信息安全事项:多模式时代的信息安全

数据中心曾经非常简单. 大房间. 大箱子. 人们忙着按按钮，挂胶带. 人类就是人类，恐龙在地球上漫游. 现在一切都消失了，包括性别歧视. 在这个世纪, 到目前为止, 数据中心一直处于黑暗状态, 禁止, 小房间大壁橱, 真的——用对电力和冷却有很大需求的小机器. 而且根本没有人，至少电脑所在的地方没有人. 而现在，即使是这样的数据中心也正在消失.

它要去哪里??

答案是, “很多地方,包括第三方托管(colo)中心, 供应商数据中心(或其托管站点)中的托管服务, 还有云, 在哪里——不管那是什么. 在任何给定时刻, 组织发现他们的应用程序和与之相关的数据在许多不同的场所运行, 都是同时发生的. This is the dawn of the multi-modal era; data center staff must adjust or be left behind. 安全专业人员也必须如此.

多模态环境中的访问控制

有很多原因导致了这种远离中央的运动, 澳门赌场官方下载拥有的数据中心-技术, 经济, 社会学和地理学的原因. 我更愿意关注效果, 具体地说, 关于信息安全的, 可恢复性和控制. 作为信息资源, 数据和软件, 走出拥有它们的组织的限制, 与组织雇用的人员相比，其他人员获得这些资源的可能性必然更大.

那些人是谁??¹

在最基本的层面上，他们是别人的雇员. 他们是“触摸劳动”.”² 他们是管理备份等任务的技术人员, 修补和维护客户的IT基础设施. 他们是管理公共云的人, 哪一个, 剥去最基本的部分, 仅仅是一系列相互关联的数据中心作为一个公用事业来运作吗. 他们是管理防火墙的安全专业人员, 加密密钥, 威胁检测和事件响应. 这其中的一些人 需要 access to their customers’ data; others must never have that access. 组织自己的信息安全专业人员的任务是识别差异，并采取适当的措施来控制所有这些外部和未知的人员. Quis custodiet ipsos custodes? 谁来守护守护人?必须在不断增加的抽象层次上处理. 谁，确实，守卫着守卫着守卫着守卫着守卫着……?

最近的历史告诉我们，对计算设备的物理访问可以绕过所有逻辑访问控制.^{3, 4} 几十年来,, 当我们说“访问控制”时，我们指的是逻辑限制, 只有相对较少的官员才能接触到设备. 这道屏障是通往数据中心的一扇上锁并受到监控的门. 这种情况在颜色中可能仍然存在, 如果一个组织有一个锁着的笼子, 有一些保证，只有来访的客户员工可以访问.

如果共用一排只有几个机架，柜门上的锁就不那么让人放心了. 即使有了锁, 许多客户聘请colo员工安装新设备, 撤回磁带备份并执行其他需要物理存在的活动.

外包的挑战

在一个层面上, 保护远程物理设备内的数据和其他电子资源的挑战只是外包问题的延伸, 一些组织多年来一直在处理这个问题.⁵ 今天显著不同的是，组织正在外包不同的平台, 基础设施, 应用程序和控制功能同时提供给不同的提供者. 在任何时间点, 一个组织可能同时在它自己的数据中心拥有一些信息资源, 穿着一种颜色, 通过Web和多云访问的服务. In most cases, this was not planned; it developed over the years. 随着即将到来的一年过去，这种组合将发生变化.

无论系统的分布如何，系统之间都可能存在相互作用. 因此, 安全专家和操作人员面临的挑战通常是开发同时查看和监督所有这些数据的能力. 例如, 如果组织在托管的系统上遭受攻击, 了解攻击是否会传播到托管在另一个数据中心或云中的相关系统是很重要的.

云中的云

注意在前面的句子中使用了“a cloud”而不是“the cloud”. 我们中的许多人已经习惯于将云支持的服务作为一种概念来处理，以至于我们已经失去了与现实的联系，即一个组织可能会使用几种这样的服务. 因此，组织需要一个虚拟控制台⁶ 这可以同时提供对所有澳门赌场官方下载环境的可见性. 用户视图是什么, 对于很多组织来说, 一片云也没有, 不过是一片乌云, 再次提高元控制级别. 每个云都需要单独保护，并作为一个整体进行保护.

多模式架构的一个优点是, 不考虑病毒或蠕虫的传播, 澳门赌场官方下载范围内的停机是不太可能的. 停电, 例如, 一个服务器的数据中心不会影响到其他服务器, 所有地点都相距很远. 另一方面, 许多当前的IT灾难恢复计划预计在单个中央数据中心发生全中断或全中断. 灾难恢复计划将不得不重新考虑多模式环境, 这是未来文章的绝佳主题.

当然, 组织将始终拥有内部数据中心, 至少只要员工在组织场所工作. 需要有一个戒指来统治所有的戒指，并向J致敬. R. R. Tolkein.⁷ 这将是一个数据中心，将大楼里的所有人与他们使用的所有系统连接起来, 无论这些系统在哪里. 那个数据中心可能只不过是一个有文件服务器和网络连接的壁橱, 但它会在那里, 太, 是否需要与过去和现在的大型数据中心相同的安全性.

在我看来，未来将带来多模式服务提供商(mmsp)之间的竞争。. 事实上, 随着一些较大的主机托管供应商扩展到基于云的服务，这种情况正在发生. 还有待观察的是什么时候, 没有如果, 他们意识到安全是他们之间的战略区别.

尾注

¹ 一个在电影中出名的问题 布奇·卡西迪和圣丹斯之子, 美国, 1969, 英雄们问了很多次，越来越沮丧的是他们无法逃避法律的制裁
² 对于那些用手在电脑和存储设备上做实际工作的人来说，这是一个相当不礼貌的短语
³ 库什纳,D.; “The Real Story of Stuxnet,” 光谱， IEEE, 2013年2月26日; http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet
⁴ Perlroth N.; “In Cyberattack on Saudi Firm, U.S. 看到伊朗在还击。” 《澳门赌场官方软件》2012年10月23日 www.《澳门赌场官方软件》.com/2012/10/24/business/global/cyberattack-on-saudi-oil-firm-disquiets-us.html. 原来的沙蒙也用了同样的方法. 尚不清楚Shamoon 2是否以同样的方式发射.
⁵ Tiow B. L.; “A Security Guide for Acquiring Outsourced Service,” SANS Institute, 19 August 2003, http://www.sans.org/reading-room/whitepapers/services/security-guide-acquiring-outsourced-service-1241. 关于这个问题的文献并不缺乏，而且这些年来几乎没有什么变化. 例如，请参阅2003年发表的这篇文章.
⁶ 我指的不是任天堂的这款工具.
⁷ J. R. R. 托尔金(1892-1973)是一位英国作家、诗人和大学教授. 他最著名的著作是 《澳门赌场官方下载》, 《澳门赌场官方下载》 和 《澳门赌场官方下载》，以及其他奇幻小说.