摘要:與此同時(shí),大多數(shù)組織將依靠前兩種機(jī)制控制來管理工作負(fù)載的安置。
當(dāng)企業(yè)開始運(yùn)行應(yīng)用程序工作負(fù)載時(shí),一切似乎都很簡單:企業(yè)運(yùn)行測試數(shù)據(jù),并且每個(gè)工作人員都可以看到,而且它在哪里運(yùn)行都無關(guān)緊要。在本地部署的數(shù)據(jù)中心或在云端,它們都是一樣的。但是,一旦開始部署實(shí)際工作負(fù)載,使用真實(shí)數(shù)據(jù)和實(shí)際流程,就會(huì)發(fā)生一些變化:某些數(shù)據(jù)以及其中一些過程會(huì)很敏感。那么企業(yè)應(yīng)該如何決定將工作負(fù)載放在哪里,一旦他們部署在那里,企業(yè)應(yīng)該如何保護(hù)它們?
如何為工作負(fù)載找到適合的場所?人們總是聽到企業(yè)IT領(lǐng)導(dǎo)者提出這樣的問題。以下通過詢問五個(gè)相關(guān)的問題來回答這個(gè)問題,這些問題將幫助企業(yè)選擇工作負(fù)載的適合場所:
什么是敏感數(shù)據(jù)和敏感過程?
誰應(yīng)該訪問,誰不應(yīng)該?
我可以信任誰,為什么?
什么位置適合?
如何控制工作量安置?
1.什么是敏感數(shù)據(jù)和敏感過程?
這個(gè)問題可能需要長篇大論進(jìn)行闡述。閱讀敏感數(shù)據(jù)需要重新考慮企業(yè)的定義的時(shí)間。但是如果沒有時(shí)間閱讀這些觀點(diǎn),那么簡而言之,幾乎所有的數(shù)據(jù)都有可能是敏感的,這取決于應(yīng)用場景。一旦確定了需要保護(hù)的數(shù)據(jù)以及需要保護(hù)的屬性,無論是保密性、完整性、可用性、正確性還是其他屬性,那么現(xiàn)在是花費(fèi)一些時(shí)間思考如何保護(hù)它的時(shí)候了。
2.誰應(yīng)該訪問,誰不應(yīng)該訪問?
在研究什么樣的數(shù)據(jù)和過程是敏感的時(shí)候,人們不會(huì)做的一件事就是了解它們在哪些情況下是敏感的。這會(huì)提供一些關(guān)于什么樣的人應(yīng)該有權(quán)訪問的指標(biāo)。人們應(yīng)該意識(shí)到,這些人經(jīng)常會(huì)隨著時(shí)間的推移而變化:假設(shè)某人得到提升,并且現(xiàn)在可以訪問新數(shù)據(jù),或者企業(yè)結(jié)果發(fā)布后,其保密的財(cái)務(wù)數(shù)據(jù)就會(huì)公開化。
解決這一系列變化的標(biāo)準(zhǔn)方法是標(biāo)記數(shù)據(jù)并賦予不同的角色,這些角色在移動(dòng)角色時(shí)可能會(huì)發(fā)生變化:限制哪些角色應(yīng)該訪問哪些數(shù)據(jù)是非常簡單的。這通常稱為RBAC(基于角色的訪問控制)。在某些場景下,這些是不夠的,因此可以使用數(shù)據(jù)或人員的其他屬性,從而導(dǎo)致采用ABAC(基于屬性的訪問控制)等替代方案。
也許人們會(huì)注意到,這里將上述指標(biāo)從“數(shù)據(jù)和過程”改為“數(shù)據(jù)”。那是因?yàn)檫^程可能會(huì)很尷尬。過程可以經(jīng)常改變他們的敏感度,有時(shí)會(huì)出乎意料地或惡意地改變他們的敏感度?那么,也可能企業(yè)的數(shù)據(jù)現(xiàn)在被勒索軟件劫持,目前正在后臺(tái)加密其硬盤驅(qū)動(dòng)器。
過程通常很難用與數(shù)據(jù)完全相同的方式來描述,因此,一個(gè)很好的經(jīng)驗(yàn)法則是根據(jù)在出現(xiàn)問題時(shí)可能發(fā)生的最壞情況來限制它們。
3.我可以信任誰,為什么?
