企業該怎樣安全管理云計算中的敏感數據

云服務供應商如何在云中將敏感數據分成若干種類呢?Gregory Machler將對如何獲取元數據進行講解。

　　關于云計算的介紹五花八門，但是在你將重要的業務系統交付給外包商，轉移到云中時，我們還是先了解一些安全事宜吧。

　　最重要的商業應用一般關系到人力資源，財務，信用卡和其他敏感數據。如果這其中任意一類信息遭受損失，都可能導致公司與別人對簿公堂。而這將導致你失去本該屬于你的客戶。那么如何才能用云計算有效保護你的敏感信息呢?

　　以下三個方面應該處理好以便將你的應用有效地轉移到云：

　　創建一個次級防火墻保護 (深層防御);

　　分析應用文檔以確定新的防火墻規則更改;

　　保障傳送順暢的系統和應用元數據的集合。

　　首先，我們看一看深層防御。將敏感數據放到位于公司主要防火墻之后的次級防火墻區域中。次級防火墻和響應網絡會保護敏感應用及其數據，從而確保在面向web的防火墻被破壞的時候，使其不被其他人輕易訪問。例如，最好是部署四個以上的防火墻/網絡區域：一個用于存放人力資源的數據，一個用來存放財務數據，一個用來存放信用卡PCI數據，另一個用來存放其他區域共享的服務。這個區域包含的共享服務可以是一些普通的支持服務，如網絡和系統管理，加密和PKI功能，訪問控制服務和安全事件管理功能。

　　另一種架構部署——隧道訪問協議，可以保護企業免遭內部數據盜竊。隧道訪問協議時一個訪問控制功能，它可以讓管理員在區域系統上執行管理任務時記錄信息。因此，所有的管理型訪問都會被追蹤，這樣就可以挫敗內部信息的盜竊。

　　第二個要處理的地方是分析，此分析要能夠確定應用是否被成功轉移到云中的次級防火墻。建議首先從應用的設計文檔開始。它可以讓你從整體上了解哪些業務需要應用來執行，有哪些中間件被使用，哪些數據庫被使用以及有哪些協議被使用。通常它還包括一些邏輯架構。

　　有必要將注意力放到與應用互動的所有系統上。你的安全團隊會收集該應用的各種信息：哪些數據時敏感的，什么樣的工具被用來加密，這些工具怎樣進行加密，當它是面向web的應用時會有哪些滲透測試結果。同樣，我們建議創建一個協議表格來顯示所有服務器及其IP地址，所使用的協議以及端口使用的協議(TCP或UDP)。網絡視圖明確地顯示了哪些服務器可以彼此傳輸信息，它們又適合哪些協議。有必要將交換機，路由和其他網絡架構區域納入進來，因為協議/端口只在它們之上運行。如果協議表格很完整，那么創建防火墻規則就是很簡單的事情。防火墻規則由源和目標IP地址，所使用的協議，運行于協議之上的端口組成。

　　最后，建議將系統和應用元數據收集好整理在一起，以便更好地轉移應用。另外，如果你遇到業務中斷等災難或者其他要將你的應用從云中轉出的行為，你都會需要這些數據。系統信息存在于每個防火墻/網絡區域上。所有的應用都共享相同的系統數據，如相同的防火墻，路由，交換機，加密法則以及存儲子系統。系統元數據包括供應商，模式，軟件發布及版本還有其他系統范圍內的配置數據。應用數據是類似的，但是它要處理加載平衡器，加密方法，中間件，數據庫，服務器硬件和操作系統和服務，協議以及運行于這些系統之上的端口。應用元數據包括供應商，模式，軟件發布和版本以及其他應用配置數據。

　　將元數據保存在什么地方是另一個存在爭議的問題。建議將這一信息保存在LDAP存儲的層級中。我們可以在目錄中創建兩個層級：一個是“區域系統”，主要用于以上示例的四個區域;另一個稱為“應用”，主要用于給定區域中所有應用。這樣的分類排序有利于元數據的系統化管理，而敏感的云應用也可以快速部署到位。最重要的是，它可以將應用或區域快速部署到云中。

　　總而言之，轉移重要的云應用涉及到將數據放到次級防火墻之后。普通的服務存在于所有分區應用都共享的其中一個區域之中。應用應該位于單獨的分區中，而分區的依據則是按照受保護的數據類型來劃分，如信用卡數據，財務數據和人力資源數據以及共享的服務。應該創建各種文檔或審查各類文檔以確保次級防火墻之后的應用可以順利轉移。收集的元數據來自二層架構：每個區域的普通系統和每個區域的不同應用。建議將元數據保存在可以被很容易就檢索到的目錄中。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]