在云计算的热潮中，将关键业务系统外包到云端前，务必审视安全问题。

核心业务程序涉及人力资源、财务、信用卡等敏感数据。一旦数据受损，可能引发法律纠纷，损害品牌形象，导致客户流失。那么，如何确保云计算有效保护这些数据呢？

成功迁移应用程序至云端，需关注以下三方面：

• 建立第二层防火墙保护（深度防御）；

• 分析应用程序文档，了解防火墙规则变化；

• 收集系统和应用元数据，实现平滑迁移。

首先谈深度防御。

应将敏感数据置于主企业防火墙后的第二层防火墙段。此防火墙和网络保护敏感应用和数据，防止互联网防火墙被突破后的轻易访问。以杂货店为例，至少应部署四个防火墙段：分别保护人力资源、财务、信用卡PCI数据和共享服务。共享服务段可能包含网络管理、加密、PKI功能、访问控制和安全事件管理。

为防止内部数据窃取，可建立隧道访问协议。这是一种访问控制功能，要求管理员在执行管理任务前记录相关信息，从而跟踪所有访问，防止信息泄露。

其次，需分析确保应用程序成功迁移。建议从设计文档入手，全面了解业务需求、中间件、数据库和协议。逻辑架构也常包含其中。

关注与应用程序交互的所有系统很重要。安全团队应收集敏感数据、加密工具和渗透测试结果等信息。建议制作协议图，明确服务器、IP地址、协议和端口。此网络视图展示服务器间的通信方式和所用协议。若协议图详尽，创建防火墙规则将更简单。

最后，建议全面收集系统和应用元数据。这对于成功移植应用程序及应对灾难、业务中断或云端撤回至关重要。每个防火墙段/网段都有相应系统信息，如防火墙、路由器、加密算法和存储子系统。系统元数据包括厂商、型号、软件版本等配置数据。应用程序数据类似，但涉及负载均衡器、加密方法、中间件等。应用元数据也包括厂商、型号、软件版本等配置信息。

关于元数据存储位置，建议采用层次结构存放在LDAP存储库中。可建立两个层：一是段系统层，针对每个段；二是应用程序层，面向段内所有应用。此结构有助于系统性收集元数据，实现快速部署。最重要的是，它能迅速将应用或段部署到云端。

总之，迁移关键云应用需将数据置于第二层防火墙后。根据数据类型如信用卡、财务、人力资源数据和共享服务，将应用放在不同段中。应编制或审阅文档，确保顺利移植应用。元数据从两层次结构中收集：按段划分的系统和各段中的应用。建议将元数据保存在易检索的目录中。