雲端安全性:安全的共用 IT 解決方案

  • 發行項

您可以由本機資源的固定成本和雲端資源的變動成本來分攤 IT 解決方案,同時兼顧企業資產的存取控制。 讓我們為您示範。

Dan Griffin 和 Tom Jones

在孩子年紀很小的時候,我們會讓他們乖乖呆在家裡,確保安全。 在他們學會照顧自己後,我們就會讓他們出去闖蕩。 企業資產就像我們的孩子一樣。 過去,我們一般把企業資產放在網路週邊防護之內。 我們設置防火牆以確保這些資產不會流失。

如果您告訴 IT 經理他可以將本地計算負載共用到可按需提供的基於雲的資源,他的第一反應肯定是非常興奮,因為這樣能夠節約成本並改善使用者體驗。 但與過度保護孩子的父母一樣,興奮往往會變為疑慮和不安,因為要面對通過多個控制點來保護企業資產的新挑戰。

資料處理已從企業資料中心遷移到世界各地的 PC 上。 從邏輯上講,下一步就要將企業資料和應用程式從企業防火牆後面移動到更靠近需要這些資料的業務使用者的位置。 這意味著要移動到雲中。

若要從雲計算中獲益,免除後顧之憂,您需要建立分散式存取控制,來配合分散式內容和分散式應用。 在本文中,我們將概要介紹一些步驟,在將資料和應用程式移出企業週邊防護後仍能確保可靠性和可控性。

保護您的雲體系結構:循序漸進

  1. 建立面向服務的體系結構 (SOA) 以確保您可以安全地重定位每個元件
  2. 集中管理資料和應用程式的部署和更新
  3. 使用聯合身份管理來確保所有使用者在雲中的每個點上是已知的
  4. 向每個使用者分配角色和其他特性來驗證資料訪問聲明
  5. 向應用程式及可隨應用程式一起移動到雲中的資料分配存取控制規則
  6. 基於已驗證的使用者訪問聲明來授予對應用程式和資料的訪問權

面向服務的體系結構

確保雲部署無後顧之憂的第一步是要創建一個展示應用程式和資料流程的關係圖。 對於要面向服務的設計,每個應用程式都必須作為一項可供使用者本地訪問或在雲中訪問的服務。 類似地,對於資料,應用程式中不應指定資料的位置。 您必須能在部署應用程式時配置該位置。 您可以通過圖 1 來瞭解 IT 環境的各個元件將如何與源自本地資源或雲資源的應用程式和資料關聯。

Figure 1 A look at the architecture of application and data flows

圖 1 應用程式和資料流程的體系結構概覽。

您的開發團隊會外包應用程式可執行檔。 您可以讓開發團隊直接從供應商那裡應用可執行檔,但如果您首先將所有應用程式碼和更新放在企業內部,然後從企業進行分發,則可進行更多控制。 資料將從用戶端電腦遷移到企業或雲資料存儲(雲資料存儲在圖 1 中顯示為 SharePoint 伺服器)。

當應用程式訪問資料時,此操作將通過每個資料存儲的本地存取控制機制進行授權。 當應用程式可執行檔和企業資料移出企業週邊並移至雲中時,還需考慮其完整性。 最靈活的理想管理情況是,您可以將本地資源和雲資源作為一個實體進行管理,這可動態回應資源請求。

關於雲的財務情況

證明任何雲部署的合理性的第一步是確定投資回報。 您通常將成本分類為設置或轉換(包括配置新服務、培訓和停用舊服務)成本。 投資回報以每個月減少的成本和收回投資的月數表示。 更複雜的分析包括折扣現金流分析,但如果投資回報的時間不到兩年,則很可能對決策過程沒有任何實際價值。

雲部署的真正價值在於可產生無形效益,如改進對服務需求波動的回應和加強成本控制。 從 IT 部門的角度考慮以下各類成本:

  1. 固定成本通常從對固定設備(如伺服器和機房)的投資中產生。 在資產的整個生存期內,固定成本通常會進行折舊。 無論設備的使用情況如何,每月都會將該折舊成本計入收益表。
  2. 可變成本取決於提供的服務量,並包括貨物銷售成本和根據雲的使用情況收取的任何費用(如根據當前工作量收取的短期設備租賃費)。 利用此類成本,IT 部門可將成本與服務交付緊密聯繫起來。
  3. 半可變成本通常從為全職員工提供的服務或更加難以增加或減少的其他資源中產生。 軟體租賃服務或電子郵件配置服務屬於此類別。 為員工提供服務和取消為員工提供服務所具有的慣性,將導致此成本明顯跟不上服務需求的變化。

