云计算实战：如何管理云端敏感数据

如今云计算非常火，但在你把关键的业务系统外包到云端之前，不妨先审视安全方面的一些问题。

最关键的业务应用程序处理许多公司的人力资源、财务、信用卡及其他敏感数据。如果任何这些信息受到危及，就有可能缠身官司，贵公司的品牌形象就会受损。这个恶梦可能会导致客户避免购买贵公司的产品或服务。那么，云计算如何能够切实有效地保护敏感数据呢?

要把你的应用程序积极有效地推向云端，就要解决好以下三个方面：

- 建立第二层防火墙保护机制(深度防御);

- 分析应用程序的说明文档，查明防火墙规则方面的新变化;以及

- 收集系统和应用程序的元数据，以便实现平滑迁移。

不妨先从深度防御开始说起。

首先，应当把敏感数据放在主企业防火墙后面的第二层防火墙段。这第二层防火墙和相应网络把敏感的应用程序及其数据保护起来，以免万一面向互联网的防火墙被突破后，很容易被人访问。比如说，不妨看一下杂货店。至少部署四个防火墙段/网段是明智之举：一个段用于保护人力资源数据，一个段用于保护财务数据，一个段用于保护信用卡PCI(支付卡行业)数据，还有一个段保护其他段共享的服务。含有共享服务的段可能含有常用的支持服务，比如网络和系统管理、加密和公钥基础设施(PKI)功能、访问控制服务以及安全事件管理功能。

保护企业避免内部窃取数据的另一层架构机制就是建立隧道访问协议(Tunneling Access Protocol)。隧道访问协议是一种访问控制功能，迫使所有管理员在针对段内系统执行管理任务之前，把相关信息记入日志。因此，所有管理员访问都被跟踪，从而防止内部窃取信息。

需要解决的第二个方面是，需要进行分析，确保应用程序成功迁移到云端的第二层防火墙后面。我建议先从了解应用程序的设计文档入手。设计文档让你全面了解哪些业务需要应用平台、使用什么中间件、使用什么数据库以及使用什么协议。它还常常含有逻辑架构。

关注与应用程序交互的所有系统显得很重要。你的安全团队会收集有关该应用程序的各种信息：什么数据是敏感数据、哪些工具如何用来加密数据;如果这是面向互联网的应用程序，还有渗透测试结果。我还建议制作一份协议图，表明所有服务器及其IP地址、所用的协议以及所用的协议(TCP或UDP)端口。这份网络视图具体表明了哪些服务器需要彼此通话，为此它们将使用哪些协议(端口)。未必要列入交换机、路由器及网络基础架构的其他组件，因为协议/端口就在它们上面运行。如果协议图全面详细，创建防火墙规则应该是很简单的一个步骤。防火墙规则由源和目的地IP地址、所用协议以及在这些协议上运行的端口组成。

最后，我建议全面收集系统和应用程序的元数据。想成功移植应用程序，就需要做好这项工作。另外，如果你遇到了灾难、业务中断或想从云端撤下应用程序，就需要这些数据。每个防火墙段/网段都有相应的系统信息。所有应用程序共用相同的系统数据，比如相同的防火墙、路由器、交换机、加密算法(如果用于某个段中的所有应用程序)和存储子系统。系统元数据包括厂商、型号、软件版本及其他系统级配置数据。应用程序数据很相似，但它面对的是负载均衡器、加密方法、中间件、数据库、服务器硬件和操作系统，以及在这些系统上运行的服务、协议和端口。应用程序元数据包括厂商、型号、软件版本及其他应用程序配置数据。

下一个争论的焦点是这些元数据应该存放在哪里。我建议把这些信息采用层次结构存放在轻型目录访问协议(LDAP)存储库中。我会在该目录中建立两个层：一个层名为段系统(Segment System)，针对上述例子四个段中的每个段;后一个层名为应用程序(Application)，面向某个段中的所有应用程序。这种结构能够有系统性地收集所有元数据，以便敏感的云应用程序能够快速部署。而最重要的是，它能够把应用程序及/或段迅速部署到云端。

总之，迁移关键的云应用程序需要把数据放在第二层防火墙后面。常用服务存在于所有分段应用程序都能共享的其中一个段中。应用程序应根据所保护数据的类型，比如信用卡数据、财务数据、人力资源数据以及共享服务，放在不同的段中。应编制及/或审阅各种说明文档，确保在第二层深度防御防火墙后面移植应用程序的工作顺利进行。这些元数据是从分两层的层次结构中收集而来的：按段划分的常用系统，以及每个段中的不同应用程序。我建议将元数据保存在容易检索的目录中。