資訊專欄INFORMATION COLUMN
摘要:與此同時,大多數(shù)組織將依靠前兩種機制控制來管理工作負載的安置。
當企業(yè)開始運行應用程序工作負載時,一切似乎都很簡單:企業(yè)運行測試數(shù)據(jù),并且每個工作人員都可以看到,而且它在哪里運行都無關緊要。在本地部署的數(shù)據(jù)中心或在云端,它們都是一樣的。但是,一旦開始部署實際工作負載,使用真實數(shù)據(jù)和實際流程,就會發(fā)生一些變化:某些數(shù)據(jù)以及其中一些過程會很敏感。那么企業(yè)應該如何決定將工作負載放在哪里,一旦他們部署在那里,企業(yè)應該如何保護它們?
如何為工作負載找到適合的場所?人們總是聽到企業(yè)IT領導者提出這樣的問題。以下通過詢問五個相關的問題來回答這個問題,這些問題將幫助企業(yè)選擇工作負載的適合場所:
什么是敏感數(shù)據(jù)和敏感過程?
誰應該訪問,誰不應該?
我可以信任誰,為什么?
什么位置適合?
如何控制工作量安置?
1.什么是敏感數(shù)據(jù)和敏感過程?
這個問題可能需要長篇大論進行闡述。閱讀敏感數(shù)據(jù)需要重新考慮企業(yè)的定義的時間。但是如果沒有時間閱讀這些觀點,那么簡而言之,幾乎所有的數(shù)據(jù)都有可能是敏感的,這取決于應用場景。一旦確定了需要保護的數(shù)據(jù)以及需要保護的屬性,無論是保密性、完整性、可用性、正確性還是其他屬性,那么現(xiàn)在是花費一些時間思考如何保護它的時候了。
2.誰應該訪問,誰不應該訪問?
在研究什么樣的數(shù)據(jù)和過程是敏感的時候,人們不會做的一件事就是了解它們在哪些情況下是敏感的。這會提供一些關于什么樣的人應該有權訪問的指標。人們應該意識到,這些人經常會隨著時間的推移而變化:假設某人得到提升,并且現(xiàn)在可以訪問新數(shù)據(jù),或者企業(yè)結果發(fā)布后,其保密的財務數(shù)據(jù)就會公開化。
解決這一系列變化的標準方法是標記數(shù)據(jù)并賦予不同的角色,這些角色在移動角色時可能會發(fā)生變化:限制哪些角色應該訪問哪些數(shù)據(jù)是非常簡單的。這通常稱為RBAC(基于角色的訪問控制)。在某些場景下,這些是不夠的,因此可以使用數(shù)據(jù)或人員的其他屬性,從而導致采用ABAC(基于屬性的訪問控制)等替代方案。
也許人們會注意到,這里將上述指標從“數(shù)據(jù)和過程”改為“數(shù)據(jù)”。那是因為過程可能會很尷尬。過程可以經常改變他們的敏感度,有時會出乎意料地或惡意地改變他們的敏感度?那么,也可能企業(yè)的數(shù)據(jù)現(xiàn)在被勒索軟件劫持,目前正在后臺加密其硬盤驅動器。
過程通常很難用與數(shù)據(jù)完全相同的方式來描述,因此,一個很好的經驗法則是根據(jù)在出現(xiàn)問題時可能發(fā)生的最壞情況來限制它們。
3.我可以信任誰,為什么?
這個問題的答案是“沒有人”,即使人們意識到這是不現(xiàn)實的。簡單的說,如何信任別人取決于場景。
就數(shù)據(jù)而言,正如上面所描述的,在考慮信任時,背景是王道。例如,人們相信魚販會了解和管理會計事務嗎?你會相信會計師會去賣魚嗎?對于操作和管理系統(tǒng)的人也是如此:人們會認為他們各自做不同的事情。
具體來說,這里正在討論的是兩套系統(tǒng):人們運行的工作負載以及它們運行的主機。你可能已經有了控制措施來確保只有自己的財務和人力資源團隊才可以訪問的工資核算工作負載,但工資核算工作負載所運行的主機呢?
