管理架构安全网络与服务云计算指南_云技术专区_黑客防线网安服务器维护基地--Powered by WWW.RONGSEN.COM.CN

管理架构安全网络与服务云计算指南

作者:黑客防线网安棋子儿 来源:黑客防线网安网站维护基地 浏览次数:0

本篇关键词:云计算云安全
黑客防线网安网讯:本文表明我们仍处于云计算的早期阶段,这意味着,相关工具和技术还在不断完善中。比方说,经过长达两年的测试后,亚马逊网络服务公司的弹性计算云(Elastic Compute Cloud)服务在去年底才推向市场;监测、管理和负


    这个方面可能会迅速得到改进。谷歌近期表示,Google Apps的安全流程已通过了SAS 70 Type II审计标准。预计会听到更多的提供商宣称自己的安全标准,因为安全仍是导致公司不敢把应用程序转移到云中的一大障碍因素。

    当然,内部信息安全团队不应该坐等提供商来加强安全。从桌面应用程序到服务器托管的各个应用领域,云计算都会变得越来越诱人。需要更高安全级别的应用程序,比如与《健康保险可携性及责任性法案》(HIPAA)或PCI相关的应用程序,可能在云中更难得到保证,因而放在公司内部比较妥当。社区应用程序和内容网站比较适合放在云中。公司的技术团队必须确定把什么数据放在云中不会有问题,但他们也要明白:云最终会是整个基础架构的一部分;还得要自己弄清楚如何把企业系统与云基础架构安全连接起来。
四、网络篇

    一家地区银行在试用成功后决定全面使用Salesforce.com服务,但却没有考虑到以后需要更多的带宽。当员工们的互联网连接突然变得慢腾腾时,这家银行为所犯的这个错误付出了代价。

    网上传输的数据急剧增长,预示着没有投资于更多带宽的公司会面临带宽危机。但带宽不是惟一潜在的网络问题。数据传输距离长会带来延迟问题;而互联网的稳定性不确定,加上服务提供商的数据中心充满未知因素,更是带来了可靠性问题。

    公司只要升级带宽就能缓解其中一些问题。一家医疗公司就把带宽增加了五倍,将后端批事务处理转移到亚马逊网络服务。幸好,带宽价格在不断下跌,但公司仍需要认真规划。

    一些技术有助于评估分析流量,比如Packeteer公司的PacketShaper;大多数防火墙厂商允许客户免费试用30天的报告服务,这种服务可以告诉公司使用了多少带宽。网络集成商GreenPages的首席技术官Mike Healey表示,云服务提供商的带宽要求往往不可靠或很难弄到,所以公司至少应当一方面基于试用数据来评估带宽要求。Healey表示,为了准备好应对高峰需求,公司应当规划确保足够带宽,以便自己的带宽利用率平均不超过75%。
冗余的重要性完全不亚于额外带宽。没有作好故障切换方面的规划“是我们见到客户经常犯下的最大错误,”Healey说。多家电信公司在大多数大城市提供最后一英里的互联网接入服务。

    另外,即使公司升级了带宽,如果云服务提供商最近的那个数据中心远在千里之外,可能也会出现性能减弱的问题。思科首席技术官办公室的技术主管Glenn Dasmalchi说:“人们只谈论连接和吞吐量,但延迟也很要紧,即使在云中也是如此,因为你面对的是分布式环境,客户们需要彼此联系。”

    有些应用程序要求高性能、低延迟,比如用于计算市场风险或把组件结合到组合式应用程序的应用程序。亚马逊在全球各地不但组建数据中心,还组建内容分发网络,一方面就是由于这个原因,之前Akamai或Limelight提供了类似的缓存服务。因此你不妨问问提供商他们是如何减少延迟的。