您可以證明出於某些原因(如將工資單服務轉交給專門的提供商)將雲服務用於半可變成本的合理性。 與電子郵件中一樣,工資單中的規則也是快速變化的 - 軟體需要不斷更新,而用於執行這些功能的專業技術的成本很高。 雖然根據半可變成本來證明雲配置的合理性會更加困難,但結果仍具有積極意義,可説明 IT 部門集中精力完成將價值傳遞給企業產品這一實際使命。

完成安全雲部署所需的四個步驟

大多數 IT 主管人員都認為,雲計算是一種採用虛擬化技術降低資本支出的方法。 許多供應商將所有 Internet 服務都附上“雲”這個標籤。 在本文中,我們引用了 Gartner Inc.的描述來說明雲如何變得對業務如此重要: “因為技術的商品化和標準化,部分因為虛擬化和麵向服務的軟體體系結構的興起,最重要的是因為 Internet 普及率的急劇增長。”這在以下四個特定領域顯得尤為重要:

  1. 集中化資料管理(例如使用 SharePoint)
  2. 集中化應用程式管理(例如使用 Exchange)
  3. 聯合身份管理(例如使用 Active Directory 聯合身份驗證服務 (ADFS))
  4. 為遷移到雲提供的其他説明

集中化資料管理

早在 2007 年,Gartner 就已開始在安全會議上表示,是時候放棄企業和 Internet 之間厚重的週邊邊界了。 當時,專家們甚至還在為企業邊界是否已可穿透一事爭論不休。 週邊已變得與抵禦入侵者這一任務毫無關聯,因此每種 IT 服務都需要存取控制。 當前實際使用的是安全多層保護策略。 為了確保真正的安全,僅包含資料的伺服器才可最終控制訪問。

由於許多部署都包含幾百台甚至幾千台伺服器,因此管理每台伺服器上的訪問仍是不合理的。 IT 部門無法真正確定資料許可權和訪問規則。 但 IT 部門可建立角色管理系統,業務所有者可利用此系統來允許或拒絕與業務目標相關的訪問。

有關資料修改和資料訪問的法規要求變得越來越嚴格。 這就需要採用一種新的模式,從而允許將資料移轉到最適合服務訪問請求的伺服器,同時以合理的成本確保合規性。 以下是在雲環境中進行資料管理時需考慮的一些要求:

  • 隨時隨地快速訪問使用者已獲授權的資料
  • 訪問不會因自然災難或業務災難受損
  • 應合法的政府請求發現資料(假定企業可提供所需資料)
  • 資料丟失防護 (DLP) 是服務產品不可缺少的一部分
  • 面向服務的體系結構 (SOA) 應能夠輕鬆地將資料移轉到雲以及從雲遷移回來
  • 資料標識不得包含其物理位置,以便輕鬆移動資料
  • 資料的位置標記應為邏輯上的原產國家/地區,而非資料的物理位置
  • 資料備份和恢復操作應基於資料標識而非其位置
  • 資料訪問規則可由資料的業務所有者創建和維護
  • 存取權限可由合規性審核員查看
  • 敏感性資料可具有針對修改和訪問的審核控制
  • 職責分離可防止同一個管理員同時修改資料和審核日誌
  • 服務級別協定 (SLA) 必須明確說明每個人的期望和職責

Starbucks Corp. 發現,通過紙質介質來分發最新定價資訊、業務分析資料和新聞不僅成本較高而且會導致延遲,這樣做並不划算。 因此,該公司現在利用 SharePoint 來為其由 16,000 個位置構成的網路提供支援。 SharePoint 網站已成為關鍵業務通信管道,員工可通過此網站獲取最新資訊,並能夠在需要某些資訊時快速搜索到這些資訊。

