资讯专栏INFORMATION COLUMN

如何为混合云工作负载找到适合的场合:5个安全问题

qiangdada / 2828人阅读

摘要:与此同时,大多数组织将依靠前两种机制控制来管理工作负载的安置。

当企业开始运行应用程序工作负载时,一切似乎都很简单:企业运行测试数据,并且每个工作人员都可以看到,而且它在哪里运行都无关紧要。在本地部署的数据中心或在云端,它们都是一样的。但是,一旦开始部署实际工作负载,使用真实数据和实际流程,就会发生一些变化:某些数据以及其中一些过程会很敏感。那么企业应该如何决定将工作负载放在哪里,一旦他们部署在那里,企业应该如何保护它们?

如何为工作负载找到适合的场所?人们总是听到企业IT领导者提出这样的问题。以下通过询问五个相关的问题来回答这个问题,这些问题将帮助企业选择工作负载的适合场所:

什么是敏感数据和敏感过程?

谁应该访问,谁不应该?

我可以信任谁,为什么?

什么位置适合?

如何控制工作量安置?

1.什么是敏感数据和敏感过程?

这个问题可能需要长篇大论进行阐述。阅读敏感数据需要重新考虑企业的定义的时间。但是如果没有时间阅读这些观点,那么简而言之,几乎所有的数据都有可能是敏感的,这取决于应用场景。一旦确定了需要保护的数据以及需要保护的属性,无论是保密性、完整性、可用性、正确性还是其他属性,那么现在是花费一些时间思考如何保护它的时候了。

2.谁应该访问,谁不应该访问?

在研究什么样的数据和过程是敏感的时候,人们不会做的一件事就是了解它们在哪些情况下是敏感的。这会提供一些关于什么样的人应该有权访问的指标。人们应该意识到,这些人经常会随着时间的推移而变化:假设某人得到提升,并且现在可以访问新数据,或者企业结果发布后,其保密的财务数据就会公开化。

解决这一系列变化的标准方法是标记数据并赋予不同的角色,这些角色在移动角色时可能会发生变化:限制哪些角色应该访问哪些数据是非常简单的。这通常称为RBAC(基于角色的访问控制)。在某些场景下,这些是不够的,因此可以使用数据或人员的其他属性,从而导致采用ABAC(基于属性的访问控制)等替代方案。

也许人们会注意到,这里将上述指标从“数据和过程”改为“数据”。那是因为过程可能会很尴尬。过程可以经常改变他们的敏感度,有时会出乎意料地或恶意地改变他们的敏感度?那么,也可能企业的数据现在被勒索软件劫持,目前正在后台加密其硬盘驱动器。

过程通常很难用与数据完全相同的方式来描述,因此,一个很好的经验法则是根据在出现问题时可能发生的最坏情况来限制它们。

3.我可以信任谁,为什么?

这个问题的答案是“没有人”,即使人们意识到这是不现实的。简单的说,如何信任别人取决于场景。

就数据而言,正如上面所描述的,在考虑信任时,背景是王道。例如,人们相信鱼贩会了解和管理会计事务吗?你会相信会计师会去卖鱼吗?对于操作和管理系统的人也是如此:人们会认为他们各自做不同的事情。

具体来说,这里正在讨论的是两套系统:人们运行的工作负载以及它们运行的主机。你可能已经有了控制措施来确保只有自己的财务和人力资源团队才可以访问的工资核算工作负载,但工资核算工作负载所运行的主机呢?

人们并不总是能够意识到这一点,但当工作负载在主机上运行时,在容器中或在虚拟机中,任何人或者任何具有对该机器的管理访问权限的进程,都能完全控制该工作负载。这不仅可以阻止它运行:人们可以查看它,甚至可以更改它包含的数据。这是令人震惊的,因为对于工资核算工作负载范例而言,这意味着人们不仅需要信任财务和人力资源团队的数据,任何管理人员还有权访问运行工作负载的主机。

当然,企业还需要确保主机本身具有足够的安全性,因为如果攻击者设法进入其中一个主机,那么就能够控制敏感的工作负载。

企业管理人员需要相信员工,但也需要确保主机本身的管理良好,并将这两方面结合,那么人们需要开始思考可能会将工作负载放在哪里。

4.什么位置适合?

企业显然希望将工作负载放在安全的地方。或者更确切地说,企业可以在何处应用相对于其所包含的数据和流程敏感性的适当措施。这并不总是意味着采用最高级别的安全性或最昂贵的解决方案,但表明企业需要决定哪些工作量应该放在哪里。

企业的管理人员会说,“我们不能信任公共云,因为它不是我们的员工运行系统”。但公共云可能是企业运行工作负载的很好选择。成本和易用性的平衡可能胜过许多低灵敏度工作负载的安全问题,这就是为什么混合云对许多组织来说是如此引人注目的原因。

企业真的需要最高级别的安全性,还是最昂贵的解决方案?

另外,正如以上所提到的,主机本身管理良好至关重要。云计算服务提供商在其基础设施上花费大量资金,为主机提供多级管理和运营专业知识,许多企业可能无法将其扩展到整个计算机产业。

有一系列要求,从安全保障严密的基础设施到商品公共云。诸如“只有经过授权的,经过安全检查的工作人员才能管理的机器池”等选项位于这二者之间的某处。

企业需要根据风险、成本、可用性,以及组织中可能适用的其他因素来确定适用于每种类型的工作负载。

5.如何控制工作量的安置?

