即使你有大量的备份数据都没有使用必威:,云

数据中心操作大量的数据。当数据遭到破坏时,这就是一场灾难。这正是定期进行备份的重要性。即使你有大量的备份数据都没有使用,备份也肯定不是在浪费时间。你也许很幸运,从来没有经历过数据丢失。但是,由于这种事情极少发生以及保持数据的完整性是非常重要的,通过跳过备份来“节省”时间和资源似乎是没有问题的。

云计算数据与信息安全防护

资产安全介绍

  • 资产安全着重于信息的整个生命周期中收集、处理和保护信息,这一领域的主要步骤是根据对组织的价值进行来分类信息,所有后续行动都根据分类的不同而不同

有业内人士说,数据中心进行备份是非常重要的,这个理由是非常明显的,尽管我曾听一个小公司的系统管理员说过一些机构没有“浪费”时间和资源进行备份并且获得了成功。我认为,他不理解我为什么会对这种说法感到震惊并且以不相信的眼光看着他。我希望只有百万之一的人相信备份是没有用的。我希望大多数IT专业人员都相信备份的价值并且仅最大的努力进行适当的备份。

云计算数据的处理和存储都在云平台上进行,计算资源的拥有者与使用者相分离已成为云计算模式的固有特点,由此而产生的用户对自己数据的安全存储和隐私性的担忧是不可避免的。

1 对资产进行分类和标记

  • 资产安全的第一步就是对资产进行分类和标记,组织通常包括安全策略中的分类定义,然后人员根据安全策略的要求对资产进行标记

到目前为止,我们已经在最新版本的微软Hyper-V方面作了相当深入的介绍:网络功能方面的巨大变化、可扩展性方面的改进、NUMA管理、集群补丁以及虚拟机监控。

如果你从来没有因为发生灾难而使用备份,你是你运气好。但是,由于灾难的袭击是没有时间表的,当灾难袭击的时候,最新的备份是成功的进行灾难恢复的救生带之一。

具体来说,用户数据甚至包括涉及隐私的内容在远程计算、存储、通信过程中都有被故意或非故意泄露的可能,亦存在由断电或宕机等故障引发的数据丢失问题,甚至对于不可靠的云基础设施和服务提供商,还可能通过对用户行为的分析推测,获知用户的隐私信息。这些问题将直接引发用户与云提供者间的矛盾和摩擦,降低用户对云计算环境的信任度,并影响云计算应用的进一步推广。

1.1 定义敏感数据

  • 敏感数据指所有不公开或未分类的信息,如机密、专有信息或法律法规保护的其他类型数据
    • 个人身份信息(PII):任何可以识别个人的信息,组织有责任保护PII(员工和客户)
    • 受保护的健康信息(PHI):任何与个人健康有关的信息
    • 专有数据:任何帮助组织保持竞争优势的数据,如软件代码、产品的技术计划、内部流程、知识产权和法律

现在不妨把注意力转移到安全和灾难恢复方面的改进,尤其是Bitlocker驱动器加密(BDE)和Hyper-V 复制(HVR)特性。

许多备份的最佳做法的要点实际上就是每个人都知道和使用的一些常识。不管怎样,下面是有关备份的一些最佳做法:

信息安全的主要目标之一是保护用户数据和信息安全。当向云计算过渡时,传统的数据安全方法将遭到云模式架构的挑战。弹性、多租户、新的物理和逻辑架构,以及抽象的控制需要新的数据安全策略。

1.2 定义分类

  • 数据分类识别的是数据对于组织的价值,并对数据的机密性和完整性保护至关重要
  • 策略确定了组织内使用的分类标签,还确定数据所有者如何确定合适的人类以及人员如何根据分类保护数据
  • 政府数据分类:
    • 绝密: 未授权披露可能会对国家安全带来特别严重的损害
    • 保密: 未授权披露可能对国家安全带来严重损害
    • 机密:未授权披露可能对国家安全带来损害
    • 非机密:任何人都可以用的数据
  • 非政府分类:
    • 机密或专有:数据泄密会对组织造成特别严重的伤害,如未发布的电影
    • 私有:数据应为组织私有,但不符合保密或专有数据的定义,如员工薪资
    • 敏感:数据泄露会导致对组织使命的损害,如解雇合同、终止合同
    • 公开:发布在网上上的数据,尽管组织不保护公开数据的机密性,但需要采取措施保护其完整性

