首页 首页 云计算 查看内容

保护云迁移数据安全及最佳实践

木马童年 2018-8-13 05:30 35 0

中国IDC圈9月27日报道:云计算可以增强协作,提高敏捷性、可扩展性以及可用性。还可以通过优化资源分配、提高计算效率来降低成本。目前,业界已经能够为企业提供诸如IaaS、PaaS、SaaS的典型云计算服务以及公有云、私 ...

中国IDC圈9月27日报道:云计算可以增强协作,提高敏捷性、可扩展性以及可用性。还可以通过优化资源分配、提高计算效率来降低成本。目前,业界已经能够为企业提供诸如IaaS、PaaS、SaaS的典型云计算服务以及公有云、私有云等部署模式,并且,Amazon、微软、华为、浪潮等已成为云计算的服务提供商。

在公共云和私有云部署方案中,无论什么服务模型,保护数据传输都是非常重要的。这些数据传输过程包括:数据从传统基础架构迁移到云供应商中,包括公有与私有之间转移,内部与外部之间转移,以及其他各种组合;数据在云供应商之间的迁移;数据在既定的云内实例间(或者其他组件之间)迁移。

客户端/应用程序加密。数据在终端或服务器端先加密,然后再通过网络传输,或者在已经以恰当的加密格式存储。这既包括本地客户端(代理模式)加密机制(例如,针对存储文件)或者集成在应用程序之中的加密机制。

链路/网络加密模式。标准的网络加密技术包括SSL、VPN和SSH.既可以是硬件加密,也可以是软件加密。

基于代理的加密。数据通过一个代理设备或服务器进行传输,数据在网络传输前完成加密。通常都是将代理加密机制整合到原有的应用程序中。

在实际的应用过程中,企业可以遵循如下的24条最佳实践来保障云计算环境中的数据安全:

理解所采用的云存储架构,有助于确定安全风险和可用的控制措施。

如果可能的话,选择支持数据离差技术的云存储。

使用数据安全生命周期DSL来识别易受攻击的安全,以确定最合适的控制措施。

使用DAM 和FAM监测内部核心数据库和文件库,识别能够表明数据向云中转移的的大数据迁移。

使用URL过滤和(或)DLP工具监测员工的互联网访问,来识别是否敏感数据迁移。选择可对云服务作预分类的工具,并通过过滤规则阻断非授权行为。

所有敏感信息移入云或在云内传输时,应在网络传输前的网络层或者节点侧进行数据加密。这一建议适用于所有的云服务和部署模型。

使用任何数据加密机制时,应特别注意密钥管理。

使用内容发现机制来扫描云存储,并识别已泄漏的敏感数据。

加密IaaS中的敏感卷,来限制因为快照或未授权管理员访问导致的信息泄露。至于采用何种技术依赖于具体的操作需要。

采用文件/文件夹或客户端/代理加密机制加密对象存储中的敏感数据。

加密平台服务PaaS应用和存储中的敏感数据。通常情况下应用层加密机制为首选,因为几乎没有

云数据库支持原生加密机制。

当使用应用加密时,密钥无论如何必须存放在应用系统外面。

若软件服务(SaaS)需使用加密,应尽可能使用可提供原生加密机制的供应商;若无该工具或必须到规定信任等级,则可使用代理加密机制。

使用DLP来识别云部署的敏感数据泄漏,这种情况仅对基础设施服务(IaaS)适用,这对其他公共云供应商均不适用。

使用数据库活动监测工具(DAM)来监控敏感数据库,并对违反安全策略的行为进行告警。

当交付的基础设施或应用在正常访问敏感用户信息时,应考虑对可能的泄漏采取私有存储保护机制。

谨记绝大多数数据安全缺陷都源自于应用程序极为脆弱的安全性。

云供应商不仅应当遵循这些实践,并且为用户发布数据安全工具和配置选项。

无论是合同到期或其他原因,应在SLA中详细说明如何从云供应商中转移数据,必须包括用户账号删除,从主/冗余存储中迁移或删除数据,迁移密钥等。

使用数据安全生命周期来识别安全易受攻击点,从而确定最合适的控制措施。

考虑到潜在合规的、合约方面的以及其他法律方面的问题,应充分理解逻辑和物理数据。

在网络层或传输前在节点加密所有传输的敏感信息。

加密基础实施中的敏感卷,限制因快照或非授权访问的信息泄露。

在平台服务应用和存储中加密敏感信息。

云计算已经成为当前企业高效构建应用和使用计算资源、存储资源等的主流模式,云计算能提供一种无处不在的,便捷的,按需的,基于网络访问的,共享使用的,可配置的计算资源(如网络,服务器,存储,应用和服务)。云计算可以增强协作,提高敏捷性、可扩展性以及可用性。还可以通过优化资源分配、提高计算效率来降低成本。目前,业界已经能够为企业提供诸如IaaS、PaaS、SaaS的典型云计算服务以及公有云、私有云等部署模式,并且,Amazon、微软、华为、浪潮等已成为云计算的服务提供商。

保护迁往云和在云内迁移的数据

在公共云和私有云部署方案中,无论什么服务模型,保护数据传输都是非常重要的。这些数据传输过程包括:数据从传统基础架构迁移到云供应商中,包括公有与私有之间转移,内部与外部之间转移,以及其他各种组合;数据在云供应商之间的迁移;数据在既定的云内实例间(或者其他组件之间)迁移。

有如下三种方式可以对上述传输过程中的数据进行安全保障:

客户端/应用程序加密。数据在终端或服务器端先加密,然后再通过网络传输,或者在已经以恰当的加密格式存储。这既包括本地客户端(代理模式)加密机制(例如,针对存储文件)或者集成在应用程序之中的加密机制。

