保護云遷移數據安全及最佳實踐

      云計算可以增強協作，提高敏捷性、可擴展性以及可用性。還可以通過優化資源分配、提高計算效率來降低成本。目前，業界已經能夠為企業提供諸如IaaS、PaaS、SaaS的典型云計算服務以及公有云、私有云等部署模式，并且，Amazon、微軟、華為、浪潮等已成為云計算的服務提供商。

　　保護遷往云和在云內遷移的數據

　　在公共云和私有云部署方案中，無論什么服務模型，保護數據傳輸都是非常重要的。這些數據傳輸過程包括：數據從傳統基礎架構遷移到云供應商中，包括公有與私有之間轉移，內部與外部之間轉移，以及其他各種組合;數據在云供應商之間的遷移;數據在既定的云內實例間(或者其他組件之間)遷移。

　　有如下三種方式可以對上述傳輸過程中的數據進行安全保障：

　　客戶端/應用程序加密。數據在終端或服務器端先加密，然后再通過網絡傳輸，或者在已經以恰當的加密格式存儲。這既包括本地客戶端(代理模式)加密機制(例如，針對存儲文件)或者集成在應用程序之中的加密機制。

　　鏈路/網絡加密模式。標準的網絡加密技術包括SSL、VPN和SSH。既可以是硬件加密，也可以是軟件加密。

　　基于代理的加密。數據通過一個代理設備或服務器進行傳輸，數據在網絡傳輸前完成加密。通常都是將代理加密機制整合到原有的應用程序中。

　　云計算環境數據安全最佳實踐

　　在實際的應用過程中，企業可以遵循如下的24條最佳實踐來保障云計算環境中的數據安全：

　　1、理解所采用的云存儲架構，有助于確定安全風險和可用的控制措施。

　　2、如果可能的話，選擇支持數據離差技術的云存儲。

　　3、使用數據安全生命周期DSL來識別易受攻擊的安全，以確定最合適的控制措施。

　　4、使用DAM 和FAM監測內部核心數據庫和文件庫，識別能夠表明數據向云中轉移的的大數據遷移。

　　5、使用URL過濾和(或)DLP工具監測員工的互聯網訪問，來識別是否敏感數據遷移。選擇可對云服務作預分類的工具，并通過過濾規則阻斷非授權行為。

　　6、所有敏感信息移入云或在云內傳輸時，應在網絡傳輸前的網絡層或者節點側進行數據加密。這一建議適用于所有的云服務和部署模型。

　　7、使用任何數據加密機制時，應特別注意密鑰管理。

　　8、使用內容發現機制來掃描云存儲，并識別已泄漏的敏感數據。

　　9、加密IaaS中的敏感卷，來限制因為快照或未授權管理員訪問導致的信息泄露。至于采用何種技術依賴于具體的操作需要。

　   10、采用文件/文件夾或客戶端/代理加密機制加密對象存儲中的敏感數據。

　　11、加密平臺服務PaaS應用和存儲中的敏感數據。通常情況下應用層加密機制為首選，因為幾乎沒有云數據庫支持原生加密機制。

　　12、當使用應用加密時，密鑰無論如何必須存放在應用系統外面。

　　13、若軟件服務(SaaS)需使用加密，應盡可能使用可提供原生加密機制的供應商;若無該工具或必須到規定信任等級，則可使用代理加密機制。

　　14、使用DLP來識別云部署的敏感數據泄漏，這種情況僅對基礎設施服務(IaaS)適用，這對其他公共云供應商均不適用。

　　15、使用數據庫活動監測工具(DAM)來監控敏感數據庫，并對違反安全策略的行為進行告警。

　　16、當交付的基礎設施或應用在正常訪問敏感用戶信息時，應考慮對可能的泄漏采取私有存儲保護機制。

　　17、謹記絕大多數數據安全缺陷都源自于應用程序極為脆弱的安全性。

　　18、云供應商不僅應當遵循這些實踐，并且為用戶發布數據安全工具和配置選項。

　　19、無論是合同到期或其他原因，應在SLA中詳細說明如何從云供應商中轉移數據，必須包括用戶賬號刪除，從主/冗余存儲中遷移或刪除數據，遷移密鑰等。

　　20、使用數據安全生命周期來識別安全易受攻擊點，從而確定最合適的控制措施。

　　21、考慮到潛在合規的、合約方面的以及其他法律方面的問題，應充分理解邏輯和物理數據。

　　22、在網絡層或傳輸前在節點加密所有傳輸的敏感信息。

　　23、加密基礎實施中的敏感卷，限制因快照或非授權訪問的信息泄露。

　　24、在平臺服務應用和存儲中加密敏感信息。