《企业网D1Net》3月26日（北京 编译）

云计算是重新思考企业安全和风险管理的一个独特的机会。

云安全已经成为许多企业内存在分歧的话题。一些人认为，云计算作为一种业务需要，必须跟上竞争对手的脚步，或成为改造“旧世界”IT的工具。而其它人却看到了云计算艰巨而危险的安全隐患。对于我来说，云计算是重新思考，重新设计，以及实施信息安全和风险管理，以推动业务敏捷性的一个机会。

云计算为信息管理系统提供了一个独特的变化，即自动化的采用。虽然大多数人将自动化看做是云计算成本节约和效率的基石，但是如果不是更多的话，自动化对于信息安全和风险管理是同样宝贵的。纵观当今的安全问题，到处充斥的是那些主要由人工操作和断开连接的方法。

1、业务系统的推出，更新速度要快于安全团队进行识别，分析和跟踪的速度。

2、赞助商在设计，开发和运行过程中隐式的接受了很多风险，但只有当迫于安全和风险管理时这些风险才会得到缓解。

3、安全政策主要通过手工执行审计和流程来强制施行。

4、将当今的信息安全和风险管理问题扩展到云计算速度，这是站不住脚的，但是在没有重整企业姿态的情况下这样做会给企业带来更大的风险。

一个成功的方式，结合了重构现有的信息安全和在云计算速度和规模操作自动化上的风险管理实践。该自动化包括四个主要组成部分：

1、一个可靠地部署虚拟系统，以数据驱动进行设计的执行引擎

2、以生命周期为中心的系统管理和操作工具

3、确定关键问题和风险的自动感知和扫描系统

4、能驱动计划性、自动化回应和通知的政策评估引擎

这一强大的自动化和重构信息安全概念的结合，创建了一个环境，在这一环境中云系统的安全要求得到了编码，并以规范性和积极的方式强制执行。

在采用例行安全系统和业务应用程序扫描的一个企业的例子中可以看出。这些扫描的挑战首先是确定要扫描的系统。这往往是最耗时的过程，但也是取得成功的关键因素。一旦确定，系统安排扫描，然后进行扫描，最后进行结果分析。然后，安全团队与项目/开发/业务团队就问题进行沟通，并洽谈整治时间表，风险接受，以及延期问题。

IT安全团队通常对整个扫描过程进行管理，较安全性来说在官僚机构上会花费更多的时间。由于开销问题，这些扫描通常在生产或接近生产系统时执行。当企业中的每个应用程序或服务器每年都进行扫描时，该扫描过程即被认为是成功的。

在以云为中心的运营中，系统可能会连续运行数小时或数天，这意味着现有的流程可能会完全错过这一系统。然而这个差距可能通过放慢云部署，以适应现有的流程来得到缓解，这是一个对云安全扫描过程进行校正的更好的策略。

例如，在敏捷的云运营中，一个云管理平台能够意识到每一个业务和开发团队所创建的系统。通过自动化和政策，每个系统在启动和重新启动时进行扫描。结果可自动发送至系统拥有者和信息安全中心。更重要的是，扫描系统可以在系统开发的早期阶段运行，这个时候能够更容易，更便宜，更快速地对系统进行更改。进一步的改进是能够自动分离结果到那些可以立即采取行动的系统所有者手中，以及那些需要安全专家进行进一步分析的企业中。

通过基于云计算来调整安全扫描程序，企业能够在云中心环境中采取更敏捷的策略，移至更频繁的扫描，以及进行更早、更便宜的整治。然而，在没有云管理平台提供坚实基础的情况下是不会获得这样的收益的。

通过丰富的自动化来部署云管理平台政策的基础设施，可以确信，他们已经建立了治理、合规以及可配置的、自动化的以及强制执行的安全。这样做，能够保证企业可以在云计算速度和敏捷性的基础上进行操作，懂得信息安全一直是旅程的一部分。