使用 Microsoft System Center Operations Manager (SCOM) 和其他分析工具跟蹤可用性和可靠性。 由於 SharePoint 同時支援內部網路連接和外部網路連接,因此伺服器位置會進行調整以適應當前網路拓撲,而無需考慮本地環境、雲環境或混合環境。 此部署使 Starbucks 公司獲得了以下好處:

  • 通過利用有效的監控和報告工具來提高系統穩定性,為店鋪發展和容量需求提供支援
  • 允許店鋪合作夥伴利用直觀的門戶介面更高效地工作,並輕鬆訪問企業內部的資訊
  • 利用增強的文檔管理和隱私功能來維護資料的安全性
  • 通過與合作夥伴進行溝通來完善趨勢和增長報告,使店鋪的工作重點與公司的目標保持一致

完整性保護

必須阻止任何資料存儲變成病毒或間諜軟體的傳染媒介。 資料類型(如可執行檔和壓縮或加密檔)可能會因各種完整性和合規性問題而被阻止。 Microsoft 員工 David Tesar 發表了一篇有關使用 Forefront Protection 2010 for SharePoint(已于 2010 年 5 月發佈)來保護 SharePoint 的一些商業原因的博客文章。

資料丟失保護和檢測

為了確保完全保護,必須將一個客戶的資料與另一個客戶的資料正確分離。 必須安全存儲資料(在資料“閒置”時),並能夠安全地將資料從一個位置移動到另一個位置(“移動”安全性)。 IT 經理必須確保雲提供商的系統已準備就緒,以防止資料洩露或被協力廠商訪問。 此內容應納入 SLA 中。 正確的職責分離將確保未經授權的使用者無法通過審核和/或監控 – 即便是雲提供商的“特權”使用者也是如此。 图 2 演示了易受外部攻擊的各種資料轉換。

Figure 2 The relationships of data and trust transitions

圖 2 資料轉換和信任轉換間的關係

針對使用 Internet 或物理介質的企業桌面和伺服器的新攻擊點包括:

  1. 從企業到雲的資料傳輸(傳輸過程中會丟失授權資訊)
  2. 對不具有企業保護的雲 SharePoint 服務的雲訪問
  3. 私有資料洩露或來自外部 ID 提供商的授權資訊的資料洩露

隨著資料量的增加,篩選此類資料所需的時間量或增加存儲容量所需的成本可能會相當大。 利用 Forefront Protection 2010 for SharePoint 所具有的資料關鍵字和檔篩選功能,可以控制 SharePoint 伺服器上允許的資料類型,並提供有關已存在的檔案類型的報告。 此功能不需要額外存儲容量並可説明防止資料洩露,這樣便降低了成本。

例如,如果您公司內有一台可公開訪問的 SharePoint 伺服器,則可啟用關鍵字檔篩選來防止檔內出現任何包含“機密”或“僅供內部使用”一詞的內容。 您甚至可以指定一個閾值,規定這些詞在被您禁止發佈之前可出現的次數。

許可權管理服務 (RMS) 也是對深層防禦策略的有效補充,可用於保護文檔自身,而不管文檔的存儲位置或下載位置如何。 雖然大多數商業應用程式都不需要這一層保護,但它對於一些特別機密的檔(如公開發布之前的財務計畫或收購計畫)很有用。 自發布 Windows Server 2008 之後,RMS 就在 Active Directory 中起到了一定的作用

任何取證調查都需要完整的審核跟蹤,這將產生大量資料。 您可以對高風險資源啟用審核收集服務 (ACS)(SCOM 的一個載入項),以便在每條審核記錄生成時將其放到一個中心位置以進行安全存儲和分析。 此配置將阻止攻擊者篡改取證資料,即便攻擊者擁有很高的特權也是如此。

图 2 中的“信任”箭頭指示此重要的身份驗證資訊和授權資訊流(本文後面的“聯合身份管理”一節將對此進行討論)。

集中化醫療保健資料管理

期盼進入醫藥資訊市場分一杯羹的主要參與者包括 Microsoft HealthVaultDossia。 Dossia 是一家獨立的非盈利性機構,它由美國的一些規模最大的雇主創辦,專門負責收集和存儲終身健康記錄資訊。

美國總統奧巴馬期望通過集中管理美國醫療保健資料,從而降低成本並提高研究品質。 儘管頒佈了《健康保險攜帶和責任法案》,但在保護病人隱私方面還是面臨著巨大的壓力。 醫療資訊是相當敏感的,它所產生的巨大影響可能會改變人們的生活(例如,在雇用決策中使用醫療資訊)。

