获得对云中的数据安全的自信-云计算-火龙果软件工程

获得对云中的数据安全的自信

作者 Walid Rjaibi，火龙果软件发布于 2014-10-14

2847 次浏览

IBM BLU Acceleration for Cloud：一个用例

本教程将揭开云安全的神秘面纱，为您提供自信地采用云的技巧。了解云安全如何成为云服务提供商与客户之间的共享责任。文中探讨了每一方的责任，还演练了一个涉及 IBM BLU Acceleration for the Cloud 的数据安全用例。在满足某种标准时，客户可以实现相当于或优于他们可在现场实现的数据安全的安全性。

简介

公共云向寻求竞争优势的企业提供了许多好处。成本节省、弹性和可伸缩性促使更多企业采用公共云。最近的一份 Gartner 报告预测，公共云服务市场的价值到 2017 年将超过 2440 亿美元。

直到最近，公共云主要用于非任务关键型功能中，比如测试和开发。尽管存在一些在实际生产工作负载中使用公共云的成功案例（例如 Netflix 对 Amazon Web Services 的使用），但由于安全性和合规性担忧，大多数企业仍对委托其敏感数据和任务关键型功能保持谨慎。

安全性和合规性担忧属于法律问题。但是，我们发现这些担忧从某种程度上讲是由于缺乏与云安全相关的明确性和最佳实践而造成的。这并不奇怪，因为存在不同的云计算模型，每种模型有不同的预期和需求。而且不是所有云服务提供商都是以相同方式创建的。一些提供商最初主要专注于可伸缩性、易用性和可访问性，然后才开始关注安全性。另一方面，其他提供商一开始就拥有内置的安全性和战略优势。

在本文中，我们将了解公共云中的数据安全 — 特别是存储在 IBM BLU Acceleration for Cloud 数据仓库和分析环境中的数据。本文还会讨论以下内容：

1.如今的云服务提供商所提供的云计算模型

2.云安全

3.一个 IBM BLU Acceleration for Cloud 用例

云计算模型

对云安全的讨论需要理解云计算模型，因为每种模型具有不同的预期和需求。在其专门刊物 SP 800-145 中，美国国家标准与技术研究院 (NIST) 定义了 3 种云计算模型，如下所示：

软件即服务 (SaaS)

使用者使用提供商在云基础架构上运行的应用程序。各种客户设备可以通过一个瘦客户端接口访问应用程序，比如 Web 浏览器（例如基于 Web 的电子邮件）或程序接口。使用者不用管理或控制底层云基础架构，包括网络、服务器、操作系统、存储，甚至是各个应用程序功能，这方面的一个例外可能是需要执行特定于用户的有限的应用程序配置设置。SaaS 提供商示例包括 Salesforce.com 和 Google。

平台即服务 (PaaS)

使用者可以在云基础架构上部署使用者创建的应用程序，或者所获取的使用提供商支持的编程语言、库、服务和工具创建的应用程序。使用者不用管理或控制底层云基础架构，包括网络、服务器、操作系统或存储，但能够控制部署的应用程序和应用程序托管环境的可能的配置设置。PaaS 提供商示例包括 IBM Bluemix? 和 Microsoft? Windows? Azure。

基础架构即服务 (IaaS)

使用者拥有在他们部署和运行软件的地方配备处理、存储、网络和其他基础计算资源的能力，包括操作系统和应用程序。使用者不用管理和控制底层云基础架构，但能够控制操作系统、存储、部署的应用程序，并可能有限地控制少数网络组件（例如主机防火墙）。IaaS 提供商示例包括 IBM SoftLayer 和 Amazon Web Services (AWS)。

图 1 显示了 3 个云计算模型中云服务提供商管理的内容和客户管理的内容。

图 1. 云计算模型

该图显示了云计算模型

揭示云安全

采用任何云计算模型，都需要考虑 3 个安全领域的问题：

1.身份，包含用户识别、访问管理和授权。

2.保护，涉及基础架构、数据和应用程序的保护和可用性。

3.洞察，指获取用户活动、威胁智能和合规性的洞察。

客户安全目标

客户的主要安全目标通常反映了他们在采用云时的职责。表 1 总结了每种云计算模型的这些目标，提供了满足这些目标所需的安全功能的示例。

表 1. 客户安全目标

共享安全责任

对于云安全，要认识到的最重要的一点是，部署在公共云上的任何客户工作负载的总体责任在客户与云服务提供商之间共享。在将工作负载迁移到公共云之前，理解安全职责的划分对客户非常重要。云服务需要提供商展示认证和审计报告，确认其安全责任共享情况，这对客户同样至关重要。

