***信息官（CIO）和