【TechTarget中国原创】云计算给企业的运行方式带来了巨大的变化,而企业的IT基础设施也就需要相应的改变。这个变化对那些保护企业数据以及企业网络用户安全的网络管理员们来说影响最大。
共享数据、应用程序以及IT基础设施能够给企业带来巨大的成本优势和生产效益,但也会给公司的防火墙和物理环境带来麻烦。作为网络管理员,你在公司实施云计算过程中需要做的工作就是在把数据、应用程序、基础设施这些内容发送到云计算时,确保用户和数据的安全。尽管云计算提供商也承担了保护企业数据安全的部分责任,但是最终还是得由企业自己的安全工作人员来负责。在这篇文章中,我们将讨论一下在把网络基础设施延伸到云计算的时候,该怎样做好企业网络安全方面的准备工作。
在把数据或者应用程序发送到云端之前,评估当前企业内部网络的安全状态非常重要。此时是进行网络审计的理想时刻,因为你可以查清楚公司的网络防御是否跟公司的数据安全性、完整性、可用性政策相一致,是否符合监管规则的要求和行业最佳做法。
这个审计的好处是多方面的。使用网络审计工具(免费的、或者市场上可以买到的)肯定会发现一些不理想的配置和实践做法。一旦用更好的安全控制以及改进的程序将这些缺点进行修正之后,你就能建立起一个可以接受的网络设备、网络用户以及应用程序的安全基准。这个基准可以作为今后审计工作和安全配置检查的参考,以确定在转移到云计算的过程中网络安全是如何受到影响的。
其次,了解云计算提供商的安全政策和程序也非常重要。你应该寻找那些安全水平能够跟企业遵从标准相符合的、安全内容跟企业防火墙内容相一致的服务提供商。为了避免安全领域各个方面(比如备份、访问、数据破坏)的责任混乱,我推荐在合同中明确指定哪一方去负责相关政策或者标准的遵从事宜。
防火墙的设置可能需要调整,这取决于云计算服务是怎样进行的。为了确保防火墙系统和其他的周边防御(比如IDS/IPS系统)得到正确的调整,你需要跟服务提供商密切合作,因为他们理应具备处理可能出现的网络安全配置问题的经验。如果需要对防火墙规则进行修改并且要开放额外的端口,请确保这些变化被更新到网络安全基准上,并对网络再次进行扫描检查。你可以使用像Nmap这样的工具,它可以保证只开放正确的端口,并且保证不会有不被信任的关系或者连接来破坏安全政策。
当在网络中添加一个新的服务时,请保证有足够的职责分离以及足够的访问授权,以保证没人能够恶意或者无意的破坏公司数据。根据人力资源部门的雇佣登记表来复查用户帐户以及帐户特权必不可少,这样可以确保访问权的正确性,确保那些不再使用的帐户已经被停止。如果由于转移到云计算的需要,你给第三方(比如提供商和客户)开启了网络访问权,那么还应该对网络访问控制系统(NAC)的全部设置进行复查。请确保目前的NAC产品能够应对用户数量急剧增加的情况。许多企业实际上正在考虑使用基于SaaS的NAC方案来保证可扩展性和协同工作能力。
云计算在某种程度上模糊了静止数据、传输中的数据以及使用中的数据之间的区别,这使得数据加密成为最重要的防御手段之一。加密的数据自己就能够保护自己,因此即便是其他的服务会保护数据和网络通信,这些数据和通信也需要全部加密。另外,加密可以让数据不可读,减少了存储在云计算中的数据遭到破坏的风险。加密技术还允许角色和数据的分离,因为加密密钥控制着数据的访问权。我会用一种分析程序(比如wireshark)对网络进行定期检查,以确保网络通信通道是加密的。
最后,请通过使用内部云或者混合云的开发以及实验来对网络安全进行测试,不要害怕麻烦。这项测试包括在企业内部网络使用一个应用程序服务进行测试,这跟云计算供应商所提供的一样,还包括通过一个有限制的、非关键任务的云计算来测试云计算提供商的能力。我推荐大家阅读一下云安全联盟的指南,它能帮助你理解企业采用云计算时需要考虑的主要问题。
然而,为云计算准备好网络只是第一步。为了让云计算的实施能够真正成功,一旦你开启了云计算服务,你就需要确保网络的基础安全长期稳定。你还需要调整并且升级你的防御措施和安全控制来处理新的威胁。我们将会在下一篇文章中对这方面的挑战进行讨论。