云計(jì)算已經(jīng)成為當(dāng)前企業(yè)高效構(gòu)建應(yīng)用和使用計(jì)算資源、存儲(chǔ)資源等的主流模式，云計(jì)算能提供一種無處不在的，便捷的，按需的，基于網(wǎng)絡(luò)訪問的，共享使用的，可配置的計(jì)算資源（如網(wǎng)絡(luò)，服務(wù)器，存儲(chǔ)，應(yīng)用和服務(wù)）。云計(jì)算可以增強(qiáng)協(xié)作，提高敏捷性、可擴(kuò)展性以及可用性。還可以通過優(yōu)化資源分配、提高計(jì)算效率來降低成本。目前，業(yè)界已經(jīng)能夠?yàn)槠髽I(yè)提供諸如IaaS、PaaS、SaaS的典型云計(jì)算服務(wù)以及公有云、私有云等部署模式，并且，Amazon、微軟、華為、浪潮等已成為云計(jì)算的服務(wù)提供商。

　　保護(hù)遷往云和在云內(nèi)遷移的數(shù)據(jù)

　　在公共云和私有云部署方案中，無論什么服務(wù)模型，保護(hù)數(shù)據(jù)傳輸都是非常重要的。這些數(shù)據(jù)傳輸過程包括：數(shù)據(jù)從傳統(tǒng)基礎(chǔ)架構(gòu)遷移到云供應(yīng)商中，包括公有與私有之間轉(zhuǎn)移，內(nèi)部與外部之間轉(zhuǎn)移，以及其他各種組合；數(shù)據(jù)在云供應(yīng)商之間的遷移；數(shù)據(jù)在既定的云內(nèi)實(shí)例間（或者其他組件之間）遷移。

　　有如下三種方式可以對(duì)上述傳輸過程中的數(shù)據(jù)進(jìn)行安全保障：

　　客戶端/應(yīng)用程序加密。數(shù)據(jù)在終端或服務(wù)器端先加密，然后再通過網(wǎng)絡(luò)傳輸，或者在已經(jīng)以恰當(dāng)?shù)募用芨袷酱鎯?chǔ)。這既包括本地客戶端（代理模式）加密機(jī)制（例如，針對(duì)存儲(chǔ)文件）或者集成在應(yīng)用程序之中的加密機(jī)制。

　　鏈路/網(wǎng)絡(luò)加密模式。標(biāo)準(zhǔn)的網(wǎng)絡(luò)加密技術(shù)包括SSL、VPN和SSH。既可以是硬件加密，也可以是軟件加密。

　　基于代理的加密。數(shù)據(jù)通過一個(gè)代理設(shè)備或服務(wù)器進(jìn)行傳輸，數(shù)據(jù)在網(wǎng)絡(luò)傳輸前完成加密。通常都是將代理加密機(jī)制整合到原有的應(yīng)用程序中。

　　云計(jì)算環(huán)境數(shù)據(jù)安全最佳實(shí)踐

　　在實(shí)際的應(yīng)用過程中，企業(yè)可以遵循如下的24條最佳實(shí)踐來保障云計(jì)算環(huán)境中的數(shù)據(jù)安全：

　　理解所采用的云存儲(chǔ)架構(gòu)，有助于確定安全風(fēng)險(xiǎn)和可用的控制措施。

　　如果可能的話，選擇支持?jǐn)?shù)據(jù)離差技術(shù)的云存儲(chǔ)。

　　使用數(shù)據(jù)安全生命周期DSL來識(shí)別易受攻擊的安全，以確定最合適的控制措施。

　　使用DAM 和FAM監(jiān)測(cè)內(nèi)部核心數(shù)據(jù)庫和文件庫，識(shí)別能夠表明數(shù)據(jù)向云中轉(zhuǎn)移的的大數(shù)據(jù)遷移。
 
　　使用URL過濾和（或）DLP工具監(jiān)測(cè)員工的互聯(lián)網(wǎng)訪問，來識(shí)別是否敏感數(shù)據(jù)遷移。選擇可對(duì)云服務(wù)作預(yù)分類的工具，并通過過濾規(guī)則阻斷非授權(quán)行為。

