四个事例讲解云安全
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
虽然大家对云安全都有些初步了解,但是通过一些具体实例或许才能更深入了解云安全。下面就为大家例举四个大多数用户都担忧的问题并告诉大家这些问题是如何被解决的。
云模式:SaaS
安全顾虑:单点登录
当Lincoln Cannon10个月前被一个拥有1500名员工的医疗器械公司聘用为网络系统主管,他希望帮助销售部门转换到谷歌应用和基于SaaS的训练应用eLeap,从而降低开发成本并提高生产力。
不过,需要解决一些顾虑。营销人员不希望用户有多次登录,而IT部门则希望通过保留对访问的控制权,特别是在增加新员工和员工离职要终止其账户的时候。
Cannon选用了Symplified的单点登录,因为它可以与Active Directory进行联系并验证那些试图登录云应用用户的证书。谷歌应用使用API将用户鉴别卸载给单点登录的供应商。但是如果使用eLeap,系统则还需要使用身份验证适配器。
Cannon认为它就像是一个保全。因为要想获取eLeap训练案例或是Google应用,都需要通过单点登录供应商的验证。而且它还与Active Directory同步。我们通过Symplified 进行对被授权访问这些SaaS应用的帐户进行定义,而要关闭一些AD帐户时,它会适时对关闭的帐户进行阻止,以防这些帐户访问SaaS应用。
Symplified系统可以在SaaS模式中操作,但是该器械公司选择在其防火墙后部署一个由Symplified 托管的路由。之所以这样做是因为IT部门不想在云上管理用户帐户和密码。所有这些有关帐户和密码的操作都在防火墙后端进行。
云模式:IaaS
安全顾虑:数据加密
纽约的Flushing银行,CIO Allen Brewer想改成用云进行数据备份。选用Zecurion的Zerver 后,Flushing银行现在要将文件通过互联网上进行备份。而该银行首先要考虑的问题就是数据加密以及找到一个能适应银行已有加密法则的服务供应商。Brewer表示,有些公司以来供应商提供加密,而他们则依靠自己。所银行发送和保存的数据都在供应商处被加密。
某些基于云的备份存储供应商将装置安装在客户端以适应加密,但是Flushing则对这样的安装不感兴趣。Brewer之所以选择Zecurion是因为他知道存储信息的数据中心的位置。他表示,自己知道该公司三个数据中心之所在,而并非将数据发送到云然后对数据位置一无所知。
云模式:实地云
安全顾虑:虚拟化
当的IT运营总监Matt Reidy着手进行公司为期三年的技术更新是,他的目标是将公司现有的75%的虚拟环境提升到100%虚拟的,私有的安全云计算,并在其核心部分使用运行VMware和vSphere的戴尔刀片服务器。
Reidy认为,RnagAJob作为一个增长迅速具有发展潜力的网站需要以云模式获得运营的灵活性。在技术更新以前,SnagAJob拥有一个多层架构,该架构的防火墙为Web,应用和数据层进行物理隔离。Reidy以前可以移除物理防火墙,然后从Altor网络公司那里部署一个虚拟防火墙来实现百分比的虚拟化。而物理防火墙今后将只存在于防入侵检测和防御装置之外的周边产品中。
Reidy还解释称,在vShpere 版本四出来前,用户可以将防火墙装置作为虚拟机运行,但是其性能受到很大局限,因为网络流量必须通过这些虚拟机。而现在,vSphere具备一个名为VMsafe的API,可以让Altor,Checkpoint等防火墙供应商把流量检测转移到VMware核中。
Reidy认为新版本改善了产品的性能,稳定性和安全性。有了Altor虚拟防火墙,他的团队现在还能观察流量在虚拟机之间的传输,包括协议和数据大小。在虚拟云领域这是一项挑战,因为传统的产品是做不到这一点的。而现在,我们可以获得更多安全性,因为我们可以看到数据的传输并在此观察的基础上编写规则。其他还具有这种可视性功能的产品还包括思科的NetFlow和瞻博网络的J‐Flow,以及一个名为sFlow的开放型系统标准。
云模式:PaaS
安全顾虑:虚拟化,业务持续性,审核
在新开的公司里,Kavis选择让Amazon托管公司的整个架构。在此之前,他与要部署虚拟机的安全专家进行了商谈以明确自己的需求。然后Kavis创建了一个应用那些控件的虚拟图片,并创建了一个抽印程序以便可以随时复制并依据需要安装一个新的虚拟机。
Kevis说:“Amazon提供了虚拟图像软件,但是其安全性却不够。” “如果使用PaaS,那就只有这个问题需要处理,不过如果是使用IaaS,我就可以将安全性能设置到我希望的级别,而且操作上还会更具灵活性。”
Kavis还需要执行系统管理员应该执行的所有函数,如打开和关闭端口,编写配置,锁定数据库。而他使用Amazon提供的LAMP堆栈。Kavis非常满意于Amazon提供的周边安全,并认为其产品达到了很多公司做不到的级别。
为了保障业务持续性,Kavis将所有的数据都复制到两个以上的额外环境中。除非Amazon多个地域的环境全部瘫痪,Kavis公司的业务才会瘫痪。不过Amazon每个指定域都拥有较高的可靠性,因此所有业务在同一时间全部瘫痪的可能性微乎其微。
Kavis还要解决的另一个问题是审核。由于规则还不能反映出云计算,所以规则会将访问送入物理盒内,而用户不能在公共云中进行此操作。对于符合规则的数据,Kavis计划使用一个虚拟专有云。这样供应商就会说:“你的服务器被锁定,如果你需要审核,可以将带审计员来检查。我们将以此来完成审计,但是所有的操作都将在公共云上进行。”即便用户需要就地收录特定类型的数据,从规模和成本角度出发,也需要将进程卸载到公共云。