在雇用決策中使用遺傳標記這一點上已經出現了一些問題。 國會已在反基因歧視法中解決了這些問題。由於雲服務提供者嘗試越過此雷區,因此未來幾年成本遏制和私密性之間的緊張局勢將日益加劇。

雖然雇主採取了鼓勵降低醫療保健成本的措施,但瞭解安全模型也非常重要:資料收集者、使用資料的方式、可訪問資料的人員以及收集和共用資料所產生的風險。 雲計算的環境中有一個有趣的問題,即,當出現問題時誰承擔責任? 誰是記錄的監管人,如果出現重大資料破壞或誤用情況,會產生什麼後果? 隨著敏感資訊(如醫療記錄)移入到雲中,安全問題肯定會逐步升級。

集中化應用程式管理

虛擬主機應用程式至少已外包 10 年了。 在此期間,Akamai 已為世界範圍的網站所有者承載了大量(此數量正不斷增加)時間性要求高的檔。 此外,程式師 Dave Winer 與 Microsoft 一起創建了 Web 服務的前身,這些服務已擴展到目前可用的各種 WS-* 標準

基於 Web 的應用程式已變得越來越重要,使新名稱看來好像對結合服務取向和標準化 Internet 服務介面很重要 – 因此涉及到術語“雲計算”。與 10 年前相比,今天新的不同之處在于,對以合理的邊際成本創造的價值給予了關注。 由於大量供應商爭著提供 Exchange 服務,因此各公司不再需要開發 Exchange 專業技術即可獲得 Exchange 服務帶來的好處。

對於從本地位置輕鬆遷移到雲中,然後再從雲中遷回本地位置的服務,應用程式必須提供一組面向服務的標準介面以便同時在本地和雲中使用服務。 這就是最初將雲應用程式稱作軟體即服務的原因。 應用最廣泛的應用程式-服務介面標準就是前面提到的 WS-* 協定。 在修訂業務應用程式時,正好可以借機查看這些應用程式(包括查看應用程式-介面規範)是否符合現有 Web 服務標準之一。

所有授權聲明和身份驗證標識都必須由所有資源(無論是本地資源還是基於雲的資源)共用。 隨著時間的推移,所有應用程式都將能夠遷移到最高效的場所來達到其客戶的期望。 此時,移動應用程式已經變成一件簡單的事情,只需更改應用程式的目錄條目即可。 配置資源只是選定服務提供者的一項基本職能。 雲提供了資源的虛擬化視圖,它看上去像一台從不會對服務關閉的電腦,但實際上可根據需要將其承載于多台電腦上或在一台電腦上共用。

任何應用程式提供商都必須確保它不會變成惡意軟體的傳染媒介。 電子郵件提供商尤其有可能成為惡意軟體分發的媒介,而攻擊幾乎可通過具有公共元件的任何通道發起。 通過使用 Forefront Protection 2010 for Exchange,雲託管的應用程式的使用者完全不必擔心任何其他客戶將損害他們所依賴的服務。 所有可執行檔必須先通過檢查,然後才能載入到伺服器上和用戶端電腦中。

聯合身份管理

目前,連線標識具有兩大表現形式:

  1. 政府或公司堅持將人的身份和連線標識緊緊綁定在一起。 電腦可讀的護照和政府簽發的智慧卡的出現印證了這一主張。 Active Directory 是此類支援的一個示例。
  2. 連線 ID 提供程式提供了用於與生成設定檔的一致標識,以便預測未來行為。 通過對在 Internet 上運行的 Windows Live ID 進行簡單的 Turing 測試(如 CAPCHA)就可以證實有人正在請求此帳戶。 已發送到 Internet 電子郵件帳戶的驗證代碼是一個更簡單的示例。

可以向雲服務提供上述一類或兩類標識(具體取決於應用程式)以獲取訪問資料的授權。 每個企業都擁有自己的身份管理系統,以便控制對資訊和計算資源的訪問。 對於獲取許可權以便在雲中運行應用程式而言,這兩類標識同等重要。