　　所有敏感信息移入云或在云內(nèi)傳輸時(shí)，應(yīng)在網(wǎng)絡(luò)傳輸前的網(wǎng)絡(luò)層或者節(jié)點(diǎn)側(cè)進(jìn)行數(shù)據(jù)加密。這一建議適用于所有的云服務(wù)和部署模型。

　　使用任何數(shù)據(jù)加密機(jī)制時(shí)，應(yīng)特別注意密鑰管理。

　　使用內(nèi)容發(fā)現(xiàn)機(jī)制來掃描云存儲(chǔ)，并識(shí)別已泄漏的敏感數(shù)據(jù)。

　　加密IaaS中的敏感卷，來限制因?yàn)榭煺栈蛭词跈?quán)管理員訪問導(dǎo)致的信息泄露。至于采用何種技術(shù)依賴于具體的操作需要。

　　采用文件/文件夾或客戶端/代理加密機(jī)制加密對(duì)象存儲(chǔ)中的敏感數(shù)據(jù)。

　　加密平臺(tái)服務(wù)PaaS應(yīng)用和存儲(chǔ)中的敏感數(shù)據(jù)。通常情況下應(yīng)用層加密機(jī)制為首選，因?yàn)閹缀鯖]有云數(shù)據(jù)庫支持原生加密機(jī)制。

　　當(dāng)使用應(yīng)用加密時(shí)，密鑰無論如何必須存放在應(yīng)用系統(tǒng)外面。

　　若軟件服務(wù)（SaaS）需使用加密，應(yīng)盡可能使用可提供原生加密機(jī)制的供應(yīng)商；若無該工具或必須到規(guī)定信任等級(jí)，則可使用代理加密機(jī)制。

　　使用DLP來識(shí)別云部署的敏感數(shù)據(jù)泄漏，這種情況僅對(duì)基礎(chǔ)設(shè)施服務(wù)（IaaS）適用，這對(duì)其他公共云供應(yīng)商均不適用。

　　使用數(shù)據(jù)庫活動(dòng)監(jiān)測(cè)工具（DAM）來監(jiān)控敏感數(shù)據(jù)庫，并對(duì)違反安全策略的行為進(jìn)行告警。

　　當(dāng)交付的基礎(chǔ)設(shè)施或應(yīng)用在正常訪問敏感用戶信息時(shí)，應(yīng)考慮對(duì)可能的泄漏采取私有存儲(chǔ)保護(hù)機(jī)制。

　　謹(jǐn)記絕大多數(shù)數(shù)據(jù)安全缺陷都源自于應(yīng)用程序極為脆弱的安全性。

　　云供應(yīng)商不僅應(yīng)當(dāng)遵循這些實(shí)踐，并且為用戶發(fā)布數(shù)據(jù)安全工具和配置選項(xiàng)。
 
　　無論是合同到期或其他原因，應(yīng)在SLA中詳細(xì)說明如何從云供應(yīng)商中轉(zhuǎn)移數(shù)據(jù)，必須包括用戶賬號(hào)刪除，從主/冗余存儲(chǔ)中遷移或刪除數(shù)據(jù)，遷移密鑰等。
 
　　使用數(shù)據(jù)安全生命周期來識(shí)別安全易受攻擊點(diǎn)，從而確定最合適的控制措施。
 
　　考慮到潛在合規(guī)的、合約方面的以及其他法律方面的問題，應(yīng)充分理解邏輯和物理數(shù)據(jù)。
 
　　在網(wǎng)絡(luò)層或傳輸前在節(jié)點(diǎn)加密所有傳輸?shù)拿舾行畔ⅰ?/p>

　　加密基礎(chǔ)實(shí)施中的敏感卷，限制因快照或非授權(quán)訪問的信息泄露。

　　在平臺(tái)服務(wù)應(yīng)用和存儲(chǔ)中加密敏感信息。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：保護(hù)云遷移數(shù)據(jù)安全及最佳實(shí)踐

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839311391.html