這個(gè)問題的答案是“沒有人”,即使人們意識(shí)到這是不現(xiàn)實(shí)的。簡單的說,如何信任別人取決于場景。
就數(shù)據(jù)而言,正如上面所描述的,在考慮信任時(shí),背景是王道。例如,人們相信魚販會(huì)了解和管理會(huì)計(jì)事務(wù)嗎?你會(huì)相信會(huì)計(jì)師會(huì)去賣魚嗎?對于操作和管理系統(tǒng)的人也是如此:人們會(huì)認(rèn)為他們各自做不同的事情。
具體來說,這里正在討論的是兩套系統(tǒng):人們運(yùn)行的工作負(fù)載以及它們運(yùn)行的主機(jī)。你可能已經(jīng)有了控制措施來確保只有自己的財(cái)務(wù)和人力資源團(tuán)隊(duì)才可以訪問的工資核算工作負(fù)載,但工資核算工作負(fù)載所運(yùn)行的主機(jī)呢?
人們并不總是能夠意識(shí)到這一點(diǎn),但當(dāng)工作負(fù)載在主機(jī)上運(yùn)行時(shí),在容器中或在虛擬機(jī)中,任何人或者任何具有對該機(jī)器的管理訪問權(quán)限的進(jìn)程,都能完全控制該工作負(fù)載。這不僅可以阻止它運(yùn)行:人們可以查看它,甚至可以更改它包含的數(shù)據(jù)。這是令人震驚的,因?yàn)閷τ诠べY核算工作負(fù)載范例而言,這意味著人們不僅需要信任財(cái)務(wù)和人力資源團(tuán)隊(duì)的數(shù)據(jù),任何管理人員還有權(quán)訪問運(yùn)行工作負(fù)載的主機(jī)。
當(dāng)然,企業(yè)還需要確保主機(jī)本身具有足夠的安全性,因?yàn)槿绻粽咴O(shè)法進(jìn)入其中一個(gè)主機(jī),那么就能夠控制敏感的工作負(fù)載。
企業(yè)管理人員需要相信員工,但也需要確保主機(jī)本身的管理良好,并將這兩方面結(jié)合,那么人們需要開始思考可能會(huì)將工作負(fù)載放在哪里。
4.什么位置適合?
企業(yè)顯然希望將工作負(fù)載放在安全的地方。或者更確切地說,企業(yè)可以在何處應(yīng)用相對于其所包含的數(shù)據(jù)和流程敏感性的適當(dāng)措施。這并不總是意味著采用最高級別的安全性或最昂貴的解決方案,但表明企業(yè)需要決定哪些工作量應(yīng)該放在哪里。
企業(yè)的管理人員會(huì)說,“我們不能信任公共云,因?yàn)樗皇俏覀兊膯T工運(yùn)行系統(tǒng)”。但公共云可能是企業(yè)運(yùn)行工作負(fù)載的很好選擇。成本和易用性的平衡可能勝過許多低靈敏度工作負(fù)載的安全問題,這就是為什么混合云對許多組織來說是如此引人注目的原因。
企業(yè)真的需要最高級別的安全性,還是最昂貴的解決方案?
另外,正如以上所提到的,主機(jī)本身管理良好至關(guān)重要。云計(jì)算服務(wù)提供商在其基礎(chǔ)設(shè)施上花費(fèi)大量資金,為主機(jī)提供多級管理和運(yùn)營專業(yè)知識(shí),許多企業(yè)可能無法將其擴(kuò)展到整個(gè)計(jì)算機(jī)產(chǎn)業(yè)。
有一系列要求,從安全保障嚴(yán)密的基礎(chǔ)設(shè)施到商品公共云。諸如“只有經(jīng)過授權(quán)的,經(jīng)過安全檢查的工作人員才能管理的機(jī)器池”等選項(xiàng)位于這二者之間的某處。
企業(yè)需要根據(jù)風(fēng)險(xiǎn)、成本、可用性,以及組織中可能適用的其他因素來確定適用于每種類型的工作負(fù)載。
5.如何控制工作量的安置?
