如何把數據遷移到云計算
開發者喜歡云計算,因為它部署后很快能投入運行;企業喜歡云計算,因為基礎設施的費用會降低;用戶也喜歡云計算,因為他們能更快地獲得新功能。然而幾家歡喜幾家愁,負責企業信息安全的IT專業人士正絞盡腦汁,尋找將應用程序和數據安全轉移到云服務中的方法。
長久以來,IT組織的重點目標之一便是強化身份管理技術及相關流程,而云計算所帶來的安全風險無疑使這個目標不進反退。
公司可以將目錄服務驗證擴展到企業環境外,以處理云服務中的應用程序或系統,可是如果第三方系統受到攻擊,驗證系統也可能會連帶地受到攻擊。企業也可采用新的解決方案:在云服務和現有基礎設施之間設置隔離帶,這種方法的缺點是企業將不得不整合多種身份管理和訪問管理系統,因此這種繁瑣的替代方案不具吸引力。
幸運的是,某些云供應商開始著手解決這個問題。谷歌提供的新功能可以將谷歌應用程序整合進現有的單點登錄工具,既提高了安全性又簡化了管理流程。我們采訪的一家企業部署了先進的驗證服務器,從而云系統就可通過輕量級目錄訪問協議(LDAP)進行驗證。另一家企業將其基于網絡的驗證協議進行擴展,使之能與外部來源協同工作,并通過網絡服務,使用內部托管系統對云服務進行驗證。
數據遷移應注意數據的丟失與備份
數據存放在何處?哪些人有權訪問?數據安全嗎?這些都是大問題,因為除了軟件即服務(software as a service,SaaS)供應商之外,云服務供應商很少具備長期處理敏感數據的經驗。一般說來,數據在云服務中是共享存儲的,因此具有潛在危險。其實,我們就是把數據存放在公司內部也是有風險的,更別提云服務了。我們經常對企業內數據訪問的風險/利益進行評估,這種方法同樣也可套用到云服務上,判斷可將那些數據轉移到云服務中,以及如何保護數據。這就需要我們了解并核實供應商的標準,搞清楚是否可以對它們進行修改。
在使用云服務(如亞馬遜公司的彈性計算云)時,企業可對虛擬實例中運行的操作系統、應用程序或數據庫管理系統進行數據加密。在使用其他服務(如應用程序托管)時,IT組織需要在開發程序時多留個心眼,確保在程序中內置安全措施(比如說數據加密)。
不論數據存放在何處,企業都應該慎重考慮數據丟失風險。亞馬遜公司明白電腦會時不時發生故障,所以它建議客戶通過冗余和備份計劃應對電腦故障。有些云供應商提供備份服務或數據導出功能,這樣企業就可以自行創建數據備份;另一些供應商則要求客戶使用企業自行開發或第三方開發的備份程序。
數據遷移請注意以下關鍵問題
如何進行備份?有些云供應商會進行數據備份,但多數情況下你得自己進行備份。很多亞馬遜EC2的客戶利用該公司的簡單存儲服務(Simple Storage Service)或彈性塊存儲服務(Elastic Block Storage)來存放備份文件。
可以對備份進行測試嗎?如果云服務發生故障無法使用時,企業能訪問備份文件嗎?
備份文件放在何處?它既可以存放在供應商托管的云存儲系統中,也可以轉移到企業自己的基礎設施里。無論如何,你得確保備份數據在儲存和轉移時受到嚴密保護。
數據遷移后的管理和監控
企業的信息安全團隊花費大量時間監控漏洞郵件列表,給系統打補丁,有時還要重寫代碼修補漏洞。在使用云服務時,他們相信云供應商也會盡力盡責地這么做。很少有廠商會向客戶提供驗證其安全措施的方法。在使用云系統(比如Joyent或亞馬遜公司的EC2)時,企業可在操作系統、數據庫和應用程序層上應用安全措施,但歸根結底他們還是得依靠供應商來保證網絡、存儲和虛擬基礎設施的安全。
雖然云服務的客戶不能親自給系統打補丁或者監控漏洞,但它們仍然要盡力自行管理風險。企業必須評估哪些資產需要得到保護,并摸索出保護這些資產的方法,比如說,在云基礎設施周圍設置分層安全防護措施。即便如此,支付卡行業(Payment Card Industry,PCI)數據安全標準之類的法規仍然可能出乎人們的意料之外:PCI委員會并未說明應該將云供應商劃入哪個類別,因此不同的審計員可能會對同一個問題有著截然不同的處理方法。
客戶必須要求云服務供應商提供監控功能,這樣他們才能夠監控訪問數據的人員。如果企業需要詳細的審計跟蹤信息,它們得對數據進行加密,或者只將那些不接觸敏感數據的應用程序設置在云服務中。
該領域可能很快就會出現巨大進展。2008年年底,谷歌宣布其應用程序通過了SAS 70 Type II的安全流程審查。我們希望能看到更多的供應商將安全標準作為賣點,因為正是由于安全問題,企業才對是否將應用程序轉移到云服務中感到猶豫不決。
但是,企業內部信息安全團隊不應該坐等供應商提高安全性。從桌面應用程序到服務器托管,云計算幾乎在每個領域都越來越有吸引力。那些需要更高安全級別的應用程序(如與健康保險流通與責任法案(HIPAA)或PCI相關的應用程序)可能很難在云服務中進行驗證,因此這些程序最好還是放在企業內部服務器上。社區應用程序和內容網站更適用于云服務。什么樣的程序可以安心地將放在云服務中,這一點企業的IT部門必須心里有數。不過,云最終將成為基礎設施的一部分,所以IT部門必須找到安全連接企業系統和云基礎設施的方法。
【編輯推薦】
