng)絡(luò)防火墻，是可以考慮的設(shè)備，管理員還可能分配不同的物理服務(wù)器來(lái)承載不同類(lèi)型的虛擬桌面負(fù)載。為保護(hù)某些負(fù) 載上的敏感數(shù)據(jù)，團(tuán)隊(duì)可能會(huì)在不同的VDI部署之間增加防火墻。

許多行為可能是數(shù)據(jù)中心與私有或公有云應(yīng)用程序結(jié)合所引發(fā)的連鎖反應(yīng)。確定那些公有或私有云服務(wù)器需要來(lái)自自己數(shù)據(jù)中心的支持，并確保自己的基礎(chǔ)設(shè)施與IT安全模式——包括權(quán)限，針對(duì)每個(gè)服務(wù)都進(jìn)行了適當(dāng)?shù)脑O(shè)置。

編輯：張路麒

關(guān)鍵字：云計(jì)算云服務(wù)