在決定了哪些工作負(fù)載應(yīng)該允許在哪些主機(jī)上運(yùn)行后,如何確保所有工作都能正常工作?企業(yè)可以采用什么措施提高各種主機(jī)的安全級別?將可用控件分類的一種方法是將它們分成三種類型:
合同或行政控制:這些方法包括數(shù)據(jù)隱私協(xié)議、員工背景調(diào)查、ISO 9001,以及類似方法,這些方法可讓管理人員對組織內(nèi)部或內(nèi)部云組織進(jìn)行控制,以及如何控制主機(jī)運(yùn)行他們的過程。具體哪些方法適用將取決于許多因素,但這些始終是一個(gè)很好的考慮起點(diǎn)。然而,它們本身并不足夠。
架構(gòu)控制:這些方法允許管理人員執(zhí)行有關(guān)應(yīng)將哪些工作負(fù)載托管在何處的放置策略。它們包括調(diào)度和放置算法(通過編排平臺(tái),如Kubernetes或OpenShift)、API控制、虛擬網(wǎng)絡(luò)、存儲(chǔ)規(guī)則、身份驗(yàn)證機(jī)制等機(jī)制。綜合起來,這兩個(gè)選項(xiàng)允許管理人員指定哪些主機(jī)集可以放置不同類型的工作負(fù)載,然后驗(yàn)證并監(jiān)控這些規(guī)則是否已經(jīng)遵循。
這些是當(dāng)今大多數(shù)組織可用的最具表現(xiàn)力和多功能的工具,可讓企業(yè)跨越混合云部署跨越各種工作負(fù)載。
技術(shù)控制:有幾種機(jī)制可以讓企業(yè)在不完全信任的主機(jī)上運(yùn)行工作負(fù)載,并確保不會(huì)被篡改。
第一個(gè)也是最為人所知的是HSM(硬件安全模塊),但部署這些模塊代價(jià)高昂,不能很好地?cái)U(kuò)展并且很難編程,特別是對于通用工作負(fù)載來說。第二種是FPGA(現(xiàn)場可編程門陣列,這是位于主機(jī)主板上的芯片),但編程昂貴,并且像HSM(硬件安全模塊)一樣僅適用于某些工作負(fù)載類型。第三個(gè)TEE(可信執(zhí)行環(huán)境)提供了一種新的方法,芯片生產(chǎn)商在高端商品硬件上的發(fā)展很有前景,一旦它們變得可用,就可以提供一種方法來隱藏主機(jī)上管理員執(zhí)行的工作負(fù)載。現(xiàn)在,對于大多數(shù)組織來說,這些都是未來的事情。
與此同時(shí),大多數(shù)組織將依靠前兩種機(jī)制控制來管理工作負(fù)載的安置。
完善地點(diǎn)和原因
并非所有的工作負(fù)載都是平等的,因?yàn)樗械闹鳈C(jī)都不一樣。管理人員需要了解數(shù)據(jù)和進(jìn)程的敏感度,考慮適當(dāng)?shù)墓ぷ髫?fù)載放置,允許在它們應(yīng)該運(yùn)行的地方創(chuàng)建策略,然后控制、驗(yàn)證和監(jiān)視這些策略是否正確應(yīng)用。對于敏感的工作負(fù)載技術(shù)控制的未來機(jī)會(huì)看起來很有必要,但對企業(yè)的工作負(fù)載需求和現(xiàn)有工具和機(jī)制應(yīng)用的良好分析,已經(jīng)使人們能夠很好地控制在哪里運(yùn)行以及為什么這么做。
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/6406.html
摘要:如果云計(jì)算顧問不能滿足企業(yè)的要求,企業(yè)可能需要重新選擇其他的云計(jì)算顧問。就像其他顧問一樣,云計(jì)算顧問也必須非常適合企業(yè)的業(yè)務(wù)。以下是為企業(yè)選擇最佳云計(jì)算顧問的指南。隨著云計(jì)算的應(yīng)用越來越廣泛,企業(yè)對云計(jì)算顧問有著越來越多的需求。無論是內(nèi)部部署數(shù)據(jù)中心還是公共云,其市場都有巨大的增長。調(diào)研機(jī)構(gòu)Gartner公司預(yù)測,全球公共云服務(wù)市場將從2017年的2468億美元增至2018年的2878億美元...