    如果公司需要更高效的带宽用于云计算,还可以使用负载平衡器。一家软件新兴公司把其大部分基础架构:存储、计算和开发环境转移到了云中,并且投资于10条50Mbps Verizon光纤服务(FiOS)线路,使用一个Radware负载平衡器把带宽聚合成一条相当于500Mbps的线路。由于即将出现广域网优化标准以及云环境和内部部署环境之间的数据密集型通信,Dasmalchi预计广域网优化也会在加速云计算提供商、互联网服务提供商(ISP)和云计算用户之间的流量方面起到作用。

    云计算在带来一些新的网络难题的同时,也能解决其他网络难题。对转移到云中的应用程序而言,网络管理员有望减少改动内部网络体系架构方面的工作量,因为他们只要确保连接至云服务提供商的数据中心就可以了。

    虽然潜在的云服务客户让自己的网络准备好使用这种服务,但也要向云服务提供商询问其网络:谁提供回程链路?连接是否冗余?数据中心建在哪里?Healey说:“最好,你能够看看提供商的网络设计框架。”虽然云服务提供商有义务构建合格的网络,但客户也有必要进行一番准备工作,确保网络稳定可靠。

五、服务合同篇

认真洽谈

    说到合同条款,购买云服务与购买套装软件很不一样。如果是最基本的云计算,只要在网上填几张表格,几乎谁都可以订购及使用服务。不过,大多数公司会希望看到一些针对自己要求的比较正规的许可证协议,这时候情况会变得复杂起来。

    提供商在云服务和SaaS许可证方面通常采用两种方法:按人数收费或按使用量收费。比方说,微软Exchange在线版的收费标准是每个用户每月10美元。其他提供商按交易的事务量或按交换的数据量收费。亚马逊S3存储服务收费标准是,每存储1GB数据收费12至15美分,在美国每传送1GB数据收费10至17美分。有些提供商结合使用了上述两种方法。

    尽管扩展性是云计算的主要优点之一,但公司应当了解这方面有什么限制。Aria Systems为云服务提供商提供计费服务,该公司的首席执行官 Ed Sullivan表示,服务提供商常常根据他们认为的客户支付能力,对最高服务级别加以限制。如果是小公司,可能会限制客户每个月只能使用1万美元的服务。

    对于SaaS,提供商们越来越多地销售捆绑服务,包括从基本到高端的各个版本。微软销售Exchange在线版费用较低的“无电脑工作者”(deskless worker)版本,客户可以使用Outlook Web Access的基本版,无法使用Outlook客户软件。还有免费版的Google Apps以及提供一些商业保障的高级版。

    与任何技术一样,公司购买的SaaS和云计算服务量越大,在合同和价格方面可能得到的优惠就越多。比方说,如果顾客按照微软企业协议(Enterprise Agreement)批量购买服务,微软提供折扣。如果客户使用更多的S3和EC3,亚马逊会少收费。随着云计算更加流行起来,公司开始下更大的单子,提供商们必须在价格方面体现出灵活性。

明确责任

    SaaS和云计算在安全、正常运行时间、性能和稳定性等方面具有一定的不确定性。如果是套装软件,公司内部的IT人员可以自行处理问题。律师Robert Scott为设计许可证条款的提供商和洽谈云服务合同的公司客户同时提供服务;他表示,在云中,公司只能依靠服务提供商来尽量降低风险,这需要在合同中有所明确。

    Scott表示,标准条款往往很少涉及与风险有关的许多重要方面。比方说,如果服务出现了危及财务数据的安全问题,按照美国州或联邦法律,提供商可能需要通知客户,否则会吃官司。Scott问道:“那谁为此买单呢?”