想确保不法分子没有控制你的虚拟硬盘格式(VHDX)/虚拟机文件,第二个最佳方法就是对存储这些文件的驱动器进行加密。最佳方法就是为你的数据中心采用妥善的物理安全措施。

1.制定规则和程序

1.1  数据安全管理与挑战

1.3 定义数据安全要求

  • 在分类数据后,对数据的安全要求定义也很重要,组织至少对敏感的信息进行标记和加密

在随带可信平台模块(TPM)芯片的服务器上使用BDE,以便对存储虚拟机的驱动器进行加密,这会带来非常小(1%-2%)的性能开销,同时让你吃下定心丸:就算磁盘被人拆下了,也无法读取里面的数据。TPM芯片的管理在Windows 8和Server 2012中已得到了改进,因而有助于配置起来顺畅得多。不过要留意:你无法在虚拟机里面使用BDE,只能在存储VHDX的磁盘上使用BDE。采用集群共享卷(CSV)2.0格式化的共享式存储区域网(SAN)卷现在可以用Bitlocker加以保护。

许多技术人员都讨厌文件之类的东西,但是,充分的规定是任何行动成败的关键。备份的规则和程序不必是厚厚的一本书,你在进行备份的时候仅仅包含这些内容就可以:什么时间进行备份、什么内容需要备份、谁负责进行备份、谁可以访问备份内容等等。

在云计算数据生命周期安全的关键挑战如下。

1.4 理解数据状态

  • 数据状态包括:
    • 静止数据:存储在介质(如、硬盘、USB、闪存盘、存储区域网SAN和备份磁盘)上的数据
    • 传输数据:通过网络传送的数据,包括有线或无线在内网上传输的数据以及公共网络上传输的数据
    • 使用中的数据:临时存储区正在被应用使用的数据
  • 保护数据机密性最好的方法是加密,此外强大的身份验证和授权控制能有效阻止未经授权的访问
  • 数据库管理员会采取措施对存储在数据库服务器商的敏感数据进行加密,还会执行身份认证和授权控制以防止未经授权的实体访问数据库
  • 数据库发送数据过程,数据库管理系统先检索和解密数据,将其转变为web应用程序可读的格式,然后在传输之前使用加密法则对数据加密,保证传输过程中的安全性
  • web应用程序服务器收到加密数据后,进行解密然后传输给应用程序,程序把数据存储在临时缓冲区,当不需要的时候执行数据清理

针对Hyper-V的其他安全建议与之前版本中仍然一样:如果你不需要虚拟机许可,只在主机上运行管理和备份代理软件,那就使用Server Core(现在容易得多,这归因于GUI可以安装,可用来初始配置服务器,然后予以清除),或使用Hyper-V服务器;有一个单独的网卡用于管理,使用管理员隔离机制,以确保主机管理员无法访问虚拟机,或虚拟机管理员无法访问主机;并且考虑为你的网络使用IPSec(你的网卡中有相应的硬件支持)。微软自己的内部测试实验室规定使用IPSec,因而实时迁移(Live Migration)以及Hyper-V的其他特性已接受了这方面的广泛测试。

2.测试备份

(1)数据安全:保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。

1.5 管理敏感数据

  • 管理敏感数据的目标是防止数据泄露,管理敏感数据的步骤

    1、 标记敏感数据

    对敏感数据进行标记(通常为贴标签)能够确保用户可以轻松识别任何数据的分类级别
    • 物理标签能够指出存储在介质或处理系统上的数据的安全性分类
    • 标记也包括使用数字水印或标签
    • 在很多安全环境中,人们也会对非机密介质和设备进行标记

      各个组织通常会明确介质降级的程序,有些组织会禁止介质降级,如处理过绝密的数据几乎是不允许降级的
      2、管理敏感数据
    • 管理敏感数据是指介质的整个生命周期内确保传送过程的安全