外部標識提供程式通常只驗證客戶或其他臨時使用者。 因此,雲標識系統需要跟蹤每個標識的所有者以及提供給該標識的保證級別。 只有在本地環境和雲環境中使用同一標準服務標識介面進行授權時,服務才能在這兩個環境中共存。

只有少數企業對創建自己的私有雲服務感興趣。 對於這樣做的企業,雲標識解決方案必須適用于它的所有分公司和收購的公司。 雖然雲服務可以創建自己的標識提供程式,但此類專有解決方案將會利用我們的真正的雲服務定義來創建它。

在這些情況下,需要一個聯合閘道,每個雲服務將通過此閘道將外部標識連結到內部標識管理器(如 Forefront Identity Manager),以便為每個完全獨立于原始標識提供程式的雲資源提供簡單快捷的授權提供程式。 標識提供程式必須創建一個包含所有已知標識源的清單,這些標識用於授予對資源的訪問權,以確保任何雲服務提供程式均能容納所有這些標識。

使用聯合身份

正如 Forefront 博客中所報告的,Thomson Reuters 已能提供針對其 Treasura 財務管理及相關雲服務的單一登入 (SSO) 訪問。 該公司利用其客戶的企業登錄標識來使用基於 ADFS 2.0 的聯合身份管理,使客戶無需再次登錄即可訪問 Thomson Reuters 產品。

Treasura 支援多種標識提供程式,包括 Sun OpenSSO 和 Microsoft Active Directory。 由於 Windows Identity Foundation 為其應用程式開發人員提供了同一熟悉的 Windows 開發工具,使其無需編寫自訂身份驗證代碼即可提供 SSO,因此 Thomson Reuters 有望平均節省三個月的開發時間。

僅通過公司自己的標識提供程式來公開存取權限是進行雲身份驗證的最簡單方法。 當只允許使用公司的標識提供程式進行任何使用者跟蹤時,此方法便有效。 一旦客戶或其他合作夥伴需要控制對雲應用程式或資料的訪問,企業將需要異類使用者標識源。 有時,標識的功能很強大(如國家公民身份智慧卡),但在其他情況下,標識只提供連續性,如 Windows Live Identity(也稱作 Passport)。

終結點應用程式和資料伺服器必須先知道在此異類環境中存在的標識的來源和可靠性,然後才能授予訪問權。 因此,可以使用企業自己的 Active Directory 來保護業務關鍵資訊,同時可使用外部標識提供程式長時間跟蹤客戶行為。

ADFS 既是 Microsoft 標識和安全平臺的一部分,也是 Windows Azure 雲操作環境的一部分。 ADFS 是一個 Windows Server 元件,它提供了 Web SSO 技術以便針對多個 Web 應用程式對使用者進行身份驗證。

ADFS 2.0 旨在允許使用者在雲託管的應用程式和內部部署應用程式之間使用 SSO。 這將使 Microsoft Online Services 能夠利用 Active Directory 中的企業 ID 或 Windows Live ID 進行身份驗證。 雲管理員仍需要具有此功能的單獨 ID。 以前,ADFS 2.0 與 Windows Identity Foundation 通過其代碼名“Geneva”為人們所熟知。

雲遷移説明

當您的組織準備遷移到雲時,可通過多種方式獲取説明,包括供應商支援、安全服務、可用性、應用程式安全性、彈性、管理、隱私和私有雲服務:

