请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 93|回复: 1

【和巨廉一起漫谈企业信息安全运维】 -- ITIL老矣,能治“云”否?(1)

[复制链接]
发表于 2018-4-13 11:24:06 | 显示全部楼层 |阅读模式
            长期以来我们着眼于IT基础设施,硬件设备和软件应用的运维;并且一直践行着用ITIL这样的框架来优化和治理所提供的各种服务。但是随着我们的企业开始将业务向云端进行拓展、部署或是迁移,咱们许多IT运维管理人员的工作职责与内容也发生了潜移默化的变化。无论面对的是私有云的系统、公有云的服务还是混合云的架构,我们从基础细节提升到了管理迭代的层面上。伴随着这种工作内容上的levelup,爱思考的您是否考虑过一个问题:ITIL的“前半生”已为我们的企业IT服务治理带来了不少的红利,如今的云服务时代,它对于企业各种云业务的管理是否还适用呢?答案这里先不给出,且让我慢慢用ITILv3的管理概念来试着和给大家探讨一下对于企业云服务的治理吧。

            大家都知道云服务吸引企业的地方在于:按需分配、快速发布、弹性伸缩、和资源池化。而我们常用的ITILv3所涉及到的服务生命周期则包括:服务设计、服务转换、服务运营、服务改进。细心的小伙伴一定会问:那么“服务策略”呢?这个策略嘛,比较高端,讲真,我们做运维的参与的机会并不多,所以在此暂且不表。因此,我们不难发现云服务和ITIL的各自四个特点是隐约存在着一定对应关系的。

服务设计vs.按需分配

            在这个层面上,我觉得和以前内部IT系统的管理流量并没有太大的不同之处,我们更应该注重从业务和产品需求出发,对于任何要迁移到云端或是新增的云业务都须做好服务编录设计、级别配比、和安全预设的工作。

编录设计

            首先要做好产品和服务的分类与编录。比如说,在典型的应用场景中,企业所可能采用的云服务功能领域包括:生产环境云、开发测试资源云、内训教学云、桌面云、以及运维资源云等。在每一种云服务里,我们可以根据数据和服务类型进行细化,根据各个应用和不同系统之间的数据流向,勾勒出流转的图表,清晰地定义出何种类型的数据将会在逻辑上或物理上存储在何处,它们是如何在组织/系统间进行流动,以及它们会受到何种方式的管理和保护等。当然,由于云业务突破了地域上的局限性,我们也要适当地对数据的存储和可能在迁移时所涉及到的当地相关法律及监管要求予以研究和说明。

级别配比

            随着企业云业务的深入,我们以往对于用户和客户的服务承诺与品质保障被逐渐地从日常工作中剥离,进而部分转移到了云服务商那里。在大多数企业的实践中,IT部门降低了以往运维工作的比重,而会花更多的时间从RTORPO出发,去评估包括基础网络带宽、高可用性、并发数、响应时间、存储频率和备份深度等指标。他们通过与云服务商进行协商和约定,进而界定出那些本企业与服务商之间,以及各个服务商之间的易重叠或不清晰部分,以免出现踢皮球的情况。这对IT部门来说既是原有服务级别的保持与延续,又能保证合理的服务资源的分配,同时还为我们马上要提到的安全预设做好了基本准备。

安全

            曾经有不止一个运维部门的小伙伴向我抱怨:一入云端深似海,从此安全是路人。那么到底有多深呢?让我们具体从如下不同的角度来分析一下吧。

            首先是在物理上,可分两部分:

  • 对内,有用户桌面云和私有云的安全。此方面我们有着以往安全实践的经验,还是同样的操作,熟悉的味道,在此就不赘述了。
  • 对外,则是云服务商或者是我们托管在IDC处的安全。他们大多数情况下仅提供入站防火墙功能,而没有出站控制。不过这个也比较好理解,因为具体的应用环境和服务是由咱们的团队所自行搭建的。所以我们可以添加云WAF,通过将DNS的记录进行重定向,由云WAF来过滤各种未经验证的访问流量之后,再转发给真正的云Web应用。

            其次是在逻辑上,其任督二脉是:相对动态的数据和相对静态的应用。

  • 在一般云业务中,数据仍旧遵循着创建->存储->使用->共享>传送->归档->销毁”的生命周期轨迹,所以我们应当:



    • 在创建与存储阶段:做好数据本身的加密。
    • 在使用与共享阶段:通过部署在虚机或是hypervisoragent对元数据(如数据属性标签)的检索来实现DLP(数据防泄漏)。
    • 在传送与归档阶段:采用SSL/TLSVPNSSH来实现数据的屏蔽并保障完整性。
    • 在销毁阶段:清理数据残留并予以脱敏或替换,以免泄露给在云空间里物理上交错的其他租户。

  • 而对于云应用方面的安全,我们可以采取身份和访问管理(IAM),在确保各种来自ADLDAP或其他SaaS服务商的用户账号信息能够在内部同步的前提条件下,利用SAMLXACMLOauth来基于角色和权限的映射矩阵,保证用户仅能看到他们有权访问的数据。

            可见,对于IaaS模式的业务来说,由于从系统层面上为我们所掌控,因此完全可以利用各种工具和手段,给系统做“大保养”,来保证各类云资产和服务的安全。而SaaS则相反,由于我们能够访问和掌握的信息源数量最少,因此其安全责任主要是服务商所承担,而约束性合同则是我们的唯一抓手。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
发表于 7 天前 | 显示全部楼层
好像信息安全很吃香吗
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-4-22 14:27 , Processed in 0.091358 second(s), 26 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表