人們并不總是能夠意識到這一點,但當工作負載在主機上運行時,在容器中或在虛擬機中,任何人或者任何具有對該機器的管理訪問權限的進程,都能完全控制該工作負載。這不僅可以阻止它運行:人們可以查看它,甚至可以更改它包含的數(shù)據(jù)。這是令人震驚的,因為對于工資核算工作負載范例而言,這意味著人們不僅需要信任財務和人力資源團隊的數(shù)據(jù),任何管理人員還有權訪問運行工作負載的主機。
當然,企業(yè)還需要確保主機本身具有足夠的安全性,因為如果攻擊者設法進入其中一個主機,那么就能夠控制敏感的工作負載。
企業(yè)管理人員需要相信員工,但也需要確保主機本身的管理良好,并將這兩方面結合,那么人們需要開始思考可能會將工作負載放在哪里。
4.什么位置適合?
企業(yè)顯然希望將工作負載放在安全的地方。或者更確切地說,企業(yè)可以在何處應用相對于其所包含的數(shù)據(jù)和流程敏感性的適當措施。這并不總是意味著采用最高級別的安全性或最昂貴的解決方案,但表明企業(yè)需要決定哪些工作量應該放在哪里。
企業(yè)的管理人員會說,“我們不能信任公共云,因為它不是我們的員工運行系統(tǒng)”。但公共云可能是企業(yè)運行工作負載的很好選擇。成本和易用性的平衡可能勝過許多低靈敏度工作負載的安全問題,這就是為什么混合云對許多組織來說是如此引人注目的原因。
企業(yè)真的需要最高級別的安全性,還是最昂貴的解決方案?
另外,正如以上所提到的,主機本身管理良好至關重要。云計算服務提供商在其基礎設施上花費大量資金,為主機提供多級管理和運營專業(yè)知識,許多企業(yè)可能無法將其擴展到整個計算機產業(yè)。
有一系列要求,從安全保障嚴密的基礎設施到商品公共云。諸如“只有經過授權的,經過安全檢查的工作人員才能管理的機器池”等選項位于這二者之間的某處。
企業(yè)需要根據(jù)風險、成本、可用性,以及組織中可能適用的其他因素來確定適用于每種類型的工作負載。
5.如何控制工作量的安置?
在決定了哪些工作負載應該允許在哪些主機上運行后,如何確保所有工作都能正常工作?企業(yè)可以采用什么措施提高各種主機的安全級別?將可用控件分類的一種方法是將它們分成三種類型:
合同或行政控制:這些方法包括數(shù)據(jù)隱私協(xié)議、員工背景調查、ISO 9001,以及類似方法,這些方法可讓管理人員對組織內部或內部云組織進行控制,以及如何控制主機運行他們的過程。具體哪些方法適用將取決于許多因素,但這些始終是一個很好的考慮起點。然而,它們本身并不足夠。
架構控制:這些方法允許管理人員執(zhí)行有關應將哪些工作負載托管在何處的放置策略。它們包括調度和放置算法(通過編排平臺,如Kubernetes或OpenShift)、API控制、虛擬網絡、存儲規(guī)則、身份驗證機制等機制。綜合起來,這兩個選項允許管理人員指定哪些主機集可以放置不同類型的工作負載,然后驗證并監(jiān)控這些規(guī)則是否已經遵循。
這些是當今大多數(shù)組織可用的最具表現(xiàn)力和多功能的工具,可讓企業(yè)跨越混合云部署跨越各種工作負載。
技術控制:有幾種機制可以讓企業(yè)在不完全信任的主機上運行工作負載,并確保不會被篡改。
第一個也是最為人所知的是HSM(硬件安全模塊),但部署這些模塊代價高昂,不能很好地擴展并且很難編程,特別是對于通用工作負載來說。第二種是FPGA(現(xiàn)場可編程門陣列,這是位于主機主板上的芯片),但編程昂貴,并且像HSM(硬件安全模塊)一樣僅適用于某些工作負載類型。第三個TEE(可信執(zhí)行環(huán)境)提供了一種新的方法,芯片生產商在高端商品硬件上的發(fā)展很有前景,一旦它們變得可用,就可以提供一種方法來隱藏主機上管理員執(zhí)行的工作負載。現(xiàn)在,對于大多數(shù)組織來說,這些都是未來的事情。
與此同時,大多數(shù)組織將依靠前兩種機制控制來管理工作負載的安置。
完善地點和原因
并非所有的工作負載都是平等的,因為所有的主機都不一樣。管理人員需要了解數(shù)據(jù)和進程的敏感度,考慮適當?shù)墓ぷ髫撦d放置,允許在它們應該運行的地方創(chuàng)建策略,然后控制、驗證和監(jiān)視這些策略是否正確應用。對于敏感的工作負載技術控制的未來機會看起來很有必要,但對企業(yè)的工作負載需求和現(xiàn)有工具和機制應用的良好分析,已經使人們能夠很好地控制在哪里運行以及為什么這么做。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/6406.html
摘要:如果云計算顧問不能滿足企業(yè)的要求,企業(yè)可能需要重新選擇其他的云計算顧問。就像其他顧問一樣,云計算顧問也必須非常適合企業(yè)的業(yè)務。以下是為企業(yè)選擇最佳云計算顧問的指南。隨著云計算的應用越來越廣泛,企業(yè)對云計算顧問有著越來越多的需求。無論是內部部署數(shù)據(jù)中心還是公共云,其市場都有巨大的增長。調研機構Gartner公司預測,全球公共云服務市場將從2017年的2468億美元增至2018年的2878億美元...