云服务提供商的职责

云服务提供商的职责首先是物理和环境安全。毕竟，云服务提供商操作着一组数据中心。要考虑的重要方面包括员工的物理访问、火灾检测和控制、电力连续性、服务器和其他硬件设备的气候和温度控制，以及解除配置的存储设备的数据清理。图 2 展示了典型的云服务提供商的安全职责。

图 2. 云服务提供商的安全职责

该图显示了云服务提供商的安全职责

下一个级别的职责是网络安全，包括防火墙和其他网络安全设备，用来监视和控制网络的外部边界上和网络内的战略性内部边界上的通信。这意味着防御传统的网络安全问题，比如分布式拒绝服务 (DDoS) 攻击、未授权的端口扫描、数据包嗅探和 IP 欺骗。网络安全还包含保护客户组织与云服务提供商之间的数据传输。示例包括将数据上传到对象存储，比如 IBM SoftLayer 上的 SWIFT 或 AWS Simple Storage Service (S3)。在这种情况下，通常使用安全套接字层 (SSL) 来防止窃听和篡改。

更高级别的责任依赖于客户采用的云计算模型。例如，如果客户采用 IaaS 模型，那么云服务提供商的职责将止于虚拟机管理程序级别。以下是两个领先的公共云提供商所采用的模型：SoftLayer 和 AWS。如果客户采用 PaaS 模型，那么云服务提供商的职责将延伸到额外的安全领域，比如身份和访问管理、数据安全，以及漏洞管理。如果客户采用 SaaS 模型，那么云服务提供商的职责将进一步扩展，包含应用程序漏洞测试和修补。

要说服客户放心地采用云服务，云服务提供商必须获得安全认证，并分享证明其云服务的安全性的审计报告。基本上讲，云服务提供商必须证明，云 IT 基础架构是使用安全最佳实践和行业标准而设计和管理的。证明这一点的最佳方式是通过认证，比如 ISO 27001、联邦信息安全管理法案 (FISMA)、联邦风险和授权管理项目 (FedRamp)、支付卡行业数据安全标准 (PCI DSS)、SOC、云安全联盟 (CSA)、服务组织控制报告 (SOC2, SOC3) 和安全港协议。SoftLayer 和 AWS 分别在 SoftLayer Cloud Security 和 AWS Security Center 上发布了其安全声明。

客户的职责

客户的首要职责是理解他们打算迁移到云的工作负载的风险概况并鉴定其资格。选择将证明其云服务的设计和管理与安全最佳实践和行业标准一致的云服务提供商时，需要执行尽职调查。这包括有关 IT 基础架构的高可用性和客户数据将实际存储的位置的咨询。例如，如果客户的数据不得离开某个地理位置，或者不得位于某个特定的地理位置，那么客户必须获得将根据其地理要求来存储数据的保证。

客户应考虑通过执行技术控制来满足安全、隐式和合规性需求的职责。这些职责从云服务提供商的职责结束的地方开始。它们也依赖于使用的云服务模型。例如，如果客户采用 IaaS 模型，那么他们需要全面负责他们部署在所配备的基础架构上的任何功能。这包括管理用户对工作负载和系统管理职责的访问；保护工作负载，比如操作系统加固、数据库加固、存储加密和主机防火墙；监视和合规性报告。另一方面，如果客户采用 PaaS 模型，则需要确保他构建的应用程序是安全的。这包括管理用户对应用程序的访问，应用程序安全测试和数据加密，以及监视和合规性报告。如果客户采用了 SaaS 模型，那么客户的职责将包括管理用户对 SaaS 应用程序的访问、数据令牌化，以及监视和合规性。