链路/网络加密模式。标准的网络加密技术包括SSL、VPN和SSH.既可以是硬件加密,也可以是软件加密。

基于代理的加密。数据通过一个代理设备或服务器进行传输,数据在网络传输前完成加密。通常都是将代理加密机制整合到原有的应用程序中。

云计算环境数据安全最佳实践

在实际的应用过程中,企业可以遵循如下的24条最佳实践来保障云计算环境中的数据安全:

理解所采用的云存储架构,有助于确定安全风险和可用的控制措施。

如果可能的话,选择支持数据离差技术的云存储。

使用数据安全生命周期DSL来识别易受攻击的安全,以确定最合适的控制措施。

使用DAM 和FAM监测内部核心数据库和文件库,识别能够表明数据向云中转移的的大数据迁移。

使用URL过滤和(或)DLP工具监测员工的互联网访问,来识别是否敏感数据迁移。选择可对云服务作预分类的工具,并通过过滤规则阻断非授权行为。

所有敏感信息移入云或在云内传输时,应在网络传输前的网络层或者节点侧进行数据加密。这一建议适用于所有的云服务和部署模型。

使用任何数据加密机制时,应特别注意密钥管理。

使用内容发现机制来扫描云存储,并识别已泄漏的敏感数据。

加密IaaS中的敏感卷,来限制因为快照或未授权管理员访问导致的信息泄露。至于采用何种技术依赖于具体的操作需要。

采用文件/文件夹或客户端/代理加密机制加密对象存储中的敏感数据。

加密平台服务PaaS应用和存储中的敏感数据。通常情况下应用层加密机制为首选,因为几乎没有云数据库支持原生加密机制。

当使用应用加密时,密钥无论如何必须存放在应用系统外面。

若软件服务(SaaS)需使用加密,应尽可能使用可提供原生加密机制的供应商;若无该工具或必须到规定信任等级,则可使用代理加密机制。

使用DLP来识别云部署的敏感数据泄漏,这种情况仅对基础设施服务(IaaS)适用,这对其他公共云供应商均不适用。

使用数据库活动监测工具(DAM)来监控敏感数据库,并对违反安全策略的行为进行告警。

当交付的基础设施或应用在正常访问敏感用户信息时,应考虑对可能的泄漏采取私有存储保护机制。

谨记绝大多数数据安全缺陷都源自于应用程序极为脆弱的安全性。

云供应商不仅应当遵循这些实践,并且为用户发布数据安全工具和配置选项。

无论是合同到期或其他原因,应在SLA中详细说明如何从云供应商中转移数据,必须包括用户账号删除,从主/冗余存储中迁移或删除数据,迁移密钥等。

使用数据安全生命周期来识别安全易受攻击点,从而确定最合适的控制措施。

考虑到潜在合规的、合约方面的以及其他法律方面的问题,应充分理解逻辑和物理数据。

在网络层或传输前在节点加密所有传输的敏感信息。

加密基础实施中的敏感卷,限制因快照或非授权访问的信息泄露。

在平台服务应用和存储中加密敏感信息。

原文出自「比特网」,转载请保留原文链接:http://sec.chinabyte.com/162/12730162.shtml

在不久的将来,多智时代一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏多智时代,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!

云计算 可扩展性 公有云 私有云 华为 服务提供商
0
为您推荐
云计算大放异彩,云计算行业又有哪些新趋势!

云计算大放异彩,云计算行业又有哪些新趋势

云计算能够简化软件、业务流程以及访问服务,进而帮助企业优化投资组合。此外,云计算…...

云计算这么火热,说说它的优缺点都有啥?

云计算这么火热,说说它的优缺点都有啥?

随着云计算的持续火热,云计算往往被誉为企业和企业技术的未来。 像其他一样,云计算…...

200多家云计算企业参加的推介会,华为要在襄阳市搞出啥动静?

200多家云计算企业参加的推介会,华为要在

2017年5月25日襄阳市人民政府联合华为公司在深圳五洲宾馆举行了襄阳云计算大数据产业…...

云计算安全:架构、战略、标准与运营

云计算安全:架构、战略、标准与运营

云计算:概念、技术与架构 《云计算:概念、技术与架构》可以为云计算从业人员、云计算…...

签署云计算合同要留意几个方面

签署云计算合同要留意几个方面

  根据调研机构Forrester Research的调查,云计算市场以每年22%的速度增长,预计201…...

ARM的下一代芯片设计将重点放在人工智能上

ARM的下一代芯片设计将重点放在人工智能上

ARM今天发布了DynamIQ的声明,这是一项新技术,它将为下一代移动处理器奠定基础。与其…...

业务不到两年增速85%,是哪家公司这么厉害?

业务不到两年增速85%,是哪家公司这么厉害?

核心提示:自从2015年9月的OracleOpenWorld大会上推出全线的SaaS和PaaS产品以来,甲骨…...

积跬步至千里,中国制造如何冲破桎梏?

积跬步至千里,中国制造如何冲破桎梏?

中国制造2025计划提出之后,越来越多的人开始关注制造业的情况,一层层神秘的面纱被揭…...

为什么BYOD能使你的云数据更安全

为什么BYOD能使你的云数据更安全

10月22日讯 BYOD(Bring Your Own Device)策略的日益流行令传统CIO和安全专家有些担心…...

大型云提供商的云端闪存存储

大型云提供商的云端闪存存储

  随着闪存存储价格下降且设备容量提升,闪存存储逐渐成为企业的首选存储选项。 公…...