      人们很少在意对备份磁带的控制,磁带备份应该与备份数据一样受到同级别的保护
    • 确保人们了解如何处理敏感数据,确保系统和介质都已经被合理标记

      3、存储敏感数据

      敏感数据应存储在受保护且没有任何损失的介质中,最有效的保护方法加密

      如果敏感数据存储在物理介质上,如硬盘、磁带,人们应遵循基本的物理安全做法,防止盗窃损失数据
    • 应采取环境控制来保护介质的安全,做法包括温度和湿度控制

      4、销毁敏感数据

      当组织不需要敏感数据时,就应该对其进行销毁,从而防止未经授权的数据泄露
    • 数据剩磁指数据仍然作为剩余磁道上的数据保留在硬盘驱动上

      删除数据剩磁的方法是使用消磁工具,消磁工具能产生强大的磁场区域,并将磁介质的磁场区域重新排列,仅在磁介质上有效
    • 固态硬盘使用的是集成电路,最好的净化方法是就销毁固态硬盘
    • 销毁数据常见术语:

      擦除:擦除介质上的数据就是对文件、文件的选择或整个介质执行删除操作

      消除:使介质可以重新使用的一个准备过程,这个过程确保消除的数据不会通过传统的工具恢复,但有时可以通过复杂的实验或取证技术来获取原始的数据

      清除:比消除更强烈的方式,在安全性较差的环境中使介质达到可再次使用的过程,这种方法不是总是可靠

      解除分类:在非机密情况下对介质或系统进行清楚,以使其能够再次使用的准备过程

      净化:从系统或介质中删除数据,确保数据不会以任何形式恢复,净化指可靠的方法将机密数据从介质清除,但不破坏介质
    • 消磁:建立一个强大的磁场区域,从而以消磁的方法擦除介质上的数据

      销毁:介质生命周期的最后阶段,也是清理介质最安全的方法,销毁方法包括焚烧、破碎、粉碎、解体、使用腐蚀性或酸性化学物质溶解

      5、保留资产

      保留要求适用于数据或记录、含有敏感数据的介质和系统,以及接触敏感数据的人员,记录保留和介质保留是资产保留的最重要的元素
    • 记录保留指在需要信息时保留和维护重要的信息
    • 介质保留是指硬件保留到其被正确净化

对Hyper-V管理员来说,大环境下的帐户管理有点麻烦,因为他们常常必须是每一个主机上的本地管理员。Windows Server 2012添加了一个新的本地安全群组:Hyper-V管理员,这让群组成员可以全面访问Hyper-V的所有特性,不用为他们授予全面的本地管理员访问权。

这个规则是一个常识。但是,这个问题值得提一下。有一个损坏的备份肯定是没有用的。更糟糕的是你还以为这个备份是好的,能够用于灾难恢复,结果却不能用。因此,要避免这种情况,一定要总是测试备份,特别是在备份重要数据的时候。

(2)数据存放位置:必须保证所有的数据包括所有副本和备份,存储在合同、服务水平协议和法规允许的地理位置。例如,使用由欧盟的“法规遵从存储条例”管理的电子健康记录,可能对数据拥有者和云服务提供商都是一种挑战。

5.1.6 应用密码学保护机密文件

  • 保护数据机密性的一个主要方法是加密
  • 应用对称加密保护数据
    • 对称加密在加密和解密数据时应用相同的秘钥,下面列出常见对称加密算法
      • 高级加密标准算法(AES):最受欢迎的加密算法,微软加密文件系统将高级加密算法标准应用于文件及文件夹加密
      • 三重数据加密标准算法(3DES):算法实现了112位或168位秘钥,秘钥越长,安全等级越高
      • Blowfish:可用秘钥长度为32至448位,是强大的加密协议,Linux系统使用bcrypt来加密密码,bcrypt基于Blowfish,添加了额外的128位秘钥作为salt来组织彩虹表攻击
  • 应用传输加密保护数据
    • 通过网络发送未加密数据的主要风险就是嗅探攻击
    • 网络浏览器使用https来加密电子上午交易,防止攻击者捕捉数据以及使用信用卡累积费用
    • 虚拟专用网使用的加密协议有TLS和网际协议安全(IPSec),IPSec包含一个认证报头,提供了鉴定和完整性,同事封装安全载荷(ESP)提供保密性
    • IPSec和SSH通常用来在互联网传输数据的过程保护数据

必威 1

3.标记和排列备份

(3)数据删除或持久性:数据必须彻底有效地去除才被视为销毁。因此,必须具备一种可用的技术,能保证全面和有效地定位云计算数据、擦除/销毁数据,并保证数据已被完全消除或使其无法恢复。

