公有云与私有云带来了新的IT安全需求,数据中心团队需要重新考虑如何处理防火墙、身份管理等问题。
云计算与数据中心之间有许多相似点,但团队管理云服务,应该扩展现有的IT安全模式。
在最简单的模式中,云服务器是远端服务器或服务器集群,它们提供某种服务。当第三方“拥有”云资源,并处理用户数据时,这种方式可以被视为公有云。当云资源或至少云的一部分包含在公司自己的数据中心内,它被称为私有云。两种模式的混合,数据穿梭于两者之间,被视为混合云。
当管理员们升级其IT安全模式到云上后——无论是公有或私有云,都有着各种类型的服务需要保护。例如,某些企业网络允许用户通过云存储服务存储数据。如果这项服务是对外开放的,如OneDrive、Google Drive或iCloud,在服务器前配置防火墙与规则集,不是个理想的方式,因为性能可能会受到影响。应该考虑将这些紧密配置的防火墙放在这些服务器后面,非军事区内,以增强保护。
身份管理
管理员可能通过身份管理来加固数据中心安全基础设施。很多时候,身份管理***结合单点登录使用,这个平台实现允许用户通过一套授权凭据来访问一系列不同的系统。例如,VMware的Identity Manager允许管理员通过Active Directory基础设施来授予不同用户访问不同应用程序的权限,还可以将终端用户的移动设备加入域内,实现设备间信任。当有人加入组织,管理员可以通过Identity Manager将她的移动设备加入域,如果这个人后来离开了组织,管理员也可以将该移动设备从域内删除。
在云中,身份管理的IT安全模式同样发生了变化。负责身份管理的系统管理员通常需要对非本地的云资源访问进行授权。以Salesforce为例,管理员和用户都访问相同的云资源,但管理员被授予了更高级的权限,可以授权或撤销其他用户的权限。不过,如果Salesforce的某些部分出现故障,系统管理员能采取的措施很少。相反,在传统的数据中心环境中,系统管理员不仅授权和撤销最终用户的权限,同样还需要处理和解决自建数据中心基础设施内的各种问题。
电子邮件安全
传统数据中心环境通常都承载了电子邮件服务器集群,主机服务器通常都在某些类型的网络防火墙设备后面,并且运行着反病毒软件。近年来,许多公司已经将其电子邮件基础设施放置在能够处理深度包检测的网络防火墙设备后。
确保邮件安全的方法之一,还有基于云的电子邮件检查,如TrendMicro的Hosted Email Security与Antispam Protection。这种模式下,组织仍然拥有电邮服务器,但同样也注册了TrendMicro的电子邮件域。任何来自组织外部IP网络的邮件都会被发送到TrendMicro的反病毒服务器上,经由***的恶意软件签名检测。如果邮件被视为安全,它将会被发送到预期的收件人信箱内。
虚拟桌面基础设施
如果公司拥有数据中心,提供云服务并且不向公众开放,只有授权人员可以访问数据中心内的数据。例如,公司可能在某个数据中心内维护着自己的整个企业网络,而且提供虚拟桌面基础设施(VDI)作为服务。在这种场景下,用户不是从自己的办公桌上访问各自的桌面。相反,他们访问某个托管数据中心服务器上的虚拟桌面。从安全角度看,这样的方式被证明是有利的。例如,管理员可以分配不同的桌面到各个类型的员工或部门;某种桌面可能适合财务与审计部门,而另一种可能适合市场营销和销售。然而,涉及到颗粒度量级的场景,可能会给服务器造成容量压力。
数据中心内的VDI场景,管理员管理虚拟环境,同样还包括了运行虚拟桌面的裸机服务器。从这个角度看,数据中心管理员管理更接近物理服务器,而不是虚拟化环境。因此,许多传统的安全机制,如网络防火墙,是可以考虑的设备,管理员还可能分配不同的物理服务器来承载不同类型的虚拟桌面负载。为保护某些负载上的敏感数据,团队可能会在不同的VDI部署之间增加防火墙。
许多行为可能是数据中心与私有或公有云应用程序结合所引发的连锁反应。确定那些公有或私有云服务器需要来自自己数据中心的支持,并确保自己的基础设施与IT安全模式——包括权限,针对每个服务都进行了适当的设置。