很多IT人員都認為公共云服務(wù)不安全，無法確保關(guān)鍵程序工作負載和數(shù)據(jù)的安全。但是醫(yī)療信息供應(yīng)商Schumacher集團首席信息官Doug Menefee卻不這么認為。

“使用云服務(wù)確實存在風(fēng)險，但是任何事情都是有風(fēng)險的，我們必須將商業(yè)利益與這些風(fēng)險進行權(quán)衡?！盡enefee確實也說到做到，現(xiàn)在Schumache集團的業(yè)務(wù)數(shù)據(jù)有85%位于公共云服務(wù)內(nèi)部。

Menefee并不認為自己是云服務(wù)倡導(dǎo)者，他表示他只是接受云服務(wù)這種形式，并愿意做成本效益和風(fēng)險分析。

可以肯定的是，將重要數(shù)據(jù)交給云服務(wù)并不是沒有做安全考慮，例如，該公司重新改進了身份管理程序?！拔覀冃枰紤]如何在公司程序和云服務(wù)中的程序間部署身份管理和安全措施。”

從身份驗證說起

IDC公司安全產(chǎn)品研究副總裁Charles Kolodgy表示，的確，重新調(diào)整身份管理通常都是選擇云服務(wù)的企業(yè)的起點，企業(yè)需要考慮身份驗證、管理控制、數(shù)據(jù)的位置以及可能訪問數(shù)據(jù)的人等問題。 “這些與企業(yè)平時的安全考慮很類似，差別在于企業(yè)不再持有基礎(chǔ)設(shè)置，并且也無法完全進入后臺，所以才需要重新調(diào)整，以確保安全性，”他補充道。

ServiceMesh 和Symplified兩家公司就為需要加強云安全的企業(yè)提供了統(tǒng)一訪問權(quán)限管理的產(chǎn)品。ServiceMesh提供的Agility Access由云管理、安全工具和模塊以及服務(wù)管理等組成。而Symplified提供的Trust Cloud是基于EC2的統(tǒng)一訪問權(quán)限管理和聯(lián)盟平臺，整合并保護軟件和基礎(chǔ)設(shè)施云服務(wù)、EC2和web 2.0應(yīng)用程序。

云服務(wù)的好處

除了技術(shù)支持以外，云服務(wù)模式還為Schumacher公司的運營資源帶來新的思維方式，Menefee表示。

“大型云服務(wù)供應(yīng)商都有專門的團隊和部門專職負責(zé)保護客戶的重要信息，并不斷尋求改善安全、監(jiān)測、入侵控制的方法。作為中型企業(yè)，我們并沒有專職的部門負責(zé)安全。在云服務(wù)供應(yīng)商的幫助下，企業(yè)安全更有保障，”他表示，即使發(fā)生安全泄漏事故，這些團隊也能夠比內(nèi)部人員作出更快的反應(yīng)。

當然，將企業(yè)數(shù)據(jù)交給云服務(wù)供應(yīng)商后，要求云服務(wù)供應(yīng)商提供企業(yè)所需要的安全保障是完全合理的，但是，“不要因為將數(shù)據(jù)交給云服務(wù)供應(yīng)商就忽略了企業(yè)的安全目標或要求，”Forrester研究所分析師Chenxi Wang表示。

云服務(wù)供應(yīng)商在安全保障方面可能會有所出入，企業(yè)必須嚴格要求云服務(wù)供應(yīng)商按照合約履行安全職責(zé)，“如果云服務(wù)供應(yīng)商告訴你，你所要求是不可能實現(xiàn)的，你就可以告訴他們，那我們?nèi)フ伊硪患以品?wù)供應(yīng)商。”

美國的Schwan食品公司在規(guī)劃虛擬災(zāi)難恢復(fù)架構(gòu)時就運用了這個策略，該公司的高級IT運營經(jīng)理Cory Miller表示，“我們告訴供應(yīng)商，‘你們必須使用我們的工具，將這些工具擴展到你們的環(huán)境’?！蹦闵踔量梢宰屍髽I(yè)的安全工具供應(yīng)商與云服務(wù)供應(yīng)商簽訂協(xié)議。

