针对云安全性如何使用可视化技术

我曾经阐述了这样一个理念,即云计算并不仅仅是由商业实体所提供的服务的一个集合。与之相反,从安全性的角度来看,云计算是一个单一的可互操作性的系统,它包括了专为跨多个实体提供按需服务特定组合而设计的相互关联的子系统。在这种情况下,我们定义了一个“一组交互或相互依赖组件形成一个完整整体”的系统,以及一个“一组包含统一整体的独立但相互关联要素”的子系统。总之,他们自愿地(例如谈判成功的付费服务)或不自愿地(例如通过黑暗网络或深层网络提供的恶意服务)提供了服务。   

然而,在完善我们的云计算定义的同时,企业必须付出一定的努力以便于更好地了解这样一个复杂的系统。为了做到这一点,企业可以使用可视化技术的方法或者原型法。   

在本文中,我们将向读者解释企业是如何使用可视化技术来实施更好的端到端的云计算保护。   

从何处开始   

云计算可视化及其相关的组织能够让安全专业人士明确地给出对象、元素、界限和关系的定义。一旦有了相关的明确定义,企业就能够放弃假设并开始制定有意义的实施策略了。其结果就是能够针对那些安全专业人士所负责的基础设施实现高效的保护,没有冲突、空白或者无效保护。   

企业可以使用诸如亲和图这样的工具从记录概念开始,来实际地实施可视化过程,这类工具有助于把无组织的概念分组归类为有组织的主题并揭示各种概念之间的联系。图1是一个亲和图,它使用系统和子系统的形式显示了云计算部件的环境,以及来自于之前文章中亲和图的特征和服务模式。 云安全性可视化能实现端到端云保护 图一 云安全性可视化能实现端到端云保护 表一   

下图表示了互联网和/或ISP以及所谓的黑暗网络所构成的完整系统和/或云计算,并表示了不同子系统和/或云计算之间的关系。它表明了不同组件和它们基于它们所包含元素的系统之间超集关系的属性。基本上,一个组件会包含另一个组件中的相同元素,而一个组件是服务模式属性的一个超集,这表明了一种依赖性的关系。例如,访问控制列表(ACL)就是防火墙规则的一个超集。为什么呢?因为防火墙规则指定了允许什么样的流量或拒绝什么样的流量,同样ACL指定了子网、主机或域等信息。  

一个像这样的亲和图可以帮助一家企业确定云计算组件以便于决定在哪里增加安全元素(技术、政策或过程),并且可能在系统、组件以及元素之间发掘出意想不到的机会。   

什么样的机会是可利用的?让我们来讨论一下一家运行异构环境的企业吧。管理部门希望在跨Windows和Unix/Linux的多系统之间有一个单一的身份认证来源。一个当前状态的可视化方法能够确定身份认证的所有来源以及它们的能力,所提供的Windows Server 2008 R2运行Active Directory(AD)实现以及Lightweight Directory Access Protocol能够完成管理层所要求的任务。这一措施还允许企业能够充分利用现在已经在管理AD的工作人员,同时省去身份认证、授权以及计费服务的需要,并随之降低了与维护一台AAA级服务器相关的持有成本。

云安全性可视化能实现端到端云保护

针对安全性:应如何使用可视化技术   

正如我们现在从端到端的角度所实现的云计算可视化那样,一家企业可以决定什么样的云计算是惰性的或者是封闭的,这意味着它们对其很少或者根本没有控制器。例如,黑暗网络就是封闭的,因为它是由无名氏按需而开发的,其中大部分可能涉及非法企业。对于那些从黑暗网络下载的软件或文件,企业是没有控制力的,这意味着他们可能是干净的或者已经被恶意软件所毒害。一个今天的对等网络或P2P、主机服务盗版技术可能到明天就不复存在了。一家企业还无法控制其消费者即服务技术是否会变成黑暗网络的一部分,或者一位员工的远程家庭网络是否已被攻破。   

另一方面,开放云计算是那些潜在的、可被信任的、与企业自有云计算交互的云计算。开放云计算就是指在互联网内向其他基础设施寻求可信任关系的所有云计算基础设施。例如,软件即服务、基础设施即服务以及平台即服务(或SaaS、IaaS以及PaaS)就是全部的开放模式,所以一家企业有能力配置足够的环境以便于支持其作为一个商业实体的需求(这对单个个人也是同样成立)。   

有了这样一个可视化的方法,通过使用构思、思想生成、逆向思维等方法就可以对不同云计算模式确定适当的保护措施,这些基本上是目标和假设以及不同于预期范例的强迫逆向思维。   

例如我们都说,公司的目标就是为管理信用卡交易的企业提供云计算服务。现在,反过来问个问题,“我们应如何防止恶意行为渗入我们的云计算服务(例如,从无线/从一个被黑的个人电脑/从一个恶意URL)?”   

