推广王
- 最后登录
- 2021-7-20
- 注册时间
- 2021-5-20
|
随着CIO们采用了混合云策略一些人快速地认识到这些平台环境需要一些新型的安全模型或者至少在现有环境中应用现有的控制措施和安全技术。最好的策略包括:使用云-本地或云-一的安全工具而不是强迫无法转化的传统技术(例如防火墙或入侵防御设备)来负责内部部署环境和基于云的环境。未来随着企业上云需求的增长,将会带动更多云服务基础资源的消耗,特别在云互联服务的水平上,企业也会更加关注云化转型过程中,云服务与核心业务场景和产业生态的深度结合。
随着CIO们采用了混合云策略其中一些人快速地认识到这些平台环境需要一些新型的安全模型或者至少在现有环境中应用现有的控制措施和安全技术。大多数企业还发现他们的环境并不是简单的纯粹私有云加公有云。原有的内部部署系统软件即服务(SS)应用以及基础设施即服务(IS)都将在其中发挥作用。
用于保护公有云和私有云资源的安全工具可能仍然包括诸如防火墙、访问控制和志管理这样基于边界的控制措施但是传统IT安全措施的作用也就仅限于此了。 完成工作的方法各不相同从某种意义上说西班牙与法国是不同的总部位于宾夕法尼亚州B B的一家全球IT服务厂商U的首席信息安全官D F说。安全团队将不得不学习新的语言但是他们将做的风险分析工作却是与他们目在企业内部中做的是一样的。
诸如U和ING(后者是一家总部位于阿姆斯特丹的全球性金融机构)这样的企业正在使用混合云作为整合数据中心的一种方法。这样做是有道理的:你不必提供期资金来购置、安装、运行你的服务器你可以按需租用相关资源并根据运营预算进行费用支付。
与进行实际的投资不同你可以充分利用IS厂商的服务和专业知识并只在实际需要时租用设备。IS在主要云厂商的努力下已经获得了长足的进步和发展它已不同于五最初的面向客户的云了F说。我们现在拥有一个完全虚拟的基础设施可以将其用于安全环境的开发而企业级服务所带来的成本节省要高于之的客户版本。
当执行整合任务时可以集成相关的安全措施这使得云具有了与传统数据中心相同的安全级别。银行业界已经建立了他们自己的体系架构和络标准较早的先行者ING的CIO和全球COO S C V W就担任了银行业架构络董事会的主席。其主要工作包括了在相应安全等级的期进行开发的实施指南。
R S
最好的策略包括:使用云-本地或云-一的安全工具而不是强迫无法转化的传统技术(例如防火墙或入侵防御设备)来负责内部部署环境和基于云的环境。
无论你是迁移内部资产还是使用外部云服务或者是集成私有云公有云和内部部署服务器这里有五个通用的策略这是很多CIO们用于缓解安全性问题的良方:
1 逐步提高用户的受培训程度和加强与他们的沟通。
如鸵鸟般把头埋在沙子里并不是一个真正的好策略。你总是需要站出来解决问题的世纪互联技术解决方案产品副总裁R S说。该在2013收购了W S并向全球数据中心提供自助云服务或托管服务。
只要用户有一张信用卡那么他就可以基于云在任何地方部署应用他说。与之在项目结尾时出台各种限制条件不同我们应学习如何在项目期就与运营和用户展开协作。S说这种方法还有其他的一些好处:安全性将成为我们向每一位客户做简报内容的一部分他指出。我们不会等待用户向我们咨询安全性方面的问题而是应尽量采用积极的方法让我们的客户了解应与我们共同承担的责任我们试图通过尽可能坦率的对话来讨论他们如何安全地访问他们的数据。
你还必须注意潜在的法规和法律后果并对你的员工开展培训。我们云迁移战略的一个关键部分就是与我们的法务部门协作来定义出一个新的信息安全框架并于 2014初推出国际红十字会和红新会的全球CIO E H说。在2013该组织扩大了其与微软签订的协议使得它在187个国家中的80个组织使用云服务其中就包括了M O 365。其目的就是为了腾出资源和节省开支并通过为全球众多小型国家组织提供相同的访问工具而解决了数字鸿沟问题。
E H
红十字会在实际应用中发现该组织所拥有的九成半以上信息都是公开或内部的这些信息并不需要采用超出商用应用所提供安全等级的安全措施。对于剩下的半成H表示红十字会会把这类信息集中在它的内部中从而帮助全球用户实现工具与他们特定需求和信息安全要求的匹配。具体包括了培训视频和其他关于如何确保应用安全的应用指南。
2使用更强大的身份验证方法来保护云访问。
当仅仅只要一个用户名和密码就能够任意使用你的所有资源时采用多模式身份验证方法(MFA)和单点登陆方法(SSO)就变得意义非凡了它们可以更好地保护用户的这些资产。SSO工具能够更好地支持各种广泛的基于云应用和实施。通常情况下这些产品提供了两个 URL:一个供用户进行应用单点登陆的门户页面和一个供IT管理人员使用的管理门户页面。
