《企业网D1Net》9月18日讯

现在已经很少有人质疑云通过更大的业务敏捷性、服务的快速扩张性以及减少成本所实现的效益。但是安全仍然被视为企业采纳云服务的一个主要担忧。

频繁的黑客事件，有组织的网络犯罪以及国家资助的攻击者不仅在这些信息损失担忧中发挥着影响，还用成熟的方法指向潜在受害者。

对于那些想要收获云的效率和成本效益的人来说，挑战在于找到新的保护其实体及虚拟资产的新方法——而这需要整个企业的途径。

云安全从自家开始

评估和管理安全风险对每个想要实现成功云过渡的组织来说都必须是首要精神。

不同的部署模型——公有云、私有云、混合云——每种都有它们自己的安全漏洞和风险。且这些增长取决于潜在身份不明的用户的范围。

虽然这些挑战都确实存在，但是从内到外有条不紊地工作提供了关键。CIO们和CISO们必须聚焦于确保自己企业的云服务使用，而不是仅仅看一般情况下云是否安全。具有讽刺意味的是，云计算安全的关键始于国内。

本质上，共有5个关键领域需要被考虑：

云接入设备——用户从广泛的设备上访问云，包括台式电脑、笔记本电脑、PDA、手机、只能手机、平板电脑等。一个越来越明显的趋势模糊了个人和企业计算设备的边界，使得组织们控制安全性变得越来越难。

云平台——未来的企业云很可能是链接物理和虚拟化IT资源的混合系统，全都必须被安全地装备。这包括恶意软件和数据保护措施，以及网络和主机安全解决方案。

身份和访问管理——安全生态系统在云中可能不是完全在你的控制之下，所以恰当的安全供应，治理以及管理工具必须在适当的位置以便报告和检查缺口。外包对于那些不想管理他们自己的安全性、身份和访问管理系统的人来说是一个不错的选择。

安全和合规管理——在云中，这要求的要高于单纯的安全产品——你必须还拥有安全敏感的人以及流程来保证环境安全地运行。

云利益相关者——基本上有3个范畴的利益相关者与云相交互，每一个都有其独特的安全属性：

·消费者，可能是个体也可能是与某组织有关的群体

·负责交付云安全的服务人员。

·制定满足审计和符合规定的需求的总体安全水平服务治理有关人员

达到安全云部署的4个步骤：

IT安全性的传统周长屏障在复杂的云环境中不在有效，它没有清晰的识别边界。虽然技术答案只是解决方案的一部分，但是一个全面的计划需要总业务的参与。安全性必须被整合到整个企业的业务和数据流程中——不仅仅在周边或是在云中。

第一步：基于风险的途径

建立一个机遇已感知风险的途径对于准备将应用程序和数据移向云端的组织们来说必不可少。任何对潜在风险的审查都必须从分先影响全部企业的方式的视角去进行。

组织们需要在识别问题并找到介于安全和维持业务积极性之间的准确平衡两个方面具有前瞻性。

这里有四个基于风险的方法的主要部分：

·从遵从性和操作的视角评估不同层次的风险。

·按优先顺序解决安全问题。

·不断监视并敢删环境安全性。

·在转换计划中只使用已证实安全的技术和灵活的采购模式。

第二步：安全设计应用程序

大多应用程序都不是为了运行于一个有敌意的环境中而设计的。

因此CIO们必须确保所有数据和应用程序在被部署于一个云平台前已被彻底检查并修复过了。

这样的目的是使它们能自卫，这就要求从开发者到应用程序开发和数据管理的新的策略。他们需要关注信息保护来确保机密性、完整性和可用性。

最好是架构安全应在新系统的需求和设计阶段就用安全措施、访问控制和内置于细粒度水平的加密被处理过。

第三步：正在进行的审计和管理

连续的合规检测必须在合适的位置来确保云服务安全交付。传统的按月或按年审计的体制在一个不断变化的环境中已经意义甚微。

为了确保安全泄露事件发生时的法定检查和分析，持续的监控和事件记录和日志文件的维护是需要的。

这种信息必须是促进快速反应、通知、和控制措施所即时可用的。

第四步：基础设施和网络安全

当使用基于云的服务时，一个企业对基础设施和网络安全有着最低的直接控制，包括操作程序，网络配置和入侵防护。

这些都是关键领域，所以用户对服务供应商的政策进行一次彻底的审查，作为合同谈判和服务采购中尽职调查的一部分，是很重要的。

如果他们不能满足标准，看看其他的选择。

整个企业的方法

安全问题不应成为企业延迟进入云的一个理由。

安全风险确实存在，但是如果一个整体企业计划被采用，它们是可以被管理的。这不是使云变得安全——这是使一个企业的云服务使用变得安全。

总之，组织们应该：

·建立一个基于风险的方法来使用云服务的可行性。

·设计在云中运行的应用程序。

·采用动态的审计和管理。

·评估云服务供应上的安全措施。

云正在快速发展，对于计划着一个安全路线的企业来说这个机会是很重要的。