1700426082
1.这项服务是否可以从其他地点获取?
1700426083
1700426084
2.当你想要使用时,它是否已经准备好?
1700426085
1700426086
3.是否会因维护安排而在特定时段无法使用?
1700426087
1700426088
4.如果运行服务的云平台发生故障,需要多长时间才能修复?
1700426089
1700426090
5.修复后,是否会有数据丢失,如有,丢失的是多长时间内的数据?
1700426091
1700426092
后两项的衡量指标分别为恢复时间目标(Recovery Time Objective, RTO)和恢复点目标(Recovery Point Objective,RPO),两者都是以小时、分钟等时长作为单位。第三项与停机时间相关,一般以百分比表示,计算公式如下:
1700426093
1700426094
可得性百分比=100×(一段时期内的停机时长)/(一段时间的总时长)
1700426095
1700426096
列表中的前两项无法量化,但应在你和云服务供应商签署的合约中明确。服务层级协议中应当明确可得性的量化指标,并作为与云服务供应商之间协议的一部分。
1700426097
1700426098
CIA或帕克六要素中每项都能用数值来表示其严格性,比如1代表较不严格,2代表中等严格,3代表非常严格,等级的划分可能是非线性的。以可得性为例,等级1中RTO和RPO均为24小时;等级2中RTO为24小时,RPO为1小时;等级3中RTO为1小时,RPO则为0。假如你需要RTO为24小时,RPO为2小时,则可以选用本例中的等级2,即符合要求的最低等级。同样,如果你对保密性和完整性的要求分别为等级1和等级3,则你的安全性要求在CIA体系下就可以表示为1-3-2。你也可以用帕克六要素来表达安全需求,比如2-3-2-1-3-1。
1700426099
1700426100
加强安全
1700426101
1700426102
一次IT安全事故可以由上述帕克六要素来表述,这些要素具有两个特性:不可分割、互不重叠——不可分割意味着它们无法切分为更小的组成部分,而互不重叠是由于它们指向信息安全中的特定方向。我们对IT安全的定义会引出一系列追问:由谁定义哪些行为属于按意图使用或非恶意使用?如何确定数据对安全性要求的高低?谁在使用数据,是哪些数据?处理数据需要用什么系统?数据在何处及如何储存,如何被系统调用?我们按最优做法来尝试回答这些问题。
1700426103
1700426104
云服务的用户可以是自然人、流程、应用程序或运算设备之类的系统,应援前来解决问题的技术支持人员也被归类为用户。如果跟踪数据流轨迹,可以看到数据从用户处产生,通过网络到达安装了软件的运算系统,该系统对数据进行处理,并将其保存在硬盘等存储设备,然后在备份设备中进行备份,一段时间后最终归档到档案系统中。标出处理数据的节点和基本信息,分别为用户、运算系统、软件、存储设备、备份设备、档案系统。从用户角度出发,这整个数据通路都应接受安全防护,而用户对隐私、数据完备性、安全性的要求则是其他要素对应的安全指标。
1700426105
1700426106
下面以归档流程为例,说明数据通路中的安全防护安排。档案系统需要以安全方式存储数据,防止来自未经授权用户的访问,而即使他们获得了访问路径,也无法解读加密信息。同样,备份过程也应以安全方式进行,数据从备份系统向档案系统转移的过程亦是如此。上述数据通路中的任一节点都必须共用相同的安全特征,这些安全特征以CIA或帕克六要素来表示,并与用户要求相符。由于数据从一个节点到另一个节点的过程需要受到保护,因此完成数据传输的通道也必须安全。
1700426107
1700426108
安全容器(Security Containers)
1700426109
1700426110
云计算环境中,所有为某一特定用户服务、安全特征相同的节点就具有同一安全边界。边界内的运算节点彼此信任,而安全边界形成的环境就称为安全容器,因此无须再为接触数据的各个节点分别定义安全边界,而通常采用分区段方式创建一个容器,其中包含所有共享安全属性的节点。鉴于信息通过网络传输,因此通常将这一区段置于网络层上。具体做法是在物理网络上建立多个虚拟网络,每个容器各自使用内部虚拟网络,从而令其他容器(处于外部)无法访问其内部数据。为进入某个特定容器,一般要经过三个安全程序:识别、认证和授权。
