在面向云環(huán)境進(jìn)行遷移時(shí)，企業(yè)需要認(rèn)真考量自身與服務(wù)供應(yīng)商的安全性水平，從而通過(guò)內(nèi)部政策與外部協(xié)議間的配合實(shí)現(xiàn)平穩(wěn)過(guò)渡與理想的安全保障能力。

[[170226]]

下面一起來(lái)看Radware公司提出的九項(xiàng)云安全保障舉措。

先進(jìn)行試水

邁向云端必然帶來(lái)新的學(xué)習(xí)曲線(xiàn)，其間甚至可能出現(xiàn)種種問(wèn)題。因此先從重要性不高的數(shù)據(jù)開(kāi)始，避免停機(jī)事件給業(yè)務(wù)造成負(fù)面影響。另外，在充分評(píng)估云主機(jī)安全性與可靠性后，再將與營(yíng)收緊密相關(guān)的敏感數(shù)據(jù)遷移至其中。

建立自己的“保護(hù)傘”

我們應(yīng)將部分?jǐn)?shù)據(jù)交由云打理，而另一部分繼續(xù)放置在自己的服務(wù)器上，這意味著需要一套能夠涵蓋整套混合環(huán)境的“保護(hù)傘”安全策略。不過(guò)由于云托管應(yīng)用有時(shí)候也擁有自己的安全系統(tǒng)，因此我們必須切實(shí)將所有因素考慮進(jìn)來(lái)，確保同一把“保護(hù)傘”同時(shí)適用于數(shù)據(jù)中心與云端的應(yīng)用程序。

在隱私與安全間尋求平衡點(diǎn)

受到攻擊的網(wǎng)絡(luò)或者云服務(wù)供應(yīng)商仍能夠接收合法流量。這意味著如果要通過(guò)流量解析找到惡意源頭，則勢(shì)必要對(duì)部分正常信息造成影響。利用行為威脅檢測(cè)算法等工具盡可能降低需要解密的數(shù)據(jù)總量，并與云服務(wù)供應(yīng)商協(xié)商安全協(xié)議的選擇，從而最大程度保護(hù)敏感信息的私密性。

明確云環(huán)境下的潛在風(fēng)險(xiǎn)

大家應(yīng)當(dāng)以懷疑一切的態(tài)度審視云端活動(dòng)，考慮其中是否存在可能導(dǎo)致數(shù)據(jù)丟失或者泄露的漏洞。另外，與云訪問(wèn)安全性中間商配合以防御云端應(yīng)用內(nèi)的漏洞。

提防你的“鄰居”

即使已經(jīng)采取了必要的安全措施，我們?nèi)匀粺o(wú)法控制同處云環(huán)境下的其它租戶(hù)。因此，IT管理者需要配合對(duì)應(yīng)架構(gòu)，確保黑客在對(duì)租戶(hù)發(fā)起攻擊時(shí)，我們的業(yè)務(wù)不會(huì)受到影響。另外，明確向供應(yīng)商詢(xún)問(wèn)如果租戶(hù)受到攻擊，我們是否能夠分離攻擊流量以確保自身安全。

確保云環(huán)境符合內(nèi)部標(biāo)準(zhǔn)

云主機(jī)使用的安全協(xié)議可能抵觸或者在水平上低于內(nèi)部網(wǎng)絡(luò)標(biāo)準(zhǔn)，因此確保往來(lái)會(huì)話(huà)能夠全程加密以防止?jié)撛陲L(fēng)險(xiǎn)。另外，認(rèn)真檢查以確保供應(yīng)商的平臺(tái)符合行業(yè)及您所在企業(yè)內(nèi)部的合規(guī)性要求。如果尚不符合，必須及時(shí)升級(jí)并調(diào)整安全設(shè)置。

保持與內(nèi)部一致的攻擊檢測(cè)心態(tài)

內(nèi)部數(shù)據(jù)中心與云環(huán)境間最大的監(jiān)管區(qū)別在于，后者有相當(dāng)一部分資產(chǎn)不在我們的直接控制范圍之內(nèi)。因此檢測(cè)各類(lèi)協(xié)議以確保云資產(chǎn)與自有數(shù)據(jù)中心一樣具備監(jiān)控透明度，另外快速反應(yīng)以評(píng)估攻擊活動(dòng)，從而決定利用哪些資源對(duì)其進(jìn)行消化。

了解云供應(yīng)商的優(yōu)勢(shì)所在

不同云供應(yīng)商在價(jià)格及功能層面皆有所區(qū)別。舉例來(lái)說(shuō)，某些云廠商善于實(shí)現(xiàn)安全保障，因此大家應(yīng)當(dāng)審查對(duì)應(yīng)廠商以明確其是否符合應(yīng)用程序托管要求。

進(jìn)行明確的責(zé)任劃分

對(duì)托管服務(wù)的安全責(zé)任進(jìn)行劃分是項(xiàng)技術(shù)活，而良好的劃分能夠有效平衡風(fēng)險(xiǎn)。不要讓IT部門(mén)之外的業(yè)務(wù)部門(mén)掌握安全策略控制權(quán)。其它部門(mén)在選擇云資產(chǎn)時(shí)，可能會(huì)將交付時(shí)間與成本節(jié)約效果作為關(guān)注重點(diǎn)，因此必須由IT部門(mén)配合其進(jìn)行安全性評(píng)估。