【51CTO.com 綜合消息】云計算為組織提供兼具可擴展性和成本效益的靈活的 IT新選擇，但要實現(xiàn)云服務的全部優(yōu)勢，企業(yè)必須信任這些新服務的安全、策略和流程。企業(yè)要擴展外圍的 IT 安全，必須首先建立一個可信任的云計算前端：提供安全保證、管理、控制以及可靠的性能。

組織考慮采用云技術 － 但他們能夠信任云嗎？

越來越多的組織轉(zhuǎn)向云計算。據(jù)分析機構(gòu)評估，云計算市場規(guī)模可達 420 億美元 ，至 2013 年，僅軟件即服務 (SaaS)市場即可增長至 160 億美元 。某些組織是受到云計算顯著優(yōu)勢的吸引而轉(zhuǎn)向云計算，而某些組織是發(fā)現(xiàn)其競爭對手通過云計算贏得了優(yōu)勢，進而迫于壓力也開始采用云計算。對于很多組織而言，這兩種力量都起到了一定作用。

幾乎每個 CIO 的解決方案候選列表中都包括一個云計算選擇，因為云計算能使企業(yè)提高 IT 的質(zhì)量和靈活性，而 IT正是其業(yè)務賴以運行的關鍵。云應用程序、平臺和基礎架構(gòu)服務可以擴展數(shù)據(jù)中心的功能，同時有效利用資源，降低 IT 部門的總擁有成本。云服務采用“即用即付”模式，使組織能夠從小規(guī)模開始快速擴展，既不犧牲服務質(zhì)量，也不要求在基礎架構(gòu)上投入大量初始投資。

云計算是現(xiàn)今 IT 最重要的趨勢，而且可能在未來數(shù)年繼續(xù)保持強勁態(tài)勢。然而，這個行業(yè)仍處于發(fā)展初期：平臺不完整，安全措施尚未成型。IT 管理者不能忽略云技術 - 但尚不能充分信任它。

信任第一

盡管企業(yè)認可云計算的潛在優(yōu)勢，但他們不愿意將所有關鍵處理或數(shù)據(jù)遷移到云中。并不是說云技術的固有安全性優(yōu)于或遜于企業(yè)現(xiàn)有環(huán)境，關鍵在于前者采用一種截然不同的方式，特別是對第三方的依賴。

在接受云計算之前，組織需要求服務供應商確保其關鍵資產(chǎn)的安全。但企業(yè)應該知道，云安全并不是一種簡單的“全部肯定或全部否定”的選擇：他們可能必須在開放性和安全性、控制與可用性、靈活性與風險管理、過程與實施之間作出權(quán)衡。

在依賴 SaaS 和云服務來提供計算能力、存儲和關鍵業(yè)務應用程序之前，組織需要明白這一點：自己的策略仍適用于云中的資源，并且能夠?qū)徍嗽撇呗缘膶嵤?。信任還要求服務等級協(xié)議 (SLA) 保證可用性、可靠性和業(yè)務連續(xù)性。而且組織應該要求云供應商解決新出現(xiàn)的數(shù)據(jù)泄漏問題，包括因多租用和云運營商的訪問而導致的此類問題。當企業(yè)從僅使用一種云服務遷移至使用不同供應商提供的多種云服務時，他們必須處理與多個運營商合作而產(chǎn)生的所有問題，而每個運營商具有不同的基礎架構(gòu)、運營策略

和安全技巧。在如此復雜的信任需求的推動下，產(chǎn)生了對可信任云計算前端的需求。

可信任的前端：概述

可信任的云計算前端是一種安全和信任中介服務，它面向多種云服務提供單一便利的入口，鼓勵管理員、員工和業(yè)務合作伙伴采用云應用程序與流程。它可以改進組織原有的安全，同時使安全的實現(xiàn)比以往更加簡單。對于企業(yè)而言，可信任的前端就是一個符合開放標準的 API。對于云供應商而言，它支持多種接口，有助于業(yè)務合作伙伴的集成。而雙方都無需了解：可信任的前端如何避免企業(yè)及其云供應商擺脫實施強大安全措施而導致的高度復雜性及高昂成本，以確保云用戶、應用程序和數(shù)據(jù)的安全。

對于多數(shù)組織，選擇經(jīng)認可的可靠服務供應商（或“信任供應商”）提供安全與信任中介服務是為云創(chuàng)建安全前端的最佳方式。在選擇可信任前端供應商時，組織應評估他們是否已妥善解決保證、管理、控制和可靠性能的關鍵問題，并確立一個度量標準，以幫助確保組織在上述領域中獲得相應的投資回報。

