我是一個年收入在10億美元以上的公司的CIO或CSO。在將公司的IT基礎設施放入云之前，哪些是我需要考慮的安全問題呢？讓我們列出以下安全問題：有哪些設備需要放入云中？敏感數(shù)據(jù)如何保護？如何升級加密算法？如何限制對于敏感數(shù)據(jù)的訪問？如何跟蹤關(guān)鍵系統(tǒng)數(shù)據(jù)？

假定每個公司都有相應的防火墻和相關(guān)的網(wǎng)絡設備放在云供應商的云環(huán)境中。每個部分都有他們支撐的不同應用。因為其他公司也可能在同時使用這個云，他們可能會和我們共同使用防火墻設備、網(wǎng)絡設備、數(shù)據(jù)庫、虛擬操作系統(tǒng)以及虛擬存儲。

首先先看一下云服務供應商在現(xiàn)實中采用的安全限制。由于公司現(xiàn)有IT應用在標準化方面的欠缺，可能很難將所有公司的基礎設施都部署到云中來。例如，我服務的一個客戶有一個主機解決方案是與Web服務集成到一起的。Web服務是與一個POS（銷售點）系統(tǒng)進行接口的，并且是利用一個基于TCP/IP的專有端口與主機進行通信。主機接收并存儲敏感的信用信息。對于這個解決方案來說，所有的POS方案、Web服務和TCP/IP的通信渠道都可以放入云中。大型主機的應用程序、專有的存儲基礎設施，以及加密技術(shù)很難放入云中。大型主機應用程序也可以進行移植，但前提是需要一個艱難的重寫。如果沒有事先考慮到ROI（投資回報率），這樣做是不明智的。

第二個問題是訪問敏感數(shù)據(jù)。敏感數(shù)據(jù)是如何存儲到云中的呢？SAN（存儲區(qū)域網(wǎng)絡）子系統(tǒng)將數(shù)據(jù)分條存儲與不同的存儲陣列驅(qū)動中。用戶是否想要將敏感數(shù)據(jù)存儲在整個磁盤陣列中呢？我擔心的是一個數(shù)據(jù)庫、文件系統(tǒng)、磁盤或固態(tài)硬盤驅(qū)動器的損壞可能會蔓延到處于同一個子系統(tǒng)中共享數(shù)據(jù)的其他應用程序。所以，我們需要想出一個辦法來隔離數(shù)據(jù)庫、文件系統(tǒng)或磁盤上的加密數(shù)據(jù)。數(shù)據(jù)之間的隔離將會減小數(shù)據(jù)損壞導致的惡果。

第三，針對存儲數(shù)據(jù)的加密算法如何更新？存儲在不同數(shù)據(jù)庫、文件系統(tǒng)中的加密數(shù)據(jù)需要進行更新，因為隨著處理器速度的不斷增加，破解加密算法將變得更加容易。所以這類數(shù)據(jù)需要從一個舊的加密算法中破解出來，然后再用一個新的加密算法進行加密。因為比較新的算法，新加密的數(shù)據(jù)可能會需要占用數(shù)據(jù)庫或文件系統(tǒng)更大的空間。這同樣需要進行監(jiān)管。

接下來，我需要對存儲在云供應商那里的應用數(shù)據(jù)進行非常細粒度的訪問控制。我希望能夠使用LDAP（輕量級目錄訪問協(xié)議）或者Active Directory來接口數(shù)據(jù)庫、文件系統(tǒng)或驅(qū)動器，只有來自云端的特定的人才能夠訪問這些數(shù)據(jù)。同時，我還希望云供應商能夠提供一個針對所有云客戶的目錄分區(qū)，按照云客戶/細分部門/應用/用戶這種順序來說明哪些人可以訪問不同的應用程序數(shù)據(jù)庫、文件系統(tǒng)、磁盤或者固態(tài)硬盤驅(qū)動器。這種鎖定的訪問方式可以阻止未授權(quán)用戶或者管理員不當?shù)拇嫒』蛟L問數(shù)據(jù)。

***，我正在尋找一個地方來保存數(shù)據(jù)分段和元數(shù)據(jù)。這樣是為了讓客戶公司可以向云中存儲或者摘錄這些數(shù)據(jù)分段或應用程序。我建議使用LDAP目錄或Active Directory來存儲云中客戶的元數(shù)據(jù)。云客戶可以在某些原因下，利用這種靈活性來提取某些應用程序，并且改進這些數(shù)據(jù)。云客戶也可以由于云供應商的不足將這些數(shù)據(jù)分片和應用程序從云中刪除。這個目錄元數(shù)據(jù)的層次結(jié)構(gòu)有一個給定的網(wǎng)絡分段，來定義虛擬防火墻、交換機、路由器和負載平衡器的元數(shù)據(jù)段。分段數(shù)據(jù)的子數(shù)據(jù)將成為每個數(shù)據(jù)段支撐的應用程序的元數(shù)據(jù)。

總結(jié)一下，云計算只能包含使用共同標準的外包企業(yè)的應用和基礎設施。存儲的敏感數(shù)據(jù)需要使用共同的加密算法、協(xié)議，并且他們的周圍有一個加密的數(shù)據(jù)保護邊界。對于存儲在數(shù)據(jù)庫或文件系統(tǒng)中的數(shù)據(jù)來說，加密算法需要有一個更新的途徑。敏感數(shù)據(jù)同樣也需要一個全局的云供應商LDAP目錄或Active Directory目錄，此目錄定義了客戶端/系統(tǒng)/應用/用戶這四項內(nèi)容，以此來定義誰可以訪問存儲在數(shù)據(jù)庫、文件系統(tǒng)、磁盤或固態(tài)硬盤中的應用數(shù)據(jù)。***，該目錄還需涵蓋包含云計算元數(shù)據(jù)的層次結(jié)構(gòu)，使用戶可以輕松的往云中添加應用數(shù)據(jù)或從云中刪除數(shù)據(jù)。