为了满足安全、隐私和合规性需求，客户可以采用他们引入云中的技术控制，他们也可以使用来自云的服务。例如，使用 IaaS 模型的客户可选择使用 IP 表或利用云服务提供商所提供的解决方案（比如 AWS 上的安全组概念），加固一个部署在所配备的基础架构上的 Linux? 操作系统。类似地，客户可选择带来并部署一个虚拟设备，比如 Guardium? Database Activity Monitoring，以便保护部署在配备的基础架构上的数据库。另一个示例是 PaaS 客户利用来自云的应用程序安全扫描服务，扫描应用程序中的安全漏洞。

IBM BLU Acceleration for Cloud：一个用例

IBM BLU Acceleration for Cloud 是一个专门通过云提供的数据仓库和分析环境，最初是在 SoftLayer 和 AWS 上提供。BLU Acceleration for Cloud 是一个综合性软件堆栈，包含部署在云提供商的基础架构上的 Linux Red Hat 操作系统。

了解有关 IBM BLU Acceleration for Cloud 的更多信息：它适合任何人的数据仓库和分析。

下面这个用例涉及到一种 IaaS 模型，其中 BLU Acceleration for Cloud 是部署在基础架构上的工作负载。例如，在 AWS 上，BLU Acceleration for Cloud 可以在市场上以 Amazon Machine Image (AMI) 的形式提供。在客户购买 AMI 后，可使用该产品来实例化一个新的虚拟机。在 SoftLayer 上，BLU Acceleration for Cloud 可用作 Flex Image，客户可以选择是将它部署在虚拟机上还是裸机上。裸机部署拥有额外的优势，包括与其他租户完全隔离和更可预测的性能。

系统架构

图 3 显示了 BLU Acceleration for Cloud 的系统架构，它包含以下组件：

1.DB2 BLU — 具有 BLU Acceleration 特性的 IBM DB2 数据库系统。

2.Web 控制台 — 系统的总体管理控制台。

3.LDAP 服务器 — 一个管理用户和组的嵌入式 OpenLDAP 系统。

4.Cognos— IBM Cognos Business Intelligence (BI) 软件。

5.工具 — 一组可下载的工具，包括驱动程序、InfoSphere? Data Architect (IDA)、IBM Data Studio 和 Cognos Framework Manager (FM)。

6.仓库包 — 物理数据模型和示例报告，用于加速数据仓库项目的实施。包含的包包括 Customer Insight、Supply Chain 和 Market and Campaign。

图 3. BLU Acceleration for Cloud 系统架构

该图显示了 BLU Acceleration for Cloud 系统架构

BLU Acceleration for Cloud 还集成了外部存储系统。例如，在 AWS 上，它集成了 AWS Elastics Block Store (EBS) 来持久存储数据。它还集成了 AWS Simple Storage Service (S3) 来存储数据库备份镜像。类似地，BLU Acceleration for Cloud 集成了 SoftLayer SWIFT 对象存储。

使用 BLU Acceleration for Cloud

使用云提供商的配备界面配备 BLU Acceleration for Cloud 后，客户可以按照以下方式使用 BLU Acceleration for Cloud：

客户连接到 BLU Acceleration for Cloud 数据库并创建自己的仓库模式。

客户将数据上传到其 BLU Acceleration for Cloud 数据库。这可以通过许多方式来完成。例如，客户首先将数据转移到云提供商的对象存储（比如 SoftLayer SWIFT 或 AWS S3），然后将该数据从对象存储转移到 BLU Acceleration for Cloud 数据库。底层 DB2 数据库系统已扩展，允许客户将数据库备份到 S3 或 SWIFT，并从 S3 或 SWIFT 将数据加载到 DB2 数据库。

客户将其应用程序连接到 BLU Acceleration for Cloud 数据库，像使用现场数据库一样开始浏览数据。客户也可以登录到管理控制台，以便添加用户，分配角色或执行其他管理任务。

内置的安全功能

回想一下您就会想起，BLU Acceleration for Cloud 是一种 IaaS 用例，所以客户负责保护所配备的基础架构上的 BLU Acceleration for Cloud 部署。为此，BLU Acceleration for Cloud 提供了丰富的内置安全功能来帮助客户满足安全、隐私和合规性需要。内置的安全功能包括：

