假设一个组织之前已经成功地使用着云服务,把某些对于组织不那么重要的功能外包出去,如果一直以来的使用体验都很好,那么他们就会很自然地考虑下一步把一个或多个企业应用迁移至云计算环境。
但是,把应用迁移至云计算是需要经过仔细规划的,尤其是对于应用与其数据的安全性方面更应谨慎。当我们在规划云计算应用迁移工作时,首先分析和制定出应用的安全需求是非常重要的。在本文中,我们将解释如何开展安全分析工作以确保在云计算迁移规划中充分考虑到应用安全性的问题。
配置文件中的组件
一个应用的安全配置文件是对应用安全特性的详细分析。该配置文件提供了对关键安全功能的全面审计,并涉及了与应用相关的各种安全属性——例如加密、访问控制、错误日志记录和处理等等。
配置文件应当包括如下的信息:
· 执行摘要:解释配置文件的目的和范围,还详细描述了应用的配置及其安全属性。
· 安全参数:标示用于归类应用安全等级的度量。
· 分析结果:提供对每个安全标准分析结果的解释,以及它们是如何与应用的保密性、完整性以及可用性相关联的,还确定了潜在的漏洞及其影响。
· 建议措施:提供关于如何补救所发现的漏洞、在迁移之前解决运行问题以及确定未解决所有安全问题而存在风险的详细信息。
制定配置文件
最好的做法就是从分析应用的业务需求和技术需求入手。这将有助于组织从运行和财务两个角度确定这个应用是否是迁移至云计算的一个好的候选对象,尤其是从安全性角度进行评估。初始的标准如下:
1. 访问和登陆应用的需求
2. 需要安全证书
3. 防火墙需求
4. 加密需求
5. 有权限访问应用的用户