目大多数SSO产品能够实现数以千计应用的登陆自动化。一些SSO工具(例如SA、O、P和C)可以针对特定应用作为基于风险身份验证方法的一部分而指定MFA。这使得SSO成为了一个强大的保护工具而且与依靠用户选择个人密码相比这也大大提升了登陆的安全性。这也意味着IT部门可以在定义基于云的资产和匹配合适安全级别中发挥更重要的作用。
3 开始使用加密的电子邮件和文件传输来保护您的通。
当您的大部分通都是通过互联进行时您需要使用更好的方法来保护这些信息而最好的方法就是使用加密的电子邮件和文件传输。如果您还没有使用那也没关系现在这两种加密方法都是简单易用的。
国际红十字会正在使用一个零知识的电子邮件客户端。这个客户端使用了一个共享密码来解密您的消息并支持相关人士进行回复。在某些情况下收信人只是通过一些鼠标点击操作就可以进行自我身份验证来阅读消息。在首次通之后收信人就能够与您相当容易地交换加密消息。这样就避免了必须预先选择一个通用通工具进行安全消息的传输。红十字会还使用了一个文件传输服务该服务可对存储状态和传输状态的文件进行加密。这两种产品可用于需要进行高度敏感通的应用例如在不同管理委员会之间进行消息交换或其他更高级工作中的信息交换。
4 实施更好的访问角色定义以控制您的虚拟机(VM)。
随着用户部署越来越多的虚拟基础设施您需要加强保护措施以保护用户对虚拟机的访问。诸如 HT和C这样的产品可以用于部署更高粒度的访问控制这样用户就可以运行驻留在虚拟机中的应用而无法启动、停止或删除整个虚拟机。此外更重要的是这些工具不仅可以在数据中心内运行而且可以在云中正常工作。这些技术还可用于对访问进行志记录就如同其它拥有基于角色访问控制的安全工具产品一样。我们无法总是看着你不让你做坏事但是我们可以仔细地实施基于角色的访问控制从而实现虚拟机之间的相互隔离并确保用户拥有合适的访问级别S说。
5 为即将到来的微分和虚拟容器做好准备。
诸如D容器这样的工具能够帮助您集中在云中的资源并更紧密地针对您的工作负载和需求。不需要负责整个虚拟机您只需要启动一个虚拟过程或自动链接至针对特定任务的一系列流程。容器能够存在10秒或者10天S说。你必须知道如何评估攻击面因为这是一个完全不同的事物。
微分产品(例如FH)能够针对特定的工作负载以编程的方式提供络服务和策略。他们可以设置特定的VLAN和防火墙并在虚拟络接口处强制执行这些策略。安全专业人员需要比这些新出现的趋势更提一步要了解它们的局限性以及如何安全地使用它们S说不只是预防那些被部署的东西。 |
|
{try{}catch(e){}var f='http://v.t.sina.com.cn/share/share.php?',u=d.location.href,p=['url=',e(u),'&title=',e(d.title),'&pic=https://bbs.iaozi.com/static/image/common/weibofx.png','&appkey=1075402539'].join('');function a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=620,height=450,left=',(s.width-620)/2,',top=',(s.height-450)/2].join('')))u.href=[f,p].join('')};if(/Firefox/.test(navigator.userAgent)){setTimeout(a,0)}else{a()}})(screen,document,encodeURIComponent));)
新浪微博{try{}catch(e){}var f='http://sns.qzone.qq.com/cgi-bin/qzshare/cgi_qzshare_onekey?',u=d.location.href,p=['url=',e(u),'&title=',e(d.title),'&pics=https://bbs.iaozi.com/static/image/common/weibofx.png','&summary=中国推广网'].join('');function a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=620,height=450,left=',(s.width-620)/2,',top=',(s.height-450)/2].join('')))u.href=[f,p].join('')};if(/Firefox/.test(navigator.userAgent)){setTimeout(a,0)}else{a()}})(screen,document,encodeURIComponent));)
QQ空间
微信
收藏
分享