■劉文

可視化管理助力企業(yè)云計(jì)算端到端安全

■劉文

從安全性的角度來(lái)看，云計(jì)算是一個(gè)單一的可互操作性的系統(tǒng)，它包括了專(zhuān)為跨多個(gè)實(shí)體提供按需服務(wù)特定組合而設(shè)計(jì)的相互關(guān)聯(lián)的子系統(tǒng)。云計(jì)算可視化及其相關(guān)的組織能夠讓安全專(zhuān)業(yè)人士明確地給出對(duì)象、元素、界限和關(guān)系的定義。

企業(yè)借助工具從記錄概念開(kāi)始，來(lái)實(shí)際地實(shí)施可視化過(guò)程，這類(lèi)工具有助于把無(wú)組織的概念分組歸類(lèi)為有組織的主題并揭示各種概念之間的聯(lián)系。下圖使用系統(tǒng)和子系統(tǒng)的形式顯示了云計(jì)算部件的環(huán)境。

圖示顯示了不同組件和它們基于它們所包含元素的系統(tǒng)之間超集關(guān)系的屬性?；旧?，一個(gè)組件會(huì)包含另一個(gè)組件中的相同元素，而一個(gè)組件是服務(wù)模式屬性的一個(gè)超集，這表明了一種依賴(lài)性的關(guān)系。例如，訪問(wèn)控制列表(ACL)就是防火墻規(guī)則的一個(gè)超集。為什么呢？因?yàn)榉阑饓σ?guī)則指定了允許什么樣的流量或拒絕什么樣的流量，同樣ACL指定了子網(wǎng)、主機(jī)或域等信息。

通過(guò)這樣的圖示可以幫助一家企業(yè)確定云計(jì)算組件以便于決定在哪里增加安全元素(技術(shù)、政策或過(guò)程)，并且可能在系統(tǒng)、組件以及元素之間發(fā)掘出意想不到的機(jī)會(huì)。

正如我們現(xiàn)在從端到端的角度所實(shí)現(xiàn)的云計(jì)算可視化那樣，一家企業(yè)可以決定什么樣的云計(jì)算是惰性的或者是封閉的，這意味著它們對(duì)其很少或者根本沒(méi)有控制器。

另一方面，開(kāi)放云計(jì)算是那些潛在的、可被信任的、與企業(yè)自有云計(jì)算交互的云計(jì)算。開(kāi)放云計(jì)算就是指在互聯(lián)網(wǎng)內(nèi)向其他基礎(chǔ)設(shè)施尋求可信任關(guān)系的所有云計(jì)算基礎(chǔ)設(shè)施。例如，軟件即服務(wù)、基礎(chǔ)設(shè)施即服務(wù)以及平臺(tái)即服務(wù)(或SaaS、IaaS以及PaaS)就是全部的開(kāi)放模式，所以一家企業(yè)有能力配置足夠的環(huán)境以便于支持其作為一個(gè)商業(yè)實(shí)體的需求(這對(duì)單個(gè)個(gè)人也是同樣成立)。

有了這樣一個(gè)可視化的方法，通過(guò)使用構(gòu)思、思想生成、逆向思維等方法就可以對(duì)不同云計(jì)算模式確定適當(dāng)?shù)谋Ｗo(hù)措施，這些基本上是目標(biāo)和假設(shè)以及不同于預(yù)期范例的強(qiáng)迫逆向思維。

反向思維能夠讓我們從云計(jì)算基礎(chǔ)設(shè)施攻擊者的角度來(lái)思考問(wèn)題。當(dāng)與基于用例的場(chǎng)景組合時(shí)，它就可確保相應(yīng)保護(hù)措施能夠針對(duì)合法威脅而發(fā)揮作用。精心開(kāi)發(fā)和結(jié)構(gòu)化的可視化技術(shù)可使用連續(xù)劇的模式來(lái)表達(dá)。首先一個(gè)概念就是設(shè)置場(chǎng)景、確定角色以及鼓勵(lì)頭腦風(fēng)暴。下一步就是從更高的層次對(duì)以下三個(gè)狀態(tài)進(jìn)行概述：當(dāng)前狀態(tài)(例如這是企業(yè)目前所擁有的)、臨時(shí)狀態(tài)(這是企業(yè)如何達(dá)到這里)以及最終狀態(tài)(這就是結(jié)果和相關(guān)成本)。將在連續(xù)劇模式中出現(xiàn)的是焦點(diǎn)，它開(kāi)始是一組特定的特性，而在結(jié)束時(shí)將被改變。

這里再次給出一個(gè)如何在真實(shí)世界場(chǎng)景中部署這種方法的例子，請(qǐng)想象一下，一家企業(yè)決定在同類(lèi)最佳網(wǎng)絡(luò)的入侵保護(hù)技術(shù)上投資。端到端的故事就是通知和防止入侵之一。相關(guān)角色都被邊緣設(shè)備、網(wǎng)關(guān)設(shè)備、各種主機(jī)以及客戶(hù)端這樣的設(shè)施充斥著。焦點(diǎn)是防止入侵的概念，而這一點(diǎn)將在從單端點(diǎn)產(chǎn)品到包含眾多角色的企業(yè)級(jí)技術(shù)套件的轉(zhuǎn)變中發(fā)生改變。

當(dāng)然，可視化技術(shù)并不是一個(gè)一蹴而就的過(guò)程，它是一個(gè)需要一系列可視化設(shè)計(jì)以滿(mǎn)足目標(biāo)受眾或?yàn)閺V大受眾提供多個(gè)角度的過(guò)程。它可能需要幾個(gè)可視化技術(shù)來(lái)澄清意圖和方向，但是其最終結(jié)果就是清晰明確地了解企業(yè)的云計(jì)算基礎(chǔ)設(shè)施，以及需要采取何種措施來(lái)提供端到端的云計(jì)算保護(hù)。