    云服务洽谈非常像外包协议洽谈,在仔细阅读许可证条款时要想到另一方。公司应确保合同条文明确如果决定不继续使用服务、无力支付费用,或者提供商突然关门大吉时,如何要回数据。客户需要知道如何从服务提供商处获得数据;一旦可以访问数据,如何使用数据。

服务级别协议的复杂和限制

    服务级别协议相当于另一块拼图。如果服务停用时间占了当月的一定比例――按服务提供商响应客户的数据请求来衡量,那么大多数云服务提供商会退回一部分费用。凯捷咨询公司的IT产品营销全球主管Warren Ross表示,如果谈妥的服务级别协议要求比较高,这意味着费用不菲,因为如果附以专门的服务级别协议,服务成本变得比较高。

    Salesforce.com等大多数提供商在服务级别协议中不包括计划停机,所以如果提供商告诉你这是计划停机,就拿不到退款。SaaS计费与测量新兴公司eVapt的首席执行官Divakar Jandhyala表示,由于往往存在相当长的计划停机时间,所以服务级别协议的价值就打折扣了。

    尽管如此,服务级别协议变得更过硬,有些情况下变得更复杂,就像当初Web托管服务进入主流那样。微软的Exchange托管过滤(Exchange Hosted Filtering)服务就有五种服务级别协议:分别针对正常运行时间、反垃圾邮件效果、反病毒效果、延迟和性能。

    微软为Exchange在线版和SharePoint在线版提供了多档次服务级别协议。最基本的是承诺99.9%可用性的服务级别协议;如果未达到这个要求,客户每个月可以拿到25%的返额。如果低于99%,客户可拿到50%的返额。要是出现严重停用或病毒爆发,客户可以拿到当月的全额退款。但是许多公司在洽谈服务级别协议时希望将来不用拿退款。如果一家零售商的网站在销售高峰期无法使用,拿到当月费用5%的退款又有什么用呢?

    云计算许可证的其他内容应当包括书面确认服务提供商会满足法规要求、保护知识财产。

    购买云服务的许可证比使用套装软件既简单,又复杂。云服务购买很方便,许多还附带标准的服务级别协议,提供了相当高的保护级别。但为了确保风险和责任的所有方面都兼顾到,就要随时运用那些洽谈技巧,还得备着律师的电话号码。

提防被厂商锁定

    IT人士都很熟悉本公司被专有的编程语言、信息存储方式及其他技术牢牢束缚所带来的后果。

    如果存在开放标准,多少可以减少将来迁移成本高、难度大的可能性。但要是几乎没有标准――目前的云计算就是这样,万一有必要换提供商,切换成本就会相当大。

    数据是最让人担心的问题之一。内部部署系统对于应用程序如何保存数据、保存在哪里有更大的控制权。而对于基于云的系统,特别是“交钥匙”解决方案,数据模式都是针对特定解决方案的。因为可以从某个云下载数据,所以数据是否会很容易迁移到竞争对手的平台上呢,这是个问题。

    源代码可能是另一个问题,尤其是对云中的平台而言。对于实际代码和云中开发的任何表单,是否可以在其他地方重复使用?还是需要改写?Sun的Project Caroline首次亮相时,人们对它期待的功能之一就是可以运行Java代码的可扩展云。虽然没有提到数据保存在哪里,但Java的优点之一就是移植性――不但能移植到内部部署解决方案,还能移植到其他环境,比如在亚马逊弹性计算云中运行的Java应用服务器。

    如果使用虚拟化技术,就会出现另一种可能的厂商锁定。如果你的“系统”得到虚拟化的支持,就要认识到不是所有虚拟化技术天生都一样,这点很重要。

    许多提供商主张使用虚拟机结合内部部署计算与云计算。比方说,在本地对服务器进行虚拟化处理,然后把它们迁移到云中。但目标云支持你选择的虚拟化技术吗?在这个领域,标准的匮乏已造就了像rPath这些帮助不同平台消除差异的专业公司。
    黑客防线网安服务器维护方案本篇连接:http://www.rongsen.com.cn/show-7445-1.html
网站维护教程更新时间:2012-02-13 03:59:41  【打印此页】  【关闭
我要申请本站N点 | 黑客防线官网 |  
专业服务器维护及网站维护手工安全搭建环境,网站安全加固服务。黑客防线网安服务器维护基地招商进行中!QQ:29769479

footer  footer  footer  footer