5.2 定义数据角色

图1:配置HVR非常简单直观。

当你有2个至3个备份的CD光盘的时候,要猜测每个光盘中的内容是比较容易的。当你在各种备份介质中有若干PT的数据的时候,光靠猜测是不行的。因此,你必须标记你的每一个备份并且把这些备份排列在一个库中。标记备份包括使用有意义的名称、备份数据的日期和时间、数据的内容、谁创建的数据以及一些说明等。

(4)不同客户数据的混合:数据尤其是保密/敏感数据,不能在使用、储存或传输过程中,在没有任何补偿控制的情况下与其他客户数据混合。数据的混合将在数据安全和地缘位置等方面增加安全挑战。

5.2.1 数据所有者

  • 数据所有者是数据的最终责任人,通常是首席执行官、总裁或部门主管,所有者的职责
    • 制定规则,以便于用于主体的数据或信息的适当使用及保护
    • 为信息系统所有者提供输入,要考虑到信息所在地的信息系统的安全要求和安全控制
    • 决定谁有权访问信息系统,拥有何种特权或准入权
    • 协助对信息所在地的普通安全控制进行定义和评估

为新特性库增添的这项特性绝对让中小企业最激动人心,因而让灾难恢复功能在中小企业的预算范围之内,而之前它们根本无法享用这种功能。

4.将备份存储在安全的地方

(5)数据备份和恢复重建(Recovery and Restoration)计划:必须保证数据可用,云数据备份和云恢复计划必须到位和有效,以防止数据丢失、意外的数据覆盖和破坏。不要随便假定云模式的数据肯定有备份并可恢复。

5.2.2 系统所有者

  • 系统所有者是拥有含机密数据的系统的人,系统所有者负责确保在系统中运行的数据的安全性,包括定义最高级数据

Hyper-V 复制特性提供了将虚拟机从一个主机异步复制到另一个主机的功能,不需要共享式存储或任何特殊硬件;复制关系的每一端可以是独立主机或集群。主机不需要在同一个域里面,它们也不需要加入到域;复制的虚拟机可以是得到Hyper-V支持的任何操作系统。复制操作可以在普通的非对称数字用户线路(ADSL或)其他低速连接上进行,取决于每个虚拟机中变化的数据量以及你在复制几个虚拟机。

你的安全规定很可能包含备份存储的内容。但是,如果不包含这些内容,你要在恰当的时机制定这些规定以便改正这个问题。安全的地方是一个广义的词汇,通常意味着你存储备份的地方是受到保护的,防止非法访问和防止受到火灾、洪水和地震等灾害物理破坏的地方。备份数据最好不要存储在数据中心本身。不过,如果你确实拥有一个能够安全存储备份的地方,你可以存储在那里。有些数据中心像要塞一样,比其它地方都安全。

(6)数据发现(discovery):由于法律系统持续关注电子证据发现,云服务提供商和数据拥有者将需要把重点放在发现数据并确保法律和监管部门要求的所有数据可被找回。这些问题在云环境中是极难回答的,将需要管理、技术和必要的法律控制互相配合。

5.2.3 业务/任务所有者

  • 业务/任务所有者作为项目经理或信息系统所有者,业务/任务所有者的责任可以和系统所有者的责任由重叠和相同
  • 在业务中,业务所有者负责确保系统能够给组织提供价值

可能会采用HVR的场景是分支机构的虚拟机,它们通过复制回到总部来加以保护,以及IT服务提供商提供保护虚拟机这项额外服务的小公司。

5.实时进行备份

(7)数据聚合和推理:数据在云端时,会有新增的数据汇总和推理方面的担心,可能会导致违反敏感和机密资料的保密性。因此,在实际操作中,要保证数据拥有者和数据的利益相关者的利益,在数据混合和汇总的时候,避免数据遭到任何哪怕是轻微的泄露(例如,带有姓名和医疗信息的医疗数据与其他匿名数据混合,两边存在交叉对照字段)。