在决定了哪些工作负载应该允许在哪些主机上运行后,如何确保所有工作都能正常工作?企业可以采用什么措施提高各种主机的安全级别?将可用控件分类的一种方法是将它们分成三种类型:

合同或行政控制:这些方法包括数据隐私协议、员工背景调查、ISO 9001,以及类似方法,这些方法可让管理人员对组织内部或内部云组织进行控制,以及如何控制主机运行他们的过程。具体哪些方法适用将取决于许多因素,但这些始终是一个很好的考虑起点。然而,它们本身并不足够。

架构控制:这些方法允许管理人员执行有关应将哪些工作负载托管在何处的放置策略。它们包括调度和放置算法(通过编排平台,如Kubernetes或OpenShift)、API控制、虚拟网络、存储规则、身份验证机制等机制。综合起来,这两个选项允许管理人员指定哪些主机集可以放置不同类型的工作负载,然后验证并监控这些规则是否已经遵循。

这些是当今大多数组织可用的最具表现力和多功能的工具,可让企业跨越混合云部署跨越各种工作负载。

技术控制:有几种机制可以让企业在不完全信任的主机上运行工作负载,并确保不会被篡改。

第一个也是最为人所知的是HSM(硬件安全模块),但部署这些模块代价高昂,不能很好地扩展并且很难编程,特别是对于通用工作负载来说。第二种是FPGA(现场可编程门阵列,这是位于主机主板上的芯片),但编程昂贵,并且像HSM(硬件安全模块)一样仅适用于某些工作负载类型。第三个TEE(可信执行环境)提供了一种新的方法,芯片生产商在高端商品硬件上的发展很有前景,一旦它们变得可用,就可以提供一种方法来隐藏主机上管理员执行的工作负载。现在,对于大多数组织来说,这些都是未来的事情。

与此同时,大多数组织将依靠前两种机制控制来管理工作负载的安置。

完善地点和原因

并非所有的工作负载都是平等的,因为所有的主机都不一样。管理人员需要了解数据和进程的敏感度,考虑适当的工作负载放置,允许在它们应该运行的地方创建策略,然后控制、验证和监视这些策略是否正确应用。对于敏感的工作负载技术控制的未来机会看起来很有必要,但对企业的工作负载需求和现有工具和机制应用的良好分析,已经使人们能够很好地控制在哪里运行以及为什么这么做。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/6406.html

相关文章

  • 何为企业选择合适计算顾问

    摘要:如果云计算顾问不能满足企业的要求,企业可能需要重新选择其他的云计算顾问。就像其他顾问一样,云计算顾问也必须非常适合企业的业务。以下是为企业选择最佳云计算顾问的指南。随着云计算的应用越来越广泛,企业对云计算顾问有着越来越多的需求。无论是内部部署数据中心还是公共云,其市场都有巨大的增长。调研机构Gartner公司预测,全球公共云服务市场将从2017年的2468亿美元增至2018年的2878亿美元...

    _DangJin 评论0 收藏0
  • 企业公共服务:了解底层内容

    摘要:但是,随着企业采用云计算,并创建将本地私有云与公共云服务相关联的混合云,许多企业未能将环境的公共部分置于同样的安全环境之下。了解他们如何应对事故,并确保企业了解自己的责任。如今的IT组织通常擅长评估和选择硬件和软件。对传统数据中心部署的基础设施和应用程序的获取遵循严格的过程,并检查每个细节,以确定提供什么内容,如何适应现有的计算环境,以及将如何满足业务和技术需要等。但是,随着企业采用云计算,...

    yexiaobai 评论0 收藏0
  • 企业何消除对混合迷思

    摘要:常犯的错误谈到云计算之旅时人们遇到的最大错误之一是企业经常急于采用混合云解决方案并认为其基础设施已经过时并且没有准备好适应更加现代化流程的需求。最后在这里向企业提出的有关数据安全的建议是对企业需要对云计算景观有一个全面的了解。随着对更多功能的数据存储和IT服务的需求不断增长,公共云和私有云平台的成功为混合云的下一代按需计算能力的发展铺平了道路。在理论上,它是现代基础设施需求的最终解决方案,允...

    Jochen 评论0 收藏0
  • 混合存储企业指南

    摘要:如果还没有,混合云存储很可能成为企业的默认选择。此外,大多数主要的云存储提供商都在为企业提供指导,将企业的产品与适当的安全和合规控制协调一致,以确保企业不会违反行业法规。如今,混合云的存储量不断增长这并不奇怪。混合云本身是一种越来越流行的部署IT服务的方法。事实上,根据调研机构Gartner预测,到2020年,90%的企业将使用混合基础设施的管理功能。这对企业的数据存储策略意味着什么?首先,...

    chengjianhua 评论0 收藏0
  • 十大存储平台技巧

    摘要:灾难恢复服务和物联网云存储等技术越来越受到关注。下面,根据流行度,列举了年阅读量较高的一大云存储技巧。在灾难发生后保护,并确保重要数据可用并不是一件小事,但是使用云存储平台可使提供商做更多的工作。自2016年起,我们已经分析了十大重要存储平台,从实施混合云到制定数据迁移策略。对于云存储来说,渡过了一个漫长而奇怪的一年。曾经认为的存储时尚刚刚出现在各地,同时云迁移策略比以往更加广泛了。对于一些...

    archieyang 评论0 收藏0

发表评论

0条评论

qiangdada

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<