用户管理

BLU Acceleration for Cloud 用户在嵌入式的 LDAP 服务器中管理。可以配置一些内部系统组件，比如 DB2、Cognos 和 Web 控制台，通过嵌入式 LDAP 服务器来执行用户身份验证。跨这些组件的 SSO 也受到支持。用户管理是通过 Web 控制台界面来执行的。

基于角色的访问控制

创建用户时，会为他们分配一个特定的角色，这个角色确定了对系统的访问级别：管理员、开发人员或用户。

行级访问控制

通过限制用户在给定表中能访问行，使用户能够执行更强的安全策略。例如，如果某个表包含员工数据，那么客户很容易设置一条规则来限制员工仅能访问自己的数据或其下属员工的数据。

动态数据屏蔽

通过限制对给定表中的敏感列的访问，允许客户执行更强的安全策略。例如，如果一个表包含社会安全编号 (SSN) 列，客户很容易设置一条规则，要求在未授权的用户访问该列时返回一个屏蔽的值，而不是返回实际的 SSN 值。

可信上下文

允许客户在用户行使特定特权时进行进一步限制。例如，客户很容易实现一条规则，仅允许从给定 IP 地址连接到数据库。对于三层应用程序，可信上下文允许中间层的应用程序向数据库声明最终用户身份，该声明可用于访问控制和审计用途。

静止数据加密

配备一个 BLU Acceleration for Cloud 系统时，客户可以选择表明是否加密数据库。默认设置为加密数据库。加密使用具有密码分组链接 (CBC) 模式和 256 位密钥的高级加密标准 (AES)。加密和密钥管理对应用程序和模式是完全透明的。

配备时，客户可以选择指定主密钥旋转周期。默认值为 90 天，但客户可以选择不同的值。主密钥旋转是自动和透明的。数据库和表空间备份镜像会自动压缩和加密。对于在线数据，备份镜像也是使用 CBC 模式和 256 位密钥的 AES 加密的。数据首先被压缩，然后才被加密。这一点特别重要，因为如果调转此顺序，那么压缩率将没有任何意义，因为根据定义，加密会删除任何模式。

移动数据加密

支持使用 SSL 来保护数据库流量以及 Web 控制台流量。

审计

允许客户实现审计策略来让用户对齐操作负责，跟踪任何恶意活动。

强有力的安全和隐私，需要在数据栈的每个级别上实现保护。内置的功能包括：

Linux 加固

BLU Acceleration for Cloud 采用了主机防火墙来保护监听服务，防止端口扫描和其他网络安全威胁。这样，只会打开必要的 TCP 端口 — 用于 DB2 实例、Web 控制台、Cognos BI Web 控制台和安全 Shell (SSH) 的端口。在 AWS 上，BLU Acceleration for Cloud 利用 AWS 安全组概念来实现主机防火墙。在 SoftLayer 上，BLU Acceleration for Cloud 利用 IP 表概念来实现主机防火墙。

DB2 加固

DB2 数据库在配备时会自动加固。与数据库的 CONNECT 授权会从 PUBLIC 撤销，目录表和视图上的 SELECT 特权会从 PUBLIC 撤销。AUTHENTICATION 数据库管理器配置参数设置为 SERVER_ENCRYPT，这意味着用户身份验证凭据绝不会以明文形式在用户应用程序和数据库服务器之间传输。这些凭据在网络上传输时会自动使用 AES 256 加密，无论是否使用 SSL。

Web 控制台限制性接口

非管理用户无法调用管理功能，因为根据设计，Web 控制台不会向非管理角色成员的用户显示管理特性。

Guardium Database Activity Monitoring

尽管上面讨论的内置安全功能对许多客户已经足够，但您还可以添加自己的数据安全解决方案。例如，Guardium Database Activity Monitoring 允许您将安全保护提高到更高水平。Guardium 在保护全球许多大型企业的任务关键型数据库上取得的成功已经证明，借助 Guardium，客户可满足甚至最严格的安全需求。一些重要的 Guardium 功能包括：

职权分离

Guardium 服务器可以部署在一个具有独立的管理员的独立主机上，在安全管理和数据库管理之间实现物理性的职权分离。Guardium 服务器可以部署在云上，甚至可以部署在现场，只要有这么做的需要。