反向思维能够让我们从云计算基础设施攻击者的角度来思考问题。当与基于用例的场景组合时,它就可确保相应保护措施能够针对合法威胁而发挥作用,从而降低FUD和资源浪费,其中包括了人力和财力两个方面。精心开发和结构化的可视化技术可使用连续剧的模式来表达。首先一个概念就是设置场景、确定角色以及鼓励头脑风暴。下一步就是从更高的层次对以下三个状态进行概述:当前状态(例如这是企业目前所拥有的),临时状态(这是企业如何达到这里)以及最终状态(这就是结果和相关成本)。将在连续剧模式中出现的是焦点,它开始是一组特定的特性,而在结束时将被改变。   

这里再次给出一个如何在真实世界场景中部署这种方法的例子,请想象一下,一家企业决定在同类最佳网络的入侵保护技术上投资。端到端的故事就是通知和防止入侵之一。相关角色都被边缘设备、网关设备、各种主机以及客户端这样的设施充斥着。焦点是防止入侵的概念,而这一点将在从单端点产品到包含众多角色的企业级技术套件的转变中发生改变。一个端到端的神器会进入一个逆向思维的过程,提一个问题,应如何配置主机以便于防止入侵或向企业发出事件警告。   

在如下这些场景中,要问一些具有代表性的问题:如何在路由器上完成防止入侵?在我们的数据库上呢,应如何实施?谁有权访问?这个过程可能会在一个故事中发现另一个故事。例如,所有的事件将在哪里发生?我们是否拥有安全信息和应对事件的技术,或者我们的SIEM是否能够聚集这一数量级的数据?可视化技术有助于揭示差距、设置优先级以及制定切实可行的路线图。   

当然,可视化技术并不是一个一蹴而就的过程,它 是一个需要一系列可视化设计以满足目标受众或为广大受众提供多个角度的过程。它可能需要几个可视化技术来澄清意图和方向,但是其最终结果就是清晰明确地了解企业的云计算基础设施,以及需要采取何种措施来提供端到端的云计算保护。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2014-05-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏不想当开发的产品不是好测试

测试流程?项目管理流程?

背景 工作五年了,一直是做测试。认识了很多人大牛,也接触到很多新人,从他们身上看到了很多,自己的过去,自己的未来(当然很多是自己达不到的高度)。 做这测试这一行...

29590
来自专栏云计算D1net

私有云计算的发展与应用

似乎业界所有人都在谈论云计算。但是,虚拟化是对发展私有云战略的重要一步。如果你已经虚拟化了部分的基础设施,那么你可能比想象的更接近私有云计算。 采用云计算的好处...

37250
来自专栏魏艾斯博客www.vpsss.net

百度搜索资源平台(站长工具)抓取频次归零的解决过程

有朋友找老魏说自己网站的百度抓取频次归零了,自己对网站的操作没有变化,不知道百度这次为什么这么对待自己。魏艾斯博客也是第一次见到这种情形,琢磨了一下找到思路并开...

30330
来自专栏IT派

Win10重大更新!微软推出全新AI平台Windows ML

微软推出了一个新的AI平台Windows ML,并计划在春季Windows10的更新中加入更多人工智能功能。 ? 在Windows ML平台下,开发人员能够将不...

33670
来自专栏成猿之路

编程,听歌,找图片,看电影,找资源,一个网站可以让你减少10个软件的安装

11120
来自专栏无原型不设计

5款简单实用的设计协作工具推荐

对设计师而言,收集和整理客户的意见反馈、并作后续完善是必不可少的环节。而满足客户的需求并不是简单的事情,如果再通过电子邮件来进行合作和分享设计思路、等待及反馈...

54790
来自专栏前沿技墅

监控系统的前世今生

微博平台监控技术负责人,负责微博平台、PC微博大规模监控系统的建设,主要关注实时大数据、运维自动化、智能化方向,2014年加入微博,之前曾在新浪、搜狐等公司从事...

32640
来自专栏wblearn

什么是2016年最值得学习的编程语言?

对于标题这个问题,如果你问我什么是2016年最值得学习的编程语言?我只能老老实实地回答:我也不知道,只能说适合自己的才是最值得学习的编程语言。因为我不知道你对那...

11310
来自专栏成猿之路

编程,听歌,找图片,看电影,找资源,一个网站可以让你减少10个软件的安装

14330
来自专栏BestSDK

4种主流评论功能设计:虎扑最悬疑,豆瓣最人性

不管是在qq空间,微信朋友圈,在好友的状态下抖一波机灵,还是在新闻下面吐槽最近雾霾又严重了;不管是在纠结吃什么的时候,打开团购app看下大家的评分和点评,还是在...

70760

扫码关注云+社区

领取腾讯云代金券