摘要:但是,隨著企業(yè)采用云計算,并創(chuàng)建將本地私有云與公共云服務相關聯(lián)的混合云,許多企業(yè)未能將環(huán)境的公共部分置于同樣的安全環(huán)境之下。了解他們如何應對事故,并確保企業(yè)了解自己的責任。如今的IT組織通常擅長評估和選擇硬件和軟件。對傳統(tǒng)數(shù)據(jù)中心部署的基礎設施和應用程序的獲取遵循嚴格的過程,并檢查每個細節(jié),以確定提供什么內容,如何適應現(xiàn)有的計算環(huán)境,以及將如何滿足業(yè)務和技術需要等。但是,隨著企業(yè)采用云計算,...
摘要:常犯的錯誤談到云計算之旅時人們遇到的最大錯誤之一是企業(yè)經常急于采用混合云解決方案并認為其基礎設施已經過時并且沒有準備好適應更加現(xiàn)代化流程的需求。最后在這里向企業(yè)提出的有關數(shù)據(jù)安全的建議是對企業(yè)需要對云計算景觀有一個全面的了解。隨著對更多功能的數(shù)據(jù)存儲和IT服務的需求不斷增長,公共云和私有云平臺的成功為混合云的下一代按需計算能力的發(fā)展鋪平了道路。在理論上,它是現(xiàn)代基礎設施需求的最終解決方案,允...
摘要:如果還沒有,混合云存儲很可能成為企業(yè)的默認選擇。此外,大多數(shù)主要的云存儲提供商都在為企業(yè)提供指導,將企業(yè)的產品與適當?shù)陌踩秃弦?guī)控制協(xié)調一致,以確保企業(yè)不會違反行業(yè)法規(guī)。如今,混合云的存儲量不斷增長這并不奇怪。混合云本身是一種越來越流行的部署IT服務的方法。事實上,根據(jù)調研機構Gartner預測,到2020年,90%的企業(yè)將使用混合基礎設施的管理功能。這對企業(yè)的數(shù)據(jù)存儲策略意味著什么?首先,...
摘要:災難恢復服務和物聯(lián)網云存儲等技術越來越受到關注。下面,根據(jù)流行度,列舉了年閱讀量較高的一大云存儲技巧。在災難發(fā)生后保護,并確保重要數(shù)據(jù)可用并不是一件小事,但是使用云存儲平臺可使提供商做更多的工作。自2016年起,我們已經分析了十大重要存儲平臺,從實施混合云到制定數(shù)據(jù)遷移策略。對于云存儲來說,渡過了一個漫長而奇怪的一年。曾經認為的存儲時尚剛剛出現(xiàn)在各地,同時云遷移策略比以往更加廣泛了。對于一些...
閱讀 588·2023-04-25 21:29
閱讀 1121·2023-04-25 21:27
閱讀 1060·2021-11-25 09:43
閱讀 1093·2021-09-29 09:43
閱讀 3628·2021-09-03 10:30
閱讀 2866·2019-08-29 15:26
閱讀 2814·2019-08-29 12:52
閱讀 1756·2019-08-29 11:10