安全保證決定門的開啟

信任供應商應通過嚴格的用戶認證和授權(quán)來保證安全，并額外考慮高優(yōu)先級或高風險用戶的安全以及遠程訪問使用案例的挑戰(zhàn)。在所有情況下，供應商都必須證明自己能夠根據(jù)企業(yè)的訪問策略拒絕未授權(quán)用戶的訪問。盡管可信任的前端主要依賴現(xiàn)有流程和資源，但它可以通過動態(tài)插入例如多因素認證等其他安全層來提高安全性。

組織應該考慮可信任前端的供應商是否提供查核例如筆記本和智能手機等用戶設備的信任度的能力?；趷阂廛浖耐{已經(jīng)影響消費者多年，最近的公司攻擊已經(jīng)表明，終端保護不會保護企業(yè)用戶設備免受外部攻擊。信任供應商應該保護和監(jiān)視用戶設備，并評估是否許可他們訪問機密的云資源。

由于可信任的前端能為云供應商提供安全最佳實踐，所以行業(yè)可以形成一致的類似于信用卡行業(yè)的 PCI 標準的云安全標準。然后供應商可以根據(jù)這些標準要求 SaaS 和平臺即服務供應商取得認證。與此同時，信任供應商可以獨立提供安全認證服務和漏洞評估服務。

管理使企業(yè)重掌控制權(quán)

盡管云應用程序擁有戶內(nèi)應用程序所不具備的優(yōu)勢，它們也可能由于支配和管理用戶、應用程序和業(yè)務流程而打亂組織的模式。組織應該對任何 SaaS 或云服務供應商的安全管理過程和功能進行評估，確定它們是否充足且成熟，以及是否與組織自有的信息安全管理實踐保持一致。

對于多數(shù)企業(yè)而言，可信任的前端會與公司目錄和元存儲庫集成起來，支持在外圍形成一致的管理、認證與授權(quán)。其他企業(yè)可能會選擇一種更為簡單的策略實施方法，即依賴于自動化用戶配置和取消配置。

對于傳統(tǒng)的身份與訪問管理平臺，可信任的云計算前端類似于訪問請求交換機/路由器，同時發(fā)揮著外部策略實施代理的作用。作為身份中介和授權(quán)代理，在利用組織內(nèi)部例如企業(yè)域控制器等信任源或例如 Google 或 PayPal 等外部身份供應商服務的 bootstrap 憑證和認證時，可信任前端應避免發(fā)生憑證泄漏。因此信任供應商應遵守例如SAML、OPENID、OAUTH 和 XACML 等標準，以避免日后發(fā)生鎖定。

控制是合規(guī)性的關鍵

信任供應商不僅必須提供保證、管理和可靠性能，還必須全面跟蹤、審核和報告他們提供這些服務的效率。對于每個單一訪問事件，供應商應該能夠監(jiān)視并報告訪問者、訪問內(nèi)容、訪問方式、訪問時間和訪問位置等信息。

可信任的前端簡化審核跟蹤和合規(guī)性報告，提供整合訪問事件日志的絕佳機會。審核者更容易檢查跨所有云資源和所有用戶的法律、法規(guī)和規(guī)則（例如 SOX、HIPAA、PCIDSS）的合規(guī)性。

可靠性能推動業(yè)務連續(xù)性

組織必須對其信任供應商充滿信心，相信他們能夠提供完全符合 SLA 的云資源訪問。組織還必須調(diào)查信任供應商是否符合連接、冗余、故障切換、災難恢復和防范 DDoS 攻擊等方面的行業(yè)最佳實踐。

云供應商合作伙伴和組織需要討論并商定 SLA 可靠性標準以及根據(jù)所有 SLA 進行監(jiān)視和報告的流程?？尚湃喂谭湛煽缙髽I(yè)所依賴的所有云服務提供整合的 SLA 監(jiān)視與報告。這可以提高可見性，降低管理多個獨立云的操作復雜性。

結(jié)論：行業(yè)領先者努力勾畫信任的藍圖

確?？缍嘤脩艏霸瀑Y源的嚴密安全性與靈活性是一個前所未有的挑戰(zhàn)，多數(shù)組織都不具備這種挑戰(zhàn)所要求的專門技能，而且也沒有時間去培養(yǎng)這種技能。因此一種新類型的服務供應商應運而生來應對這種挑戰(zhàn)，他們創(chuàng)建可信任前端，以新的方式重新集成最優(yōu)質(zhì)的應用程序、數(shù)據(jù)和用戶，使組織不僅能夠保持按需模型的靈活性，也能夠?qū)⒃L問策略和安全控制擴展到云中。通過選擇使用這樣的服務供應商，組織可以引入最佳實踐，在復雜 IT 環(huán)境內(nèi)實現(xiàn)可信賴的安全性。