  • 供應商支援 -- 專門研究企業安全性的公司具有專業技術,可對公司在遷移到雲計算服務時涉及的許多新問題進行評估。 任何合格的雲安全專家都能夠創建清單和範本,以供企業在實施新服務時使用。 務必創建針任何供應商的要求的清單,包括開發 SOA 以滿足企業的特定安全需求。 對於供應商而言,具有安全方面的專業技術以及在實際環境中部署安全解決方案的經驗至關重要。 通過與主要雲提供商(如 Microsoft、Google Inc. 和 Amazon.com Inc. 合作所獲得的特別經驗將轉化為可助您獲得成功的計畫。
  • 物理電腦安全和人員安全 -- 提供商必須確保物理電腦足夠安全。 提供商還必須確保對這些電腦以及所有客戶資料的訪問不僅會受到限制,而且還會記錄下來。 The U.S. 美國審計總署 (GAO) 已針對國防採購下發了有關“ 軟體供應商風險管理須知”的檔,這甚至應會為商業企業提供很好的指導。
  • 服務可用性 -- 雲提供商必須使其客戶確信他們將對其資料和應用程式具有可預知的適當訪問權。 對於 IT 團隊而言,這表示他們將能夠在需求增大時“擴展規模”,並在需求減小時“縮小規模”,從而使電腦資源變得靈活且經濟高效。
  • 應用程式安全性 -- 雲提供商通過實現針對外包或打包的應用程式碼的測試和驗收過程,確保能夠安全地通過雲將應用程式作為服務提供。 雲提供商還要求在生產環境中採取應用程式安全措施(應用程式級別的防火牆和資料庫審核)。
  • 彈性計算 -- 彈性是“雲計算的真正價值所在,如果這稱不上一次革命的話,也推動了整個概念的巨大進步”,Dustin Owens 在 2010 年 6 月出版的 ACM 通信 中如此表示。美國國家標準與技術研究院 (NIST) 在對雲計算的定義中描述了這一重要特性 (V15):“雲計算是一個模型,可用於對可配置的電腦資源(如網路、伺服器、存儲、應用程式和服務)的共用池方便地進行按需網路訪問,只需執行最少的管理工作或服務提供程式交互即可快速配置和發佈它們。”
  • 管理 -- 管理工具的更新版本可填補在本地資源和雲資源之間共用的應用程式和資料之間的空隙。 此功能僅在其涵蓋範圍從企業到雲時有效。 例如,據 System Center 團隊博客上發佈的新博客文章中所述,下一個版本的 System Center Configuration Manager 將支援“多種設備類型”,並讓使用者“幾乎可以從任何位置通過多個設備類型無縫訪問其資料,同時為 IT 提供統一管理工具和集中化控制”。
  • 隐私 -- 最後,提供商需確保對所有關鍵資料(如信用卡號)進行遮罩,並確保只有授權使用者才可以訪問所有資料。 另外,必須對數位識別碼和憑據進行保護 – 對提供商在雲中收集或生成的有關客戶活動的任何資料也是如此。

專用雲

許多政府已制定相應的法律、法規和認證程式,旨在保護公民的隱私及其國家/地區利益。 因此,許多涉及處理這些受法律保護的資料的應用程式將受到限制,不能隨意使用公共的雲。

例如,除了其他合規性要求之外,還需要考慮國家/地區機構認證(如由 NIST 管理的聯邦資訊安全管理法案 (FISMA)實施專案)。 為此,一些雲服務提供者正在創建專供美國聯邦機構或其他政府機構使用的雲,以此簡化合規性檢查。

2010 年冬天的暴風雪甚至導致位於 華盛頓特區的美國聯邦政府被迫關閉。 突然之間,在家中或遠端網站繼續提供政府服務不再是想都不敢想的事情。 在當前限制聯邦政府資訊曝光的趨勢下,公佈大量隱私資訊所帶來的風險正好可以阻止在 Internet 上公開過多資料。

還有一個示例,地方政府(如新澤西州的紐華克市)可更自主地尋找經濟高效的解決方案,這些解決方案不需要大量的資金投入,卻能讓本市政府員工使用常見的各種工具,彼此輕鬆順暢地合作,從而提高員工的工作效率。 “在紐華克市,我們的重點是確保我們的 IT 現代化和成本節約專案超出市長所提出的創新政府的總體目標”,紐華克市的首席資訊官 (CIO) Michael Greene 說道。

大量獨立軟體廠商已選擇通過雲平臺(如 Windows Azure)來提供產品/服務。 這已經向政府機構提供了公信力。 現在,Windows Azure 雲已變成一個應用程式平臺,專用雲的開發人員社區和政府使用者都可從中受益。

Email Dan Griffin

Dan Griffin 是西雅圖的軟體安全性顧問。他的聯絡方式為  www.jwsecure.com

 

Email Tom Jones

Tom Jones 是一位軟體架構師兼作家,他專門研究適用于金融企業及其他基於雲的企業的網路解決方案的安全性、可靠性和可用性。 他在安全性方面的創新涵蓋諸多方面(從強制完整性到數據機加密)。 He can be reached at tom@jwsecure.com.

 

相關內容