[推广]使用SSL,重振云信心

      [推广]使用SSL,重振云信心无评论

虽然机构可将其计算工作负载(workload)移向云端,但机构的员工仍然需要从本地(on-premises)网络访问这些工作负载。随着数据被创建、访问、更新、删除,数据将不断地在组织的网络与云端服务器之间来回流动。 

由于数据需要经过本地网络与托管云部署的数据中心之间的公共互联网,因此各类机构在考虑将工作负载移向云端时最关心的问题之一就是数据的安全性。尽管机构能够采取措施管控其网络安全且云服务提供商也能够采取措施管控其网络安全,但是数据本身必须要经过互联网才能从某一网络到达另一网络。很不幸,数据的必经之路互联网既不在机构的管控范围之内,也不在云服务提供商的管控范围之内,因此经过互联网的数据有可能会遭到复制,而且除了拦截数据的人之外,任何人都不会轻易察觉这一过程。 

有些云服务提供商提供本地环境与云端数据中心设备之间的专线直连访问,但这类直连访问需要另外收费。大多数利用云端资源的机构之所以选择云服务的原因就是因为相比本地部署云服务能为其节约资金。如果该机构需要购买接入云端数据中心设备的专线连接以确保数据在传输中的安全性,那么因选择云服务而实现的节约就将减少。

虽然无法阻止未经授权的第三方对数据进行拦截,但是可以通过实施传输层安全(TLS)等解决方案来确保未经授权的第三方无法理解所拦截的数据。TLS是安全套接字层(SSL)的后继协议并能实现两台设备之间所有通信的加密。TLS使用X.509 certificates、即俗称的SSL证书来建立客户端与服务器之间的加密连接。目前,TLS 1.11.2正在被广泛使用,TLS 1.3标准正在制定之中。

为了保护数据往来云端工作负载这一传输过程的安全性,企业应采取以下步骤:

    第一步 

机构应该确保其安装于服务器的证书是从有信誉的证书颁发机构获取的。各类机构应该避免使用自己生成的证书–这是因为客户端有可能未被正确配置因而无法信任这些证书

第二步

配置托管云端工作负载的服务器,使其只发送与接收由TLS保护的数据。

第三步

如果机构怀疑托管云端工作负载的服务器已经遭到入侵,那么该机构应该修复漏洞,吊销现有证书并安装新证书。如果未经授权的第三方已经访问了证书的私钥,那么他们就能够解密服务器与客户端之间的通信。

第四步

通过使用提供证书到期通知的管理控制台,各类机构应该确保在证书到期前完成证书续订。许多机构不记得要续订证书,直到用户告知其安装于服务器的现有证书已失效时才想起这件事。

发表评论