企業提升雲安全的六大方法

　　談及雲安全，人們的話題大都集中於“雲服務供應商應該怎樣做”，因為 數據與應用服務都由供應商提供。不過企業也必須記住，作為雲服務的用戶，他們也承擔著雲安全的重要責任——有些情況下甚至是最大的雲安全責任。企業永遠都 不能忘記，一旦發生安全事故，他們將面臨最大的挑戰，因為畢竟企業才是負責收集數據的實體。

　　其實，雲安全理應是雲服務供應商和企業的共同責任，不過當今責任的界限的確有些 “雲遮霧罩”。責任界限的劃分應直接取決於企業所選擇的雲服務模型，它們既可能是軟件即服務(SaaS)，又可能是平台即服務(PaaS)，還可能是基礎 架構即服務(IaaS)。作為一種極端服務模型，SaaS被看作是安全“黑匣子”，在這種模型下，大多數的應用安全活動都無法被企業看到。IaaS則代表 另一個極端，這時候，企業就成為了應用、數據以及其他級別基礎設施的主要安全負責人。

　　在雲計算模型下，企業應怎樣提高雲安全，以充分利用雲計算來獲得利益? 做為雲計算的安全專家，CA Technologies認為以下六種方法可以讓企業走上通往“雲安全”的大道：

　　1. 內部私有雲，奠定你的雲計算基礎

　　提升雲安全的第一個方法：了解自己。企業需要對現有的內部私有雲環境，以及企業為此雲環境所構建的安全系統和程序有深刻的理解，並從中汲取經 驗。不要辯解說你的企業並沒有建立私有雲，事實上，不知不覺中，企業已經建立了內部雲環境。在過去十年中，大中型企業都在設置雲環境，雖然他們將其稱之為 “共享服務”而不是“雲”。這些“共享服務”包括驗證服務、配置服務、數據庫服務、企業數據中心等，這些服務一般都以相對標准化的硬件和操作系統平台為基 礎。

　　2. 風險評估，商業安全的重要保障

　　提升雲安全的第二種方法：對各種需要IT支持的業務流程進行風險性和重要性的評估。 你可能很容易計算出采用雲環境所節約的成本，但是“風險/收益比”也同樣不可忽視，你必須首先了解這個比例關系中的風險因素。雲服務供應商無法為企業完成 風險分析，因為這完全取決於業務流程所在的商業環境。對於成本較高的服務水平協議(SLA)應用，雲計算無疑是首選方案。作為風險評估的一部分，我們還應 考慮到潛在的監管影響，因為監管機構禁止某些數據和服務出現在企業、州或國家之外的地區。

　　3. 不同雲模型，精准支持不同業務

　　提升雲安全的第三種方法：企業應了解不同的雲模式 (公共雲、私有雲與混合雲)以及不同的雲類型(SaaS，PaaS，IaaS)，因為它們之間的區別將對安全控制和安全責任產生直接影響。根據自身組織環 境以及業務風險狀況(見上文第2條的分析)，所有企業都應具備針對雲的相應觀點或策略。關於這個問題，歐洲網絡與信息安全局(ENISA)最近出版的 《雲計算-利益，風險，和信息安全建議》(Cloud Computing – Benefits, Risks, and Recommendations for Information Security)一書可以作為參考，從中可以找到這個問題和其他雲安全問題的支持資源。在風險分析的過程中，法律機構也應發揮重要作用，因為涉及擔保和 債務的事務也是分析的重要內容。

　　4. SOA體系結構，雲環境的早期體驗

　　提升雲安全的第四個方法：將SOA(面向服務的架構)設計和安全原則應用於雲環境。多數企業在幾年前就已將SOA原則運用於應用開發流程 。其實，雲環境不就是SOA的大規模擴展嗎?面向服務的架構的下一個邏輯發展階段就是雲環境。企業可將SOA高度分散的安全執行原則與集中式安全政策管理 和決策制定相結合，並直接運用於雲環境。在將重心由SOA轉向雲環境時，企業無需重新制定這些安全策略，只需將原有策略轉移到雲環境即可。

　　5. 雙重角色轉換，填補雲計算生態鏈

　　提升雲安全的第五個方法：從雲服務供應商的角度考慮問題。多數企業剛開始都會把自己看作雲服務用戶，但是不要忘記，你的企業組織也是價值鏈的 組成部分，你也需要向客戶和合作伙伴提供服務。如果你能夠實現風險與收益的平衡，從而實現雲服務的利益最大化，那麼你也可以遵循這種思路，適應自己在這個 生態系統中的雲服務供應商的角色。這樣做也能夠幫助企業更好地了解雲服務供應商的工作流程。