对OpSource——我们不提亚马逊Web服务(AWS)、Rackspace、Terremark和其他企业——来说,这个答案就是2层 VLAN。在OpSource案例中,用户使用VPN客户端或站到站VPN隧道连接到云中。这种做法让公有云成为私有云的延伸,从而使其成为一种安全的混合云。
美国国家公路交通安全管理局(NHTSA)在2009年时花费了30天时间建设并测试了为总统奥巴马的《协助消费者回收暨节约法案》所构建的基础设施,NHTSA的答案是来自Layer 7科技公司的CloudSpan CloudConnect网关。这种服务允许NHTSA将其服务器放置在公有云中,并加以适当的安全控制。结果是,这个被消费者称为“旧车换现金”的法案让超过69万的美国人领到了货币补贴,可以用旧车换辆更新、更清洁、更安全的新车。
具有VPN功能的公有云和附加的安全层,如CloudSpan,还只是众多解决公有云安全问题的其中两例而已。每个个案都有自己的长处和短处,缺陷中有成本、复杂性、性能和延迟开销等。
组织可以优化这些解决公有云安全的方法,这要依据某个应用到底是不是关键任务,以及如何保证该应用所需的数据安全而定。下面是十个强化公有云安全以支持企业级应用的方法。
1、为公有云选择合适的应用
有些企业,包括大多数新创企业,一开始都会为其所有应用采用公有云服务,包括关键任务应用及其相关数据。例如快速成长的社交媒体网站 Pinterest就使用了150个AWS实例,所存储的数据目前已超过了400TB,这样一个新创企业就把自己的所有应用都放在了公有云上。
然而,公有云并不适合于所有组织,也并不适合于一个组织内的所有应用。一般来说,适合于公有云的企业应用都没有很严格的安全要求。在网站、应用开发、测试、在线产品目录和产品文档等案例中,大多数云服务提供商(CSP)所提供的默认安全足以应付此类应用的安全需求。
2、如有必要,评估并强化安全
CSP所提供的公有云安全可以说千差万别。因此在评估CSP时务必注意这一点。
ISO/IEC 27000标准系列提供了系统研究信息安全风险、重视各类威胁、漏洞及其影响的各种准则,用于设计和实施一套全面的信息安全控制系统,采用可确保准则遵照执行的管理流程。
正考虑将敏感应用及其数据迁移到公有云的组织需要根据这些标准来评估和比较不同CSP的安全措施。如有必要,在组织内部私有云所使用的安全措施也可扩展到其公有云实例中。如上所述,诸如CloudSpan等公司的产品允许组织在私有和公有云实例上强制执行相同标准的信息和应用安全策略。
