如何安全的遷移和維護雲服務

 　　越來越多的時候，CIO(Chief Information Officer) 和CSO(Chief Security Officer)們被賦予負責企業核心業務向雲上遷移的任務，最起碼這些問題是安全從業人員的頭痛和挑戰，如何快速形成一套可遵循的安全規范是一個挑戰。出現的另一個問題是，雖然大多數企業已經在使用了網絡的安全規范，但這些規范都是傳統第三方安全廠商對於傳統安全所制定的，往往有一些不是真正適合雲服務的。

　　但是雲維護和傳統的第三方解決方案不同，如賣方負責的雲中的安全控制，通常情況下，安全專家只需要負責管理和維護關鍵的安全控制。舉個例子，一家企業作為一套PaaS(平台即服務) 的雲服務提供商，該企業一般會負責應用程序本身的安全性。 PaaS的雲服務提供商將負責固定平台和基礎設施的配套應用。能清晰地勾勒出誰負責哪個組件的要求提供所需的安全等級，同時足夠靈活的適應這些不同的服務模式是至關重要的。

　　首先需要建立一個框架：

　　構建雲的安全性，需要創建一個規則來審查，批准和管理的雲服務提供商。這裡我舉一個企業的例子：

　　為了開發這種框架，需要先和相關人員收集業務、技術和安全方面的要求。然後分析雲服務提供商在對數據進行存儲和處理相關的細節問題。在你充分了解了這些後，你就可以利用現有的企業安全策略和標准，來進行添加額外的內容來匹配雲計算環境。前提要求制定的策略要足夠靈活，在應對一些突發情況時可以從容應變。

　　一旦制定的策略完全滿足雲安全框架(Cloud Security Framework)，那麼就需要在企業會議上討論如何有效執行的問題，會議中要傳達該框架的重要性，並討論企業如何調整現有安全策略到該雲框架。一旦該框架被企業采用，那麼不僅僅是IT部門，企業全部的業務部門都可以使用業務，最終企業所有的業務平台全部遷移到雲，而這個框架就可以統一所有員工的操作規范，從而保證企業數據在雲中的安全性和穩定性。

　　雲服務的安全管理：

　　除了應用雲安全框架之外，企業的IT人員也應該即時審查雲服務提供商的安全性，測試一下該雲計算提供商的服務是否可靠，如果有類似服務中斷或者員工的使用問題可以及時解決。

　　安全工程師也要及時跟蹤在工作中產生的問題，企業雖然使用雲服務來存儲和處理大量的文件數據，但是雲服務也總有不穩定的時候，及時同步數據到本地，並對這些數據加以管理就變的至關重要。

　　解決這個問題的最好辦法是通過與雲服務提供商來協調，共同開發一個程序來審查、審批以及管理。這個方案需要雲服務提供商允許我方企業的安全人員深度接觸該雲服務提供商的技術流程，以便於應對該提供商的業務來進行修改雲安全框架。在使用雲服務過程中，收集員工對該服務的評價和問題，也可以通過調差問卷的形式進行收集意見，通過匯總得到的信息和雲服務提供商協調溝通，一方面可以解決企業的需求問題，另一方面可以改進該雲服務提供商產品的使用體驗。

　　在使用過程中，及時的收集員工在雲安全框架上的執行度，對出現的業務操作漏洞進行處理，以避免企業敏感數據洩漏。

　　通過利用你所了解的知識，並利用現有的技術，作為一個安全專業人員，對於任何業務需求你都能夠快速響應，同時最大限度地減少核心應用程序到雲環境的風險。這種解決方案不僅可以讓我們對雲提供商可以進行及時的穩定性審查，還可以提供一個應用來管理我們自己的雲服務，從而讓我們企業的數據在雲上依然可以受到和本地同樣的保護。