如何準備實施雲計算的網路

雲計算代表著業務功能的巨大變化，對一個機構的IT基礎設施來說更是如此。 沒有人能比網路管理者更能感受這種變化的影響了，因為他們的任務就是保證機構資料和網路使用者的安全。 雖然共用資料、應用程式和IT基礎設施可以在成本和生產效率上帶來顯著的優勢，但是它們都只發生在企業防火牆和實體環境這一理想區域以外。 作為一個網路管理者，你在雲計算實現過程中的任務是，在把資料、應用程式和基礎設施傳輸到雲端之後，仍能確保使用者和資料的安全。 雖然雲服務提供者需要為企業資料安全承擔共同的責任，但最終企業安全的支援者（即網路管理者）要對此負責。 在這篇文章中，我們將針對基礎設施延伸進入雲端的安全性問題，討論如何構建商業網路。 在把任何資料或應用程式移動到雲端之前，必須對內部網路安全現狀進行評估。 這是一個對網路進行檢測的好時機，以此觀察網路防護性能與你的資料策略（包括安全性、完整性和可用性）、法規要求以及行業最佳標準的匹配程度。 這種檢測帶來的好處很多。 使用一個或多個免費商業網絡偵查工具肯定會發現實際情況比理想情況要更糟糕。 一旦這些被更好的安全技術和改進程式所完善，那麼就可以為網路及其它所承載的設備、使用者和應用程式以及它所處理的流量確立一個合理的安全底線。 在今後的檢測和安全配置檢查中可以參考這個底線，從而確定網路安全在轉到雲計算後會受到哪些影響。 其次，這也表明，理解雲服務提供者的安全性原則和程式是很重要的。 關鍵是尋找一個既能夠滿足企業的安全要求，又能與防火牆防護能力相當的安全級別。 為了避免混淆誰將對你資料安全的各個方面（如備份、訪問和資料損壞）負責，我將根據合同，明確應該由哪一方來負責遵守相關政策或標準。 根據雲服務的傳輸方式，防火牆的設置可能需要調整。 為了確保包括周邊防護（如IDS / IPS系統）在內的措施已經得到正確的調整，請與供應商緊密合作，因為供應商肯定具有處理各種可能的網路安全配置問題的經驗。 如果有必要，修改防火牆規則或者開放其他埠，必須確保每次進行這些改動都進行了另外一次網路檢測，從而更新網路安全底線。 可以使用如Nmap這樣的工具來檢查，以確保只有合適的埠被開放，並且沒有任何授權或連接違反了安全性原則。 每當一項新的服務被添加到網路中，必須確保存取權限和職責的充分隔離，防止個人可能有意無意地損壞公司資料。 對帳戶和人力資源雇傭登記的許可權進行審查非常必要，這可以確保許可權仍然適當，而那些不再使用的帳戶也已得到終止。 作為雲計算的一部分，如果你對協力廠商（如，供應商和客戶）開放網路存取權限，那麼任何網路接入控制（NAC）系統組態也必需重新檢查。 要確保當前NAC產品可以應付使用者的急劇增加。 實際上，許多機構仍在尋找基於SaaS的NAC解決方案，從而確保可擴充性和互通性。 因為雲計算的應用會在一定程度上消除靜態資料和動態資料之間的差異，因此資料加密成為最重要的防護手段之一。 本質上，加密的資料是受到保護的，因此即使受到其他服務的保護，所有的資料和通訊都將需要進行加密。 此外，加密的資料不可讀取，減輕了對雲端資料損壞的一些擔憂。 資料加密還允許任務和資料的分離，因為金鑰控制著資料的訪問。 我可能會使用諸如Wireshark這樣的分析軟體對網路進行常規檢查，從而確保通信通道正在被加密。 最後，不要因為第一次開發實驗內部雲和混合雲，而害怕測試網路的安全性。 你可以採用與雲計算供應商相同的方式來提供應用服務，而這只能在網路周邊範圍內進行，或用有限的、非要徑任務的功能來測試雲供應商的實力從而進行實驗。 我還建議你閱讀雲安全聯盟發佈的指南，這將有助於你瞭解雲計算組織主要的關注領域。 然而，為雲計算構建網路只是第一步。 為了使雲計算真正成功，你需要確保當你開始運行雲服務時，你的安全底線仍然能夠得到執行。 你還需要適應和發展防禦和安全技術，以便處理新的威脅。 在下一篇文章中，我們將關注這些挑戰。