四個真實案例 讓你0距離觸摸云安全
雖然大家對云安全都有些初步了解,但是通過一些具體實例或許才能更深入了解云安全。下面就為大家例舉四個大多數用戶都擔憂的問題并告訴大家這些問題是如何被解決的。
云模式:SaaS
安全顧慮:單點登錄
當Lincoln Cannon10個月前被一個擁有1500名員工的醫療器械公司聘用為網絡系統主管,他希望幫助銷售部門轉換到谷歌應用和基于SaaS的訓練應用eLeap,從而降低開發成本并提高生產力。
不過,需要解決一些顧慮。營銷人員不希望用戶有多次登錄,而IT部門則希望通過保留對訪問的控制權,特別是在增加新員工和員工離職要終止其賬戶的時候。
Cannon選用了Symplified的單點登錄,因為它可以與Active Directory進行聯系并驗證那些試圖登錄云應用用戶的證書。谷歌應用使用API將用戶鑒別卸載給單點登錄的供應商。但是如果使用eLeap,系統則還需要使用身份驗證適配器。
Cannon認為它就像是一個保全。因為要想獲取eLeap訓練案例或是Google應用,都需要通過單點登錄供應商的驗證。而且它還與Active Directory同步。我們通過Symplified 進行對被授權訪問這些SaaS應用的帳戶進行定義,而要關閉一些AD帳戶時,它會適時對關閉的帳戶進行阻止,以防這些帳戶訪問SaaS應用。
Symplified系統可以在SaaS模式中操作,但是該器械公司選擇在其防火墻后部署一個由Symplified 托管的路由。之所以這樣做是因為IT部門不想在云上管理用戶帳戶和密碼。所有這些有關帳戶和密碼的操作都在防火墻后端進行。
#p#
云模式:IaaS
安全顧慮:數據加密
紐約的Flushing銀行,CIO Allen Brewer想改成用云進行數據備份。選用Zecurion的Zerver后,Flushing銀行現在要將文件通過互聯網上進行備份。而該銀行首先要考慮的問題就是數據加密以及找到一個能適應銀行已有加密法則的服務供應商。Brewer表示,有些公司以來供應商提供加密,而他們則依靠自己。所銀行發送和保存的數據都在供應商處被加密。
某些基于云的備份存儲供應商將裝置安裝在客戶端以適應加密,但是Flushing則對這樣的安裝不感興趣。Brewer之所以選擇Zecurion是因為他知道存儲信息的數據中心的位置。他表示,自己知道該公司三個數據中心之所在,而并非將數據發送到云然后對數據位置一無所知。
#p#
云模式:實地云
安全顧慮:虛擬化
當SnagAJob.com的IT運營總監Matt Reidy著手進行公司為期三年的技術更新是,他的目標是將公司現有的75%的虛擬環境提升到100%虛擬的,私有的安全云計算,并在其核心部分使用運行VMware和vSphere的戴爾刀片服務器。
Reidy認為,RnagAJob作為一個增長迅速具有發展潛力的網站需要以云模式獲得運營的靈活性。在技術更新以前,SnagAJob擁有一個多層架構,該架構的防火墻為Web,應用和數據層進行物理隔離。Reidy以前可以移除物理防火墻,然后從Altor網絡公司那里部署一個虛擬防火墻來實現百分比的虛擬化。而物理防火墻今后將只存在于防入侵檢測和防御裝置之外的周邊產品中。
Reidy還解釋稱,在vShpere 版本四出來前,用戶可以將防火墻裝置作為虛擬機運行,但是其性能受到很大局限,因為網絡流量必須通過這些虛擬機。而現在,vSphere具備一個名為VMsafe的API,可以讓Altor,Checkpoint等防火墻供應商把流量檢測轉移到VMware核中。
Reidy認為新版本改善了產品的性能,穩定性和安全性。有了Altor虛擬防火墻,他的團隊現在還能觀察流量在虛擬機之間的傳輸,包括協議和數據大小。在虛擬云領域這是一項挑戰,因為傳統的產品是做不到這一點的。而現在,我們可以獲得更多安全性,因為我們可以看到數據的傳輸并在此觀察的基礎上編寫規則。其他還具有這種可視性功能的產品還包括思科的NetFlow和瞻博網絡的J-Flow,以及一個名為sFlow的開放型系統標準。
#p#
云模式:PaaS
安全顧慮:虛擬化,業務持續性,審核
在新開的公司里,Kavis選擇讓Amazon托管公司的整個架構。在此之前,他與要部署虛擬機的安全專家進行了商談以明確自己的需求。然后Kavis創建了一個應用那些控件的虛擬圖片,并創建了一個抽印程序以便可以隨時復制并依據需要安裝一個新的虛擬機。
Kevis說:“Amazon提供了虛擬圖像軟件,但是其安全性卻不夠。” “如果使用PaaS,那就只有這個問題需要處理,不過如果是使用IaaS,我就可以將安全性能設置到我希望的級別,而且操作上還會更具靈活性。”
Kavis還需要執行系統管理員應該執行的所有函數,如打開和關閉端口,編寫配置,鎖定數據庫。而他使用Amazon提供的LAMP堆棧。Kavis非常滿意于Amazon提供的周邊安全,并認為其產品達到了很多公司做不到的級別。
為了保障業務持續性,Kavis將所有的數據都復制到兩個以上的額外環境中。除非Amazon多個地域的環境全部癱瘓,Kavis公司的業務才會癱瘓。不過Amazon每個指定域都擁有較高的可靠性,因此所有業務在同一時間全部癱瘓的可能性微乎其微。
Kavis還要解決的另一個問題是審核。由于規則還不能反映出云計算,所以規則會將訪問送入物理盒內,而用戶不能在公共云中進行此操作。對于符合規則的數據,Kavis計劃使用一個虛擬專有云。這樣供應商就會說:“你的服務器被鎖定,如果你需要審核,可以將帶審計員來檢查。我們將以此來完成審計,但是所有的操作都將在公共云上進行。”即便用戶需要就地收錄特定類型的數據,從規模和成本角度出發,也需要將進程卸載到公共云。
【編輯推薦】