实时监视和提醒

Guardium 持续监视进出数据库的所有流量，根据安全策略实时采取相应的措施。这对通过立即检测入侵和滥用来限制安全暴露至关重要。例如，连续的登录可能表明有人在尝试暴力破解数据库。Guardium 安全策略支持 3 种类型的规则：

访问规则，应用于客户的数据库请求。根据具体请求，采取的相应措施可能是让请求通过、审计、发送提醒，甚至可能是阻止请求。

排出 (Extrusion) 规则，应用于数据库对客户请求的响应。根据具体的响应，采取的相应措施可能是让响应通过、审计、提醒，甚至可能是动态地屏蔽请求内的敏感字段。

异常规则，在发生数据库异常时应用，比如超出失败登录阈值。同样地，Guardium 为在发生这些事件时选择采取哪种措施提供了很高的灵活性。例如，可以通过电子邮件向管理员发送提醒，让他们了解该事件。

敏感数据发现

未知的敏感数据有时是数据安全遭到破坏的背后的原因。Guardium 能够检测可能位于数据库中的敏感数据，所以可在数据上应用策略来限制安全暴露。

漏洞评估

如果管理员在执行更改时未曾注意，甚至最初加固的数据库也有可能是违规的。Guardium 能够访问数据库的配置，生成一个报告来描述数据库的安全状态，为管理员提供修复任何违规问题的机会。

Optim Data Masking 用户定义的函数

Optim? Data Privacy 解决方案已经帮助许多客户将数据生产环境转移到测试环境，同时没有牺牲数据安全性或应用程序的对有意义的测试数据的合法需求。这是通过上下文感知的屏蔽算法来完成的。屏蔽一个 VISA 信用卡编号时，屏蔽的值尽管是虚假的，但看起来仍然像是 VISA 编号。因此，验证信用卡编号的应用程序在测试环境中不会被破坏。

Optim Data Masking 算法现在可用作用户定义的函数 (UDF)。例如，他们可在提取数据用于另一个数据库上的测试时使用这些算法。因为这些算法是 SQL UDF，所以可以将它们与内置动态数据屏蔽功能结合使用。这允许客户结合两个领域的优势，实现更强的安全保护、应用程序透明性和最先进的屏蔽技术。

安全设计原则

BLU Acceleration for Cloud 的开发遵循 IBM Secure Engineering Framework 中列出的安全开发最佳实践。这包括完成风险评估和威胁建模文档。IBM Security AppScan 工具常常用于在开发过程中执行静态和动态代码分析。此外，Guardium Vulnerability Assessment 工具可用于验证 BLU Acceleration for Cloud 数据库是否得到正确加固。

结束语

本教程探讨了您需要知道的云安全知识，让您可以放心地采用云。客户需要理解他们打算迁移到云的工作负载的风险概况并鉴定其资格。认识到云安全是云服务提供商与客户之间的共同责任也非常重要。在将工作负载迁移到公共云之前，客户必须理解安全职责的划分对客户至关重要。

不是所有云服务提供商都是以相同方式创建的。选择能证明其云服务的设计和管理与安全最佳实践和行业标准一致的云服务提供商，这对客户至关重要。

通过遵循这里的建议，以及协商满意的服务水平协议 (SLA)，客户可实现相当于或优于他们在现场实现的安全性的数据安全。例如，与大多数客户在现场的操作相比，领先的云服务提供商对其基础架构的管理具有更高的自动化水平。自动化最小化了由于手动干预而导致的错误配置风险。统计表明，超过 60% 的安全破坏是因为错误配置而导致的。作为一条基本的安全原则，可用性是另一个示例。小企业可能无法提供多个地理上分散的灾难恢复 (DR) 站点。借助正确的云服务提供商，小型企业可以拥有实现业务连续性的更好机会。

领先的云服务提供商实现了连续安全监视，而许多客户并未在现场实现此功能。连续安全监视提供了威胁可视性，可以预防漏洞由于发现延迟而带来重大风险。有了正确的云服务提供商，所有规模的客户都可以从连续安全监视受益。

2847 次浏览