云計算作為一項新型IT服務(wù)模式已經(jīng)改變了IT消費形態(tài)。對小微企業(yè)來說,當(dāng)企業(yè)主想開始一項新業(yè)務(wù)時,往往希望通過靈活可擴展的方式進行管理。相對于把產(chǎn)品推向市場、投資研發(fā)以及保障資金流而言,成立IT部門顯得并沒有那么重要。由于小微企業(yè)自身內(nèi)部沒有IT基礎(chǔ)設(shè)施,因此大多選擇公有云服務(wù)提供商來供應(yīng)IT服務(wù),從而成為了公有云服務(wù)應(yīng)用的先鋒。對于小微企業(yè)的IT管理者來說,公有云服務(wù)的安全性看起來是可以接受的,甚至比他們內(nèi)部的IT安全做的更好。
但公有云中模糊的信任邊界,使云安全成為了大型企業(yè)CIO應(yīng)用云計算的首要顧慮。這種顧慮源自許多公有云服務(wù)提供商并沒有明確表達信任邊界(例如哪些安全由云計算服務(wù)提供商提供,哪些安全仍然需要由用戶提供),這些新的信任邊界也沒有在SLA中得到補充說明。公有云服務(wù)提供商由于對安全管理流程的治理與實施方面難以提供足夠的透明度,以及確保云計算中的數(shù)據(jù)得到妥善保護,只能把共享責(zé)任安全模型中本該自己承擔(dān)的安全責(zé)任丟回給用戶自行處理。
在這種局面下,相對于將安全運行責(zé)任轉(zhuǎn)移給公有云服務(wù)提供商而帶來對于其SLA及支持企業(yè)內(nèi)部安全管理流程特定功能的依賴,大型企業(yè)則更傾向于搭建一個安全穩(wěn)定的私有云平臺。企業(yè)自建私有云,意味著企業(yè)需要面對各種信息安全威脅:賬號泄露、API安全問題、內(nèi)部員工的惡意破壞、非法用戶對數(shù)據(jù)庫的訪問、授權(quán)用戶的超權(quán)訪問、數(shù)據(jù)泄露、正常網(wǎng)絡(luò)服務(wù)被劫持、黑客網(wǎng)絡(luò)入侵等一系列安全問題。
成熟企業(yè)IT部門通常會使用標(biāo)準(zhǔn)的安全管理框架來應(yīng)對安全問題,如ISO/IEC 27000以及信息技術(shù)基礎(chǔ)設(shè)施庫ITIL服務(wù)管理框架。這些行業(yè)標(biāo)準(zhǔn)的管理框架為治理方案的計劃與實施提供指導(dǎo),以及實現(xiàn)信息資產(chǎn)保護的可持續(xù)管理過程。基于這些框架,企業(yè)內(nèi)部私有云平臺需要關(guān)注的安全管理領(lǐng)域如下:
- 可用性管理(ITIL)
- 訪問控制(ISO/IEC 27002, ITIL)
- 漏洞管理(ISO/IEC 27002)
- 補丁管理(ITIL)
- 配置管理(ITIL)
- 事件響應(yīng)(ISO/IEC 27002)
- 系統(tǒng)使用及訪問監(jiān)測(ISO/IEC 27002)
在每個需要關(guān)注的安全管理領(lǐng)域,都需要企業(yè)IT部門投入相當(dāng)?shù)木沓袚?dān)安全風(fēng)險和挑戰(zhàn)。這個過程中,云平臺廠商對此的支持程度,將會對企業(yè)IT安全管理的透明度及可控度產(chǎn)生直接影響。這時,選擇運營經(jīng)驗豐富、安全體系完善的云平臺服務(wù)商就顯得格外重要。品高云BingoCloud作為國內(nèi)首個自主研發(fā)的商用IaaS平臺,已陪伴國內(nèi)數(shù)十家大型企業(yè)的IT云平臺不斷成長,并在此過程中攜手企業(yè)成功應(yīng)對云平臺的各種安全挑戰(zhàn)。BingoCloud在豐富自身云平臺安全功能的同時,也不斷增強云平臺對于企業(yè)內(nèi)部IT整體安全框架的支持能力。不僅為用戶提供安全穩(wěn)定的基礎(chǔ)架構(gòu)云平臺,也為企業(yè)用戶整體的IT安全流程建設(shè)提供更好的支撐,絕不讓用戶獨自面對云平臺的安全挑戰(zhàn)。
可用性管理
隨著云平臺在企業(yè)內(nèi)部的廣泛應(yīng)用,企業(yè)會把更多關(guān)鍵業(yè)務(wù)應(yīng)用部署在云平臺,這就會越來越依賴于云服務(wù)的持續(xù)可用性。BingoCloud提供的云監(jiān)控服務(wù)(CloudWatch),為用戶提供了實時查看云中各類服務(wù)資源如 EC2 實例、EBS 存儲卷、ELB 負載均衡器的運行情況的方法,并且提供了多種監(jiān)控指標(biāo)供用戶使用,用戶還可以針對指標(biāo)設(shè)置“閾值”。當(dāng)超過“閾值”時會觸發(fā)“警報機制”,報警機制不但支持常見的郵件通知,還可以調(diào)用自動伸縮服務(wù)(Auto Scaling)動態(tài)增長/減少某類應(yīng)用服務(wù)器數(shù)量,從而靈活應(yīng)對應(yīng)用的突發(fā)訪問量,實現(xiàn)BingoCloud中的應(yīng)用負載高可用。
