CIO:网络安全转到云计算会受到的影响
来源:CIO时代网 更新时间:2012-04-14

  使用一个或多个免费商业网络检测工具肯定会发现实际情况比理想情况要更糟糕。一旦这些被更好的安全技术和改进程序所完善,那么就可以为网络及其它所承载的设备、用户和应用程序以及它所处理的流量确立一个合理的安全底线。在今后的检测和安全配置检查中可以参考这个底线,从而确定网络安全在转到云计算后会受到哪些影响。

  这也表明,理解云服务提供商的安全策略和程序是很重要的。关键是寻找一个既能够满足企业的安全要求,又能与防火墙防护能力相当的安全级别。为了避免混淆谁将对你数据安全的各个方面(如备份、访问和数据损坏)负责,我将根据合同,明确应该由哪一方来负责遵守相关政策或标准。

  根据云服务的传输方式,防火墙的设置可能需要调整。为了确保包括周边防护(如IDS/IPS系统)在内的措施已经得到正确的调整,请与供应商紧密合作,因为供应商肯定具有处理各种可能的网络安全配置问题的经验。如果有必要,修改防火墙规则或者开放其他端口,必须确保每次进行这些改动都进行了另外一次网络检测,从而更新网络安全底线。可以使用如Nmap这样的工具来检查,以确保只有合适的端口被开放,并且没有任何授权或连接违反了安全策略。

  每当一项新的服务被添加到网络中,必须确保访问权限和职责的充分隔离,防止个人可能有意无意地损坏公司数据。对账户和人力资源雇佣登记的权限进行审查非常必要,这可以确保权限仍然适当,而那些不再使用的账户也已得到终止。作为云计算的一部分,如果你对第三方(如,供应商和客户)开放网络访问权限,那么任何网络接入控制(NAC)系统配置也必需重新检查。要确保当前NAC产品可以应付用户的急剧增加。实际上,许多机构仍在寻找基于SaaS的NAC解决方案,从而确保可扩展性和互操作性。

  因为云计算的应用会在一定程度上消除静态数据和动态数据之间的差异,因此数据加密成为最重要的防护手段之一。本质上,加密的数据是受到保护的,因此即使受到其他服务的保护,所有的数据和通讯都将需要进行加密。此外,加密的数据不可读取,减轻了对云端数据损坏的一些担忧。数据加密还允许任务和数据的分离,因为密钥控制着数据的访问。我可能会使用诸如Wireshark这样的分析软件对网络进行常规检查,从而确保通信信道正在被加密。

  最后,不要因为第一次开发实验内部云和混合云,而害怕测试网络的安全性。你可以采用与云计算供应商相同的方式来提供应用服务,而这只能在网络周边范围内进行,或用有限的、非关键任务的功能来测试云供应商的实力从而进行实验。阅读云安全联盟发布的指南,这将有助于你了解云计算组织主要的关注领域。

  为云计算构建网络只是第一步。为了使云计算真正成功,你需要确保当你开始运行云服务时,你的安全底线仍然能够得到执行。你还需要适应和发展防御和安全技术,以便处理新的威胁。