/ 中存储网

将安全策略推广到公司数据中心外部

2013-12-03 00:00:00 来源:中存储

数据中心是什么?

是不是在房子里面装上空调UPS这些IT设备,使其适合硬件运行就可以了?我认为这种说法不对。那么,换一种说法,承载组织应用程序运行的、可实施和管理的环境平台怎样?也不对。

那么,说成是一个允许组织创造和管理公司知识产权(IP),以实现最大经济效益的地方?

对了。尽管我们讨论的是由不间断电源系统、环境和冷却系统、辅助发电机负责承载的大量的服务器、存储和网络设备,但如果仅从这个角度去考量数据中心,我们将无法以正确的方式对业务提供支持。

今天的数据中心生态体系必须以其承载的数据和信息为核心来营造和管理。别指望在一个数据中心就能搞定全部。你将面对和管理的将会是以下这些方式的组合:

自有数据中心:私有设施,包括由专职工作人员负责管理的设备。

设备托管:第三方负责建设和管理的场地,用来安放你公司的IT设备,这些设备由你自己的员工负责操控。

系统托管:第三方负责管理的专用硬件平台;软件层的各个方面则由服务提供商方或你方人员负责管理。

商业化公共云:需要计费的各种跨越基础设施即服务、平台即服务和软件即服务(IaaS、PaaS和SaaS),包括对服务的技术要素的不同级别的控制。

免费公共云:SaaS或功能即服务(FaaS)产品,基于功能单位尽力完成交付。Google或者Bing地图就是FaaS的例子。

这种数据中心混合现状意味着数据和信息将驻留在多个不同地点。让一个组织简单地把所有数据集中到一个存储区域网(SAN)已经不再可能。这意味着数据安全策略的范畴比前几年大大扩展了。

商场上,我们不能画一条线圈出特定的一群人然后说“这就是我们的公司”。相反,一个扩展的价值链,包括承建商、顾问、供应商及其供应商、物流公司、客户有时还包括你的客户的客户,大家所需要的数据和信息主要在外部流动,并且往往超出本组织的直接控制范围。

这一切被自带设备(BYOD)的潮流弄得更加混乱。BYOD的潮流势不可挡,最终用户自己购置他们的设备,并且期望自己的设备可以用于企业系统,就像从应用商店下载应用那样方便。BYOD的普及导致IT部门管控范围之外的数据和信息产生,这也部分抵消了这些数据和信息的价值。

管理新的数据安全现状

IT团队必须清楚地认识到数据中心本身只是整个过程的一部分,将精力转移到数据安全策略上,加倍关注组织赖以生存和发展的数据和信息。

不要浪费时间去研究怎样部署防火墙——首先应该考虑这个防火墙在整个价值链中的位置。不要仅仅在应用程序或者硬件的层次去应用安全措施,因为任何违反安全层级的人都可以自由地入侵存储上的全部数据。

数据和信息现在必须在更精细的程度实现安全和管理。用户应该使用不同的类型进行验证——从独立用户到团队内的角色,以及在他们企业安全体系中的等级。在用户属性中添加上下文标识,例如一个人应该从哪里、从什么样的设备上访问数据。然后必须遵照约定的安全分类对数据进行分级,分级可以做到很简单,例如增加公共、商业机密、最高机密或其他标记。

若要实现更强的管控,可以使用虚拟专用网络和混合虚拟桌面。这些技术能强制执行访问公司资产方面的安全条款。组织可以通过这些重点来实现信息安全,例如对闲置和移动的数据进行加密,防止数据泄漏,部署数字版权管理系统(DRM),建立基于用户和上下文的访问权限信息规则等。

移动设备管理(MDM)有助于跟踪哪些设备正连接到网络,在设备通过适当的身份验证之前可以用无线方式锁定,防止它们对系统进行完全访问。和通常的挑战-响应用户名/密码模式相比,MDM可以要求多重身份验证,例如使用一次性访问代码或者生物识别技术。

这套数据安全策略确保只有正确的人在正确的地方才能访问到有价值的信息。即使外人可以接触到这些有价值的数据,这些数据也会受加密保护,必要时还会由DRM证书控制。

在你考虑知识产权管理时,你需要的并非数据中心,而是一套超越单一设备的平台架构,由多家设施和服务供应商分别满足各种混合需求。这套平台的成功运作需要依赖于新系统、新的应用程序和信息安全制度。许多这类任务都可以用服务订购的方式,由安全服务提供商在你公司自己的数据中心之外完成,而不再需要巨额的建设投资。