1700426111
1700426112
识别是指确认用户的身份,其中的用户是指希望连接到云或其安全容器的自然人、应用程序、系统或“物”。
1700426113
1700426114
在用户识别完成后就可以进入认证程序。认证用于判断用户是否为合法用户。常见的依据为你持有的证物或所知的信息,持有的证物可能是智能卡、指纹、语音等,而所知的信息可以是密码或个人标志号码(personal identification number, PIN)。
1700426115
1700426116
授权是确认可由已认证用户运行的任务,按照已认证用户在云计算环境中的角色,确定赋予其何等权限。授权一般在认证环节完成后进行。因此,识别程序询问“你是谁”,认证程序询问“你确实是你自称的人吗”,而授权程序则会询问“你在云计算环境中被允许做什么”。
1700426117
1700426118
云计算用户的一个共同关注点是云端数据可能会被存储在用户居留国以外的国家,这关系到被存储数据的司法或监管管辖区。如果数据被盗用,应该适用哪一国家的法律或数据保护机制?这一顾虑十分现实,因为云计算的弹性特征允许数据存储等计算资源随处移动。也就是说,云系统可能在一个国家运行,而用户来自于另一个国家。为解决这一难点,我建议在定义安全容器时,除了CIA或帕克六要素,再增设一项管辖区特征。即数据分区并不仅限于数据中心内部,而是发生在提供云服务的任意区域,其中隐含的假设是安全容器使用虚拟广域网,而不是虚拟局域网。这样就可以在CIA或帕克六要素中加入“管辖区”(jurisdiction)的首字母J,并按照法律或监管的要求界定其含义。
1700426119
1700426120
监控
1700426121
1700426122
检测安全漏洞的第一道防护机制是防火墙。每一个安全容器的边界内都会放置数道防火墙,云本身作为一个安全容器,还具有一道外部防火墙。在一类较为少见的情形中,安全容器内还嵌套有安全容器,数据流需要穿过重重防火墙才能进入。防火墙通过内置规则判断哪些数据可以通过,哪些则会被拦截。如果有人试图进入安全容器并被防火墙拦截,你就能收到通过邮件或监控日志发出的警告。不过一个安全系统包含的部件并不止这一种,除防火墙外还有用户认证与识别、入侵监测与防护,以及反病毒、反木马工具等基于用户的安全设施。在适当的配置下,此类系统会持续跟踪用户和对用户提供的服务与数据,并生成日志。由于日志内容会飞速增加,不可能依靠人工查阅,因此需要使用软件来分析服务器与防火墙日志,作为监测可疑活动的第一步工作。
1700426123
1700426124
第二道防线位于用户认证与识别阶段。如果某个用户或在某项服务中多次尝试登录失败,监控工具就会向云系统管理员发出警告,如果是自动运行的工具,还会阻止该账户或对该项服务的继续登录。此外,如果某一数据流试图使用未授权给该用户的服务,或试图提取该用户正常情况下不需要的数据,就会被判定为可疑,并通过入侵检测系统(intrusion detection system, IDS)进行分析与上报。
1700426125
1700426126
第三道防线位于客户处,因为客户端设备本身也需要防范恶意入侵,以免用户的登录数据被盗用去获取云服务。通常的方式是在用于接入云服务的客户端设备中安装反恶意软件,包括反病毒、反欺骗、个人防火墙和防信息记录追踪(cookies)。大多数情况下,云服务供应商都无法监控或配置此类终端设备,但如果使用的是瘦客户端或零客户端,就可以通过中央管理的操作系统来避免这一薄弱环节。
1700426127
1700426128
数据完整性
1700426129
1700426130
假如你把一封记载着重要信息的信件放在保险箱里,然后把保险箱埋在一个没人知道的地方,信息安全(或说IT安全)问题并未得到解决,而仅是被掩盖了。但如果你把信件放在保险箱里,然后寄给别人,从而只有收信人可以读到其中内容,这就是以安全方式传递了信息。那么如果保险箱被人截获,可能发生的情形包括以下三种:(1)截获者持有或控制了信件,让你或收信人都无法取得;(2)截获者阅读了信件,并利用其中的内容完成自己的目的(比如窃取你的身份信息,伪装成你或侵入你的电脑系统);(3)截获者偷换了信件,把假信息寄给了收信人。数据完整性意在保证通信渠道及渠道中所传输数据的安全,避免上述三种情形的发生。
1700426131
[
上一页 ]
[ :1.700426082e+09 ]
[
下一页 ]