云計算代表著業(yè)務功能的巨大變化，對一個機構(gòu)的IT基礎設施來說更是如此。沒有人能比網(wǎng)絡管理者更能感受這種變化的影響了，因為他們的任務就是保證機構(gòu)數(shù)據(jù)和網(wǎng)絡用戶的安全。

雖然共享數(shù)據(jù)、應用程序和IT基礎設施可以在成本和生產(chǎn)效率上帶來顯著的優(yōu)勢，但是它們都只發(fā)生在企業(yè)防火墻和物理環(huán)境這一理想?yún)^(qū)域以外。作為一個網(wǎng)絡管理者，你在云計算實現(xiàn)過程中的任務是，在把數(shù)據(jù)、應用程序和基礎設施傳輸?shù)皆贫酥?，仍能確保用戶和數(shù)據(jù)的安全。雖然云服務提供商需要為企業(yè)數(shù)據(jù)安全承擔共同的責任，但最終企業(yè)安全的支持者（即網(wǎng)絡管理者）要對此負責。在這篇文章中，我們將針對基礎設施延伸進入云端的安全性問題，討論如何構(gòu)建企業(yè)網(wǎng)絡。

在把任何數(shù)據(jù)或應用程序移動到云端之前，必須對內(nèi)部網(wǎng)絡安全現(xiàn)狀進行評估。這是一個對網(wǎng)絡進行檢測的好時機，以此觀察網(wǎng)絡防護性能與你的數(shù)據(jù)策略（包括安全性、完整性和可用性）、法規(guī)要求以及行業(yè)最佳標準的匹配程度。

這種檢測帶來的好處很多。使用一個或多個免費商業(yè)網(wǎng)絡檢測工具肯定會發(fā)現(xiàn)實際情況比理想情況要更糟糕。一旦這些被更好的安全技術和改進程序所完善，那么就可以為網(wǎng)絡及其它所承載的設備、用戶和應用程序以及它所處理的流量確立一個合理的安全底線。在今后的檢測和安全配置檢查中可以參考這個底線，從而確定網(wǎng)絡安全在轉(zhuǎn)到云計算后會受到哪些影響。

其次，這也表明，理解云服務提供商的安全策略和程序是很重要的。關鍵是尋找一個既能夠滿足企業(yè)的安全要求，又能與防火墻防護能力相當?shù)陌踩墑e。為了避免混淆誰將對你數(shù)據(jù)安全的各個方面（如備份、訪問和數(shù)據(jù)損壞）負責，我將根據(jù)合同，明確應該由哪一方來負責遵守相關政策或標準。

根據(jù)云服務的傳輸方式，防火墻的設置可能需要調(diào)整。為了確保包括周邊防護（如IDS / IPS系統(tǒng)）在內(nèi)的措施已經(jīng)得到正確的調(diào)整，請與供應商緊密合作，因為供應商肯定具有處理各種可能的網(wǎng)絡安全配置問題的經(jīng)驗。如果有必要，修改防火墻規(guī)則或者開放其他端口，必須確保每次進行這些改動都進行了另外一次網(wǎng)絡檢測，從而更新網(wǎng)絡安全底線?？梢允褂萌鏝map這樣的工具來檢查，以確保只有合適的端口被開放，并且沒有任何授權或連接違反了安全策略。

每當一項新的服務被添加到網(wǎng)絡中，必須確保訪問權限和職責的充分隔離，防止個人可能有意無意地損壞公司數(shù)據(jù)。對賬戶和人力資源雇傭登記的權限進行審查非常必要，這可以確保權限仍然適當，而那些不再使用的賬戶也已得到終止。作為云計算的一部分，如果你對第三方（如，供應商和客戶）開放網(wǎng)絡訪問權限，那么任何網(wǎng)絡接入控制（NAC）系統(tǒng)配置也必需重新檢查。要確保當前NAC產(chǎn)品可以應付用戶的急劇增加。實際上，許多機構(gòu)仍在尋找基于SaaS的NAC解決方案，從而確?？蓴U展性和互操作性。

因為云計算的應用會在一定程度上消除靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)之間的差異，因此數(shù)據(jù)加密成為最重要的防護手段之一。本質(zhì)上，加密的數(shù)據(jù)是受到保護的，因此即使受到其他服務的保護，所有的數(shù)據(jù)和通訊都將需要進行加密。此外，加密的數(shù)據(jù)不可讀取，減輕了對云端數(shù)據(jù)損壞的一些擔憂。數(shù)據(jù)加密還允許任務和數(shù)據(jù)的分離，因為密鑰控制著數(shù)據(jù)的訪問。我可能會使用諸如Wireshark這樣的分析軟件對網(wǎng)絡進行常規(guī)檢查，從而確保通信信道正在被加密。

最后，不要因為第一次開發(fā)實驗內(nèi)部云和混合云，而害怕測試網(wǎng)絡的安全性。你可以采用與云計算供應商相同的方式來提供應用服務，而這只能在網(wǎng)絡周邊范圍內(nèi)進行，或用有限的、非關鍵任務的功能來測試云供應商的實力從而進行實驗。我還建議你閱讀云安全聯(lián)盟發(fā)布的指南，這將有助于你了解云計算組織主要的關注領域。

然而，為云計算構(gòu)建網(wǎng)絡只是第一步。為了使云計算真正成功，你需要確保當你開始運行云服務時，你的安全底線仍然能夠得到執(zhí)行。你還需要適應和發(fā)展防御和安全技術，以便處理新的威脅。在下一篇文章中，我們將關注這些挑戰(zhàn)。