訪問控制
為保障企業(yè)訪問控制的有效性,BingoCloud提供網(wǎng)絡(luò)訪問控制和用戶訪問控制的二維訪問控制。網(wǎng)絡(luò)訪問控制表現(xiàn)為云平臺防火墻策略,這個策略在云平臺的出入口處執(zhí)行基于主機的訪問控制,并對云平臺內(nèi)部的實例進行邏輯分組。支持基于標(biāo)準(zhǔn)TCP/IP參數(shù)的策略實現(xiàn),包括源IP、源端口、目的IP及目的端口等。除此之外,BingoCloud中的用戶訪問控制也會起到關(guān)鍵作用,它是將用戶身份與云服務(wù)資源綁定在一起的重要手段,并實現(xiàn)了細粒度訪問控制、用戶審計、合規(guī)性支持以及數(shù)據(jù)保護等重要業(yè)務(wù)需求。通過強身份認證、單點登錄(SSO)、特權(quán)管理以及云計算資源日志記錄和監(jiān)測,保護云計算中信息的保密性和完整性。
安全漏洞、補丁及配置的管理
不安全的應(yīng)用程序、不安全的操作系統(tǒng)、不安全的網(wǎng)絡(luò)配置等脆弱點,都會給黑客遠程侵入企業(yè)私有云平臺提供機會,令企業(yè)IT部門不堪其擾。為避免給黑客提供可侵入的漏洞,保證系統(tǒng)高效、安全地運行,BingoCloud將底層操作系統(tǒng)定制剪裁,減少不必要的進程和服務(wù),在滿足云平臺所需的最小功能需求的情況下,使系統(tǒng)占用資源最小、穩(wěn)定性更高。除了保障云平臺自身安全性,BingoCloud也為其IaaS/PaaS用戶提供安全標(biāo)準(zhǔn)化鏡像,根據(jù)不同場景的安全需求強化虛擬機鏡像并使其標(biāo)準(zhǔn)化,用戶可以放心地直接使用獲得安全實例。對于操作系統(tǒng)、應(yīng)用程序服務(wù)器、數(shù)據(jù)庫和Web服務(wù)器等不同業(yè)務(wù)資源,BingoCloud則根據(jù)最小特權(quán)和業(yè)內(nèi)公認的最佳實踐進行安裝和配置。
入侵檢測和事件響應(yīng)
入侵和事件管理在企業(yè)信息安全管理域內(nèi)是管理和降低風(fēng)險的關(guān)鍵職能。傳統(tǒng)安全中的入侵檢測系統(tǒng)由于云平臺的網(wǎng)絡(luò)虛擬化特性,無法檢測到虛擬環(huán)境內(nèi)的網(wǎng)絡(luò)通信。為保障企業(yè)對于內(nèi)部IT架構(gòu)的全面監(jiān)測,支持傳統(tǒng)安全工具的引入,BingoCloud的網(wǎng)絡(luò)虛擬化系統(tǒng)應(yīng)用軟件定義網(wǎng)絡(luò)(SDN)技術(shù),通過Openflow協(xié)議可以實現(xiàn)虛擬機網(wǎng)絡(luò)流量的重定向,提供將虛擬網(wǎng)絡(luò)流量引入第三方安全虛擬網(wǎng)關(guān)的能力,實現(xiàn)虛擬化環(huán)境內(nèi)NIDS的部署,以監(jiān)測云平臺內(nèi)部的安全事件。安全事件的響應(yīng)不能靠單一的安全設(shè)備,需要調(diào)動整個數(shù)據(jù)中心的IT能力。為滿足CERT對于安全事件采集的數(shù)據(jù)需求,BingoCloud管理中心收集云平臺各組件的系統(tǒng)日志、安全日志、性能日志等,并提供外部接口支持日志導(dǎo)出第三方安全管理分析工具,為企業(yè)安全事件響應(yīng)和追蹤提供依據(jù)。
大型企業(yè)內(nèi)部的私有云平臺使用戶可以高度掌控及監(jiān)管私有云基礎(chǔ)設(shè)施的物理安全和邏輯安全,為企業(yè)安全管理提供高度的可控性和透明度,更容易實現(xiàn)整體的安全標(biāo)準(zhǔn)、策略及合規(guī)。但同時這也將安全管理和安全維護的責(zé)任劃歸到企業(yè)自身內(nèi)部IT部門。品高在為企業(yè)建設(shè)私有云平臺時,不僅為企業(yè)用戶提供了一個功能強大且商用成熟的云平臺產(chǎn)品BingoCloud,而且為企業(yè)IT部門提供豐富的云平臺安全功能保障以及安全運行實踐,以滿足企業(yè)云平臺的安全管理需求。除此之外,BingoCloud提供廣泛的第三方支持能力可以引入傳統(tǒng)安全手段,以融合企業(yè)現(xiàn)有IT管理框架。因此從這個角度上說,優(yōu)秀的云平臺廠商并不僅僅是云產(chǎn)品的制造者和銷售者,而是陪伴企業(yè)云成長,共同面對挑戰(zhàn)的親密伙伴。