5.2.4 数据处理者

  • 用来加工数据的任意系统

想实施HVR,你需要确定主要主机和复制主机是不是在同一个网络/域,或者确定防火墙是不是把两者隔离开来。就同一域或可信域主机而言,你可以使用Kerberos验证技术,这项技术任由复制流量处于未加密状态。至于其他的所有场景,你需要实施验证证书和流量加密。你可以将某些VHD/VHDX文件排除在复制对象之外,还可以选择是否想要额外的复制点。默认情况下,仅仅保留虚拟机的“最新”拷贝,你可以选择保留额外的每小时恢复点,让你可以在一段时间以后恢复虚拟机(比如在感染了恶意软件之后)。复制时滞在5分钟到15分钟之间,具体取决于每次复制操作所需要的时间。

最新的备份总是有用的。例如,在银行、在线交易等方面,只有实时的备份才是有用的。实时的备份不需要更多的资源。但是,如果你的数据是时间敏感性的,那么,实时备份只是一种选择。即使你的数据不是时间敏感性的,它对于实时备份也没有影响。

如表1-1所示,结合信息生命周期管理的每个阶段,安全控制要求与云服务模式相关(SaaS、PaaS或IaaS),此外,根据数据的保密级别,对不同级别的信息定义分等级的控制要求。

5.2.5 管理员

  • 数据管理员负责将数据以合适的方式授予人员,他们不一定拥有全部管理者权限和特权,但他们可以分配权限

必威 2

6.备份已经备份的数据

 

5.2.6 保管者

  • 通过以适当方式保存和保护数据,协助保护数据的安全性和完整性

图2:配置需要保存的额外复制点为你提供了一些灵活性,能够在一段时间以后将虚拟机灵活地“恢复”到之前的点。

为了增加额外的保护,你可以备份已经备份的数据。这看起来好像是你一天都在反复地进行备份,但是,对于重要的数据来说,对已经备份的数据进行备份不是浪费时间。

表1‑1  数据安全控制要求

用户

  • 任何通过计算系统获取数据并完成工作任务的人

要注意:HVR是从一个主机到另一个主机的单一复制关系,你无法为了同一个虚拟机而把多个主机串联起来,不过某个主机对不同的虚拟机来说既可以是主要主机,又可以是复制主机;根据你的环境需要,不同的虚拟机可以从一个主机复制到不同的主机。

7.使用自动化

#

5.3 保护隐私

  • 组织有义务保护他们收集和保存的数据,如果法律在司法中得得以执行,那么各组织必须履行这些要求,使用安全基准线以及定义相关标准让保护数据的任务变得简单

要是任何一端将是Hyper-V集群的一部分,需要为该集群启用Hyper-V Replica Broker角色。如果你运行带事务日志的应用程序,还可以选择启用应用程序一致恢复点,这会在复制操作之前利用卷影复制服务(VSS),让应用程序暂时静止,从而确保复制虚拟机里面的应用程序会成功地开始运行。

人工进行备份是很繁重的工作,尽管目前数据中心利用人工进行备份的情况并非没有听说过。不过,人工备份的情况很少,因为现在有许多自动化的工具。如果你没有这些工具,你要得到一个这种工具,因为那将使使你的生活更加轻松。然而,你不要忘了检查备份的结果,因为自动化虽然很好(节省时间和工作量),但是,如果产生不能使用的备份就不好了。备份工具出现错误的情况很少,但是,你不要以为这种事情永远不会让你遇到。

生命周期

5.3.1 使用安全基线

  • 基线提供一个起点,确保最低安全标准,各组织使用的普通基线就是镜像
  • 将系统设置成安全状态后,审计程序要周期性的检查系统,以确保他们维持在安全状态

要是有足够的带宽可以使用,初始复制就会在网络上进行,或立即进行,或以后在指定的时间进行,你还可以备份到外部介质上,然后转移到复制站点。如果你在复制站点已经有了虚拟机的备份副本,还可以将它指定为初始配置的起始点。

8.考虑加密

安全控制要求

5.3.2 审视和定制

  • 审视是指评估基线安全控制,然后选择那些适用于想保护的IT系统的控制
  • 定制是指修改基线内的安全控制列表,使其与组织的使命相适应

HVR包括了必要的Windows防火墙例外规则,但是你需要手动启用它们。在我自己测试安装HVR的过程中,这是个异常简单的过程;需要小心处理的部分就是在每一端设置X.509v3证书,但那是由于我在使用自签名证书。在使用第三方证书的生产环境中,整个过程(初始复制除外)用不了10分钟就能搞定。

本文由必威发布于必威-运维,转载请注明出处:即使你有大量的备份数据都没有使用必威:,云

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。