云計算已經成為當前企業(yè)高效構建應用和使用計算資源、存儲資源等的主流模式,云計算能提供一種無處不在的,便捷的,按需的,基于網(wǎng)絡訪問的,共享使用的,可配置的計算資源(如網(wǎng)絡,服務器,存儲,應用和服務)。云計算可以增強協(xié)作,提高敏捷性、可擴展性以及可用性。還可以通過優(yōu)化資源分配、提高計算效率來降低成本。目前,業(yè)界已經能夠為企業(yè)提供諸如IaaS、PaaS、SaaS的典型云計算服務以及公有云、私有云等部署模式,并且,Amazon、微軟、華為、浪潮等已成為云計算的服務提供商。
保護遷往云和在云內遷移的數(shù)據(jù)
在公共云和私有云部署方案中,無論什么服務模型,保護數(shù)據(jù)傳輸都是非常重要的。這些數(shù)據(jù)傳輸過程包括:數(shù)據(jù)從傳統(tǒng)基礎架構遷移到云供應商中,包括公有與私有之間轉移,內部與外部之間轉移,以及其他各種組合;數(shù)據(jù)在云供應商之間的遷移;數(shù)據(jù)在既定的云內實例間(或者其他組件之間)遷移。
有如下三種方式可以對上述傳輸過程中的數(shù)據(jù)進行安全保障:
客戶端/應用程序加密。數(shù)據(jù)在終端或服務器端先加密,然后再通過網(wǎng)絡傳輸,或者在已經以恰當?shù)募用芨袷酱鎯Α_@既包括本地客戶端(代理模式)加密機制(例如,針對存儲文件)或者集成在應用程序之中的加密機制。
鏈路/網(wǎng)絡加密模式。標準的網(wǎng)絡加密技術包括SSL、VPN和SSH。既可以是硬件加密,也可以是軟件加密。
基于代理的加密。數(shù)據(jù)通過一個代理設備或服務器進行傳輸,數(shù)據(jù)在網(wǎng)絡傳輸前完成加密。通常都是將代理加密機制整合到原有的應用程序中。
云計算環(huán)境數(shù)據(jù)安全最佳實踐
在實際的應用過程中,企業(yè)可以遵循如下的24條最佳實踐來保障云計算環(huán)境中的數(shù)據(jù)安全:
理解所采用的云存儲架構,有助于確定安全風險和可用的控制措施。
如果可能的話,選擇支持數(shù)據(jù)離差技術的云存儲。
使用數(shù)據(jù)安全生命周期DSL來識別易受攻擊的安全,以確定最合適的控制措施。
使用DAM 和FAM監(jiān)測內部核心數(shù)據(jù)庫和文件庫,識別能夠表明數(shù)據(jù)向云中轉移的的大數(shù)據(jù)遷移。
使用URL過濾和(或)DLP工具監(jiān)測員工的互聯(lián)網(wǎng)訪問,來識別是否敏感數(shù)據(jù)遷移。選擇可對云服務作預分類的工具,并通過過濾規(guī)則阻斷非授權行為。
所有敏感信息移入云或在云內傳輸時,應在網(wǎng)絡傳輸前的網(wǎng)絡層或者節(jié)點側進行數(shù)據(jù)加密。這一建議適用于所有的云服務和部署模型。
使用任何數(shù)據(jù)加密機制時,應特別注意密鑰管理。
使用內容發(fā)現(xiàn)機制來掃描云存儲,并識別已泄漏的敏感數(shù)據(jù)。
加密IaaS中的敏感卷,來限制因為快照或未授權管理員訪問導致的信息泄露。至于采用何種技術依賴于具體的操作需要。
采用文件/文件夾或客戶端/代理加密機制加密對象存儲中的敏感數(shù)據(jù)。
加密平臺服務PaaS應用和存儲中的敏感數(shù)據(jù)。通常情況下應用層加密機制為首選,因為幾乎沒有云數(shù)據(jù)庫支持原生加密機制。
當使用應用加密時,密鑰無論如何必須存放在應用系統(tǒng)外面。
若軟件服務(SaaS)需使用加密,應盡可能使用可提供原生加密機制的供應商;若無該工具或必須到規(guī)定信任等級,則可使用代理加密機制。
使用DLP來識別云部署的敏感數(shù)據(jù)泄漏,這種情況僅對基礎設施服務(IaaS)適用,這對其他公共云供應商均不適用。
使用數(shù)據(jù)庫活動監(jiān)測工具(DAM)來監(jiān)控敏感數(shù)據(jù)庫,并對違反安全策略的行為進行告警。
當交付的基礎設施或應用在正常訪問敏感用戶信息時,應考慮對可能的泄漏采取私有存儲保護機制。
謹記絕大多數(shù)數(shù)據(jù)安全缺陷都源自于應用程序極為脆弱的安全性。
云供應商不僅應當遵循這些實踐,并且為用戶發(fā)布數(shù)據(jù)安全工具和配置選項。
無論是合同到期或其他原因,應在SLA中詳細說明如何從云供應商中轉移數(shù)據(jù),必須包括用戶賬號刪除,從主/冗余存儲中遷移或刪除數(shù)據(jù),遷移密鑰等。
使用數(shù)據(jù)安全生命周期來識別安全易受攻擊點,從而確定最合適的控制措施。
考慮到潛在合規(guī)的、合約方面的以及其他法律方面的問題,應充分理解邏輯和物理數(shù)據(jù)。
在網(wǎng)絡層或傳輸前在節(jié)點加密所有傳輸?shù)拿舾行畔ⅰ?/p>
加密基礎實施中的敏感卷,限制因快照或非授權訪問的信息泄露。
在平臺服務應用和存儲中加密敏感信息。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/10839311391.html