摘要:但是,隨著企業(yè)采用云計(jì)算,并創(chuàng)建將本地私有云與公共云服務(wù)相關(guān)聯(lián)的混合云,許多企業(yè)未能將環(huán)境的公共部分置于同樣的安全環(huán)境之下。了解他們?nèi)绾螒?yīng)對事故,并確保企業(yè)了解自己的責(zé)任。如今的IT組織通常擅長評估和選擇硬件和軟件。對傳統(tǒng)數(shù)據(jù)中心部署的基礎(chǔ)設(shè)施和應(yīng)用程序的獲取遵循嚴(yán)格的過程,并檢查每個(gè)細(xì)節(jié),以確定提供什么內(nèi)容,如何適應(yīng)現(xiàn)有的計(jì)算環(huán)境,以及將如何滿足業(yè)務(wù)和技術(shù)需要等。但是,隨著企業(yè)采用云計(jì)算,...
摘要:常犯的錯(cuò)誤談到云計(jì)算之旅時(shí)人們遇到的最大錯(cuò)誤之一是企業(yè)經(jīng)常急于采用混合云解決方案并認(rèn)為其基礎(chǔ)設(shè)施已經(jīng)過時(shí)并且沒有準(zhǔn)備好適應(yīng)更加現(xiàn)代化流程的需求。最后在這里向企業(yè)提出的有關(guān)數(shù)據(jù)安全的建議是對企業(yè)需要對云計(jì)算景觀有一個(gè)全面的了解。隨著對更多功能的數(shù)據(jù)存儲(chǔ)和IT服務(wù)的需求不斷增長,公共云和私有云平臺(tái)的成功為混合云的下一代按需計(jì)算能力的發(fā)展鋪平了道路。在理論上,它是現(xiàn)代基礎(chǔ)設(shè)施需求的最終解決方案,允...
摘要:如果還沒有,混合云存儲(chǔ)很可能成為企業(yè)的默認(rèn)選擇。此外,大多數(shù)主要的云存儲(chǔ)提供商都在為企業(yè)提供指導(dǎo),將企業(yè)的產(chǎn)品與適當(dāng)?shù)陌踩秃弦?guī)控制協(xié)調(diào)一致,以確保企業(yè)不會(huì)違反行業(yè)法規(guī)。如今,混合云的存儲(chǔ)量不斷增長這并不奇怪。混合云本身是一種越來越流行的部署IT服務(wù)的方法。事實(shí)上,根據(jù)調(diào)研機(jī)構(gòu)Gartner預(yù)測,到2020年,90%的企業(yè)將使用混合基礎(chǔ)設(shè)施的管理功能。這對企業(yè)的數(shù)據(jù)存儲(chǔ)策略意味著什么?首先,...
摘要:災(zāi)難恢復(fù)服務(wù)和物聯(lián)網(wǎng)云存儲(chǔ)等技術(shù)越來越受到關(guān)注。下面,根據(jù)流行度,列舉了年閱讀量較高的一大云存儲(chǔ)技巧。在災(zāi)難發(fā)生后保護(hù),并確保重要數(shù)據(jù)可用并不是一件小事,但是使用云存儲(chǔ)平臺(tái)可使提供商做更多的工作。自2016年起,我們已經(jīng)分析了十大重要存儲(chǔ)平臺(tái),從實(shí)施混合云到制定數(shù)據(jù)遷移策略。對于云存儲(chǔ)來說,渡過了一個(gè)漫長而奇怪的一年。曾經(jīng)認(rèn)為的存儲(chǔ)時(shí)尚剛剛出現(xiàn)在各地,同時(shí)云遷移策略比以往更加廣泛了。對于一些...
閱讀 578·2023-04-25 21:29
閱讀 1104·2023-04-25 21:27
閱讀 1044·2021-11-25 09:43
閱讀 1076·2021-09-29 09:43
閱讀 3613·2021-09-03 10:30
閱讀 2853·2019-08-29 15:26
閱讀 2803·2019-08-29 12:52
閱讀 1740·2019-08-29 11:10