Schwan食品公司用于保護其虛擬基礎(chǔ)設(shè)施的虛擬防火墻來自Reflex系統(tǒng)公司，該系統(tǒng)公司就與美國計算機科學(xué)公司以及Savvis公司（云服務(wù)供應(yīng)商）合作，旨在“當在私有云和公共云間傳輸時確保安全保障和管理的統(tǒng)一性”。

當Schwan公司試圖將云服務(wù)向外擴展時，許多云供應(yīng)商都躍躍欲試，但是到實際部署階段，并不是所有供應(yīng)商都能夠接受Schwan的要求，技術(shù)整合是這些供應(yīng)商面對的難題。

“我們告訴這些供應(yīng)商，如果你不能提供這些功能或者服務(wù)，我們可以去找另外的供應(yīng)商，”Miller表示。

即使是小型公司也會從長計議。如果企業(yè)現(xiàn)在建立了私有云，并希望將來擴展到公共云服務(wù)，那么了解云服務(wù)供應(yīng)商能夠或者不能夠支持的安全工具將會影響企業(yè)的技術(shù)選擇。“企業(yè)肯定不希望自己設(shè)計的私有云與外部公共云在管理或加密程序方面有如此大差異，這樣的話，根本無法體會到云服務(wù)帶來的優(yōu)勢。”

嚴格要求云服務(wù)供應(yīng)商

隨著云服務(wù)不斷成熟，供應(yīng)商們都在努力開發(fā)能夠幫助企業(yè)擴展要求的工具和服務(wù)。

其中一個工具就是Adaptivity的Blueprint4IT，企業(yè)能夠用這個IT設(shè)計軟件來創(chuàng)建IT安全規(guī)劃圖，并考慮了這些因素：訪問權(quán)限政策、傳輸中和靜態(tài)數(shù)據(jù)的安全性，確保數(shù)據(jù)從內(nèi)部網(wǎng)絡(luò)向云服務(wù)安全傳送所需要的硬件和軟件組件。

“確定企業(yè)的要求，創(chuàng)建規(guī)劃圖，然后將規(guī)劃圖交給云服務(wù)供應(yīng)商，要求供應(yīng)商按要求部署云服務(wù)，”Adaptivity創(chuàng)始人兼首席執(zhí)行官Tony Bishop表示。或者企業(yè)可以試用Blueprint4IT來評估云服務(wù)供應(yīng)商并幫助企業(yè)對安全架構(gòu)成熟度評分。

有志者事竟成

企業(yè)選擇云服務(wù)時需要記住的是，“在云服務(wù)中，并不是每個應(yīng)用程序都能確保安全，但與此同時，云服務(wù)并不是不能確保任何程序的安全，”Gartner公司副總裁John Pescatore表示。

即使是金融機構(gòu)、政府機構(gòu)或者持有高度機密數(shù)據(jù)（如支付款信息或者醫(yī)療信息）的其他公司都能夠在云服務(wù)中找到必要的安全保護。

Pescatore表示，還有一種方法就是在云服務(wù)中使用假冒數(shù)據(jù)，而不是真正的重要數(shù)據(jù)，“應(yīng)用程序可以交給云服務(wù)處理，但是像支付款信息或者個人信息等重要數(shù)據(jù)還是應(yīng)該保存在內(nèi)部網(wǎng)絡(luò)。”

顯然，企業(yè)在考慮選擇試用公共云服務(wù)時，有很多問題需要考慮。他們必須將風(fēng)險和效益綜合進行考慮，并將重點放在數(shù)據(jù)和必須的控制上，從而作出正確的選擇。  

【編輯推薦】

1. 身份認證與安全一線牽
2. IPv6身份驗證和安全性