四個(gè)事例講解云安全

1、雖然大家對(duì)云安全都有些初步了解，但是通過(guò)一些具體實(shí)例或許才能更深入了解云安全。下面就為大家例舉四個(gè)大多數(shù)用戶都擔(dān)憂的問(wèn)題并告訴大家這些問(wèn)題是如何被解決的。云模式：SaaS安全顧慮：?jiǎn)吸c(diǎn)登錄當(dāng)LincolnCannon10個(gè)月前被一個(gè)擁有1500名員工的醫(yī)療器械公司聘用為網(wǎng)絡(luò)系統(tǒng)主管，他希望幫助銷售部門轉(zhuǎn)換到谷歌應(yīng)用和基于SaaS的訓(xùn)練應(yīng)用eLeap,從而降低開發(fā)成本并提高生產(chǎn)力。不過(guò)，需要解決一些顧慮。營(yíng)銷人員不希望用戶有多次登錄，而IT部門則希望通過(guò)保留對(duì)訪問(wèn)的控制權(quán)，特別是在增加新員工和員工離職要終止其賬戶的時(shí)候。Cannon選用了Symplified的單點(diǎn)登錄，因?yàn)樗梢耘cActiveD

2、irectory進(jìn)行聯(lián)系并驗(yàn)證那些試圖登錄云應(yīng)用用戶的證書。谷歌應(yīng)用使用API將用戶鑒別卸載給單點(diǎn)登錄的供應(yīng)商。但是如果使用eLeap，系統(tǒng)則還需要使用身份驗(yàn)證適配器。Cannon認(rèn)為它就像是一個(gè)保全。因?yàn)橐氆@取eLeap訓(xùn)練案例或是Google應(yīng)用，都需要通過(guò)單點(diǎn)登錄供應(yīng)商的驗(yàn)證。而且它還與ActiveDirectory同步。我們通過(guò)Symplified進(jìn)行對(duì)被授權(quán)訪問(wèn)這些SaaS應(yīng)用的帳戶進(jìn)行定義，而要關(guān)閉一些AD帳戶時(shí)，它會(huì)適時(shí)對(duì)關(guān)閉的帳戶進(jìn)行阻止，以防這些帳戶訪問(wèn)SaaS應(yīng)用。Symplified系統(tǒng)可以在SaaS模式中操作，但是該器械公司選擇在其防火墻后部署一個(gè)由Symplifie

3、d托管的路由。之所以這樣做是因?yàn)镮T部門不想在云上管理用戶帳戶和密碼。所有這些有關(guān)帳戶和密碼的操作都在防火墻后端進(jìn)行。云模式：IaaS安全顧慮：數(shù)據(jù)加密紐約的Flushing銀行,CIOAllenBrewer想改成用云進(jìn)行數(shù)據(jù)備份。選用Zecurion的Zerver后，F(xiàn)lushing銀行現(xiàn)在要將文件通過(guò)互聯(lián)網(wǎng)上進(jìn)行備份。而該銀行首先要考慮的問(wèn)題就是數(shù)據(jù)加密以及找到一個(gè)能適應(yīng)銀行已有加密法則的服務(wù)供應(yīng)商。Brewer表示，有些公司以來(lái)供應(yīng)商提供加密，而他們則依靠自己。所銀行發(fā)送和保存的數(shù)據(jù)都在供應(yīng)商處被加密。某些基于云的備份存儲(chǔ)供應(yīng)商將裝置安裝在客戶端以適應(yīng)加密，但是Flushing則對(duì)這樣的

4、安裝不感興趣。Brewer之所以選擇Zecurion是因?yàn)樗来鎯?chǔ)信息的數(shù)據(jù)中心的位置。他表示，自己知道該公司三個(gè)數(shù)據(jù)中心之所在，而并非將數(shù)據(jù)發(fā)送到云然后對(duì)數(shù)據(jù)位置一無(wú)所知。云模式：實(shí)地云安全顧慮：虛擬化當(dāng)SnagAJ的IT運(yùn)營(yíng)總監(jiān)MattReidy著手進(jìn)行公司為期三年的技術(shù)更新是，他的目標(biāo)是將公司現(xiàn)有的75%的虛擬環(huán)境提升到100%虛擬的，私有的安全云計(jì)算，并在其核心部分使用運(yùn)行VMware和vSphere的戴爾刀片服務(wù)器。Reidy認(rèn)為，RnagAJob作為一個(gè)增長(zhǎng)迅速具有發(fā)展?jié)摿Φ木W(wǎng)站需要以云模式獲得運(yùn)營(yíng)的靈活性。在技術(shù)更新以前，SnagAJob擁有一個(gè)多層架構(gòu)，該架構(gòu)的防火墻為Web

5、,應(yīng)用和數(shù)據(jù)層進(jìn)行物理隔離。Reidy以前可以移除物理防火墻，然后從Altor網(wǎng)絡(luò)公司那里部署一個(gè)虛擬防火墻來(lái)實(shí)現(xiàn)百分比的虛擬化。而物理防火墻今后將只存在于防入侵檢測(cè)和防御裝置之外的周邊產(chǎn)品中。Reidy還解釋稱，在vShpere版本四出來(lái)前，用戶可以將防火墻裝置作為虛擬機(jī)運(yùn)行，但是其性能受到很大局限，因?yàn)榫W(wǎng)絡(luò)流量必須通過(guò)這些虛擬機(jī)。而現(xiàn)在，vSphere具備一個(gè)名為VMsafe的API,可以讓Altor,Checkpoint等防火墻供應(yīng)商把流量檢測(cè)轉(zhuǎn)移到VMware核中。Reidy認(rèn)為新版本改善了產(chǎn)品的性能，穩(wěn)定性和安全性。有了Altor虛擬防火墻，他的團(tuán)隊(duì)現(xiàn)在還能觀察流量在虛擬機(jī)之間的傳輸

6、，包括協(xié)議和數(shù)據(jù)大小。在虛擬云領(lǐng)域這是一項(xiàng)挑戰(zhàn)，因?yàn)閭鹘y(tǒng)的產(chǎn)品是做不到這一點(diǎn)的。而現(xiàn)在，我們可以獲得更多安全性，因?yàn)槲覀兛梢钥吹綌?shù)據(jù)的傳輸并在此觀察的基礎(chǔ)上編寫規(guī)則。其他還具有這種可視性功能的產(chǎn)品還包括思科的NetFlow和瞻博網(wǎng)絡(luò)的J-Flow,以及一個(gè)名為sFlow的開放型系統(tǒng)標(biāo)準(zhǔn)。云模式：PaaS安全顧慮：虛擬化，業(yè)務(wù)持續(xù)性，審核在新開的公司里，Kavis選擇讓Amazon托管公司的整個(gè)架構(gòu)。在此之前，他與要部署虛擬機(jī)的安全專家進(jìn)行了商談以明確自己的需求。然后Kavis創(chuàng)建了一個(gè)應(yīng)用那些控件的虛擬圖片，并創(chuàng)建了一個(gè)抽印程序以便可以隨時(shí)復(fù)制并依據(jù)需要安裝一個(gè)新的虛擬機(jī)。Kevis說(shuō)：“Am

7、azon提供了虛擬圖像軟件，但是其安全性卻不夠?！薄叭绻褂肞aaS，那就只有這個(gè)問(wèn)題需要處理，不過(guò)如果是使用IaaS，我就可以將安全性能設(shè)置到我希望的級(jí)別，而且操作上還會(huì)更具靈活性?！盞avis還需要執(zhí)行系統(tǒng)管理員應(yīng)該執(zhí)行的所有函數(shù)，如打開和關(guān)閉端口，編寫配置，鎖定數(shù)據(jù)庫(kù)。而他使用Amazon提供的LAMP堆棧Kavis非常滿意于Amazon提供的周邊安全，并認(rèn)為其產(chǎn)品達(dá)到了很多公司做不到的級(jí)別。為了保障業(yè)務(wù)持續(xù)性，Kavis將所有的數(shù)據(jù)都復(fù)制到兩個(gè)以上的額外環(huán)境中。除非Amazon多個(gè)地域的環(huán)境全部癱瘓，Kavis公司的業(yè)務(wù)才會(huì)癱瘓。不過(guò)Amazon每個(gè)指定域都擁有較高的可靠性，因此所有業(yè)務(wù)在同一時(shí)間全部癱瘓的可能性微乎其微。Kavis還要解決的另一個(gè)問(wèn)題是審核。由于規(guī)則還不能反映出云計(jì)算，所以規(guī)則會(huì)將訪問(wèn)送入物理盒內(nèi)，而用戶不能在公共云中進(jìn)行此操作。對(duì)于符合規(guī)則的數(shù)據(jù)，Kavis計(jì)劃使用一個(gè)