公告資訊

未經授權,禁止轉載網站文章與內容。如有需要可以跟我聯絡,謝謝!!




2012年1月1日 星期日

從Windows Azure 雲端平台談Web應用程式執行環境的安全性

對於企業或是雲端服務提供廠商來說,如何讓對外營運的網站或是Web應用程式有一個安全又穩定的執行環境,一直是一個很重要的課題。然而對於大部分的公司來說,因為內部缺乏專業的資訊安全服務團隊的關係,因此往往是等到遭受到惡意的攻擊導致服務停止之後,才開始去修補漏洞;而就算是作業系統有推出修補的程式,IT 人員也有可能因為事情太多忘了馬上安裝修補程式,而導致系統出現了安全的空窗期...

除了作業系統可能會有安全性的漏洞之外,惡意的使用者也可能從網路發動阻絕攻擊(DDOS)來癱瘓你的網站。因此要讓一個Web 應用程式可以對外營運,除了開發之外,有很多的成本都必須花在IT 設備以及網路安全的監控上。重點是 -- 網路上的攻擊手法日新月異,這些投資還是無法保證你擁有一個真正安全的執行環境...

Windows Azure 雲端平台本身是屬於PaaS的一種,而且通過了ISO 27001的資訊安全認證,因此當你把Web 應用程式部署到Windows Azure 雲端平台之後,剛剛前面描述的這些傳統IT 安全性部分的需求,就由Windows Azure 雲端平台的維運團隊來幫你處理了!! 我們可以從最近的一次安全性更新,來看一下Windows Azure如何幫你維護Web應用程式執行環境的安全性:

首先,我們可以先從Scott的Blog,了解這次安全性重要更新 (MS11-110)的內容:http://weblogs.asp.net/scottgu/archive/2011/12/28/asp-net-security-update-shipping-thursday-dec-29th.aspx

而當重要安全性更新發布之際,Windows Azure 的營運團隊也會寄給每個Windows Azure用戶一封標題為:"

IMPORTANT NOTICE: Windows Azure updated to address Security Bulletin MS11-100

" 的信,內容如下:

image

這一封信就是告訴每一位Windows Azure 雲端平台的用戶,這一個作業系統的重要安全性更新,將會自動套用在用戶所租用的作業系統上。換句話說,只要你將Web 應用程式部署到Windows Azure 雲端平台之後,執行環境的作業系統就會自動地保持在最安全的執行狀態,即便是沒有IT 人員的軟體公司,也可以很低廉的成本就可以有高安全性的Web 應用程式執行環境!!

當然,若是你擔心自動套用作業系統安全性的更新可能會導致你的程式部分功能發生問題,你也可以透過下面的方式,測試之後再手動地將執行環境上到最新的版本:

1. 在Windows Azure管理工具當中,首先在託管服務中,建立一個新的預備部屬環境:

image

2. 設定這次部署的名稱,並且重新上載生產(production)環境所使用的封裝以及設定檔:

image

3. 完成之後,選取上方選單的"設定作業系統"按鈕:

image

4. 從作業系統清單中,根據Windows Azure營運團隊所發布的訊息,選取這次更新之後的作業系統版本(WA-GUEST-OS-2.8_201109-03):

image

Windows Azure雲端平台中,目前有兩種作業系統:Windows Azure Guest OS 1.x的是Windows Server 2008,而Windows Azure Guest OS 2.x的則是Windows Server 2008 R2. 你可以根據需要選擇需要的作業系統,而不需要另外再付授權的費用

5. 完成之後,你就可以利用剛剛建立的預備部署環境,測試安裝了安全性更新之後,你的應用程式是否還是可以正常地執行。

6. 接下來,只需要按下上方選單的"交換VIP"按鈕:

image

然後下面的視窗會告訴你,接下來生產部屬與預備部署的VIP將會交換。換句話說,測試完成的預備部署環境,就會變成生產環境了!!

image

7. 最後,別忘了將原本的生產環境刪除,否則是會繼續收費的喔!!

在傳統的IT 的生產環境當中,若是要上安全性的更新,除了可能需要重新建置預備部署環境測試之外,當正式要安裝安全性更新時,往往也需要將生產環境離線,安裝完更新之後再測試,才可以重新上線。這樣的作法不但需要很多IT 的成本,也可能會造成系統的down-time。而透過Windows Azure雲端平台自動化管理的機制,就算是你的生產環境中有100個Web Role的instance,我們也可以很輕鬆的測試系統在上了安全性更新之後的狀態,並且在沒有down-time的環境之下,輕鬆地將系統重新上線在最安全的環境之中!!

沒有留言:

最新回應

Loading...

即時與版主對話


(若狀態顯示"忙碌"時,我可能無法馬上回應。你可以留下Email,我會盡快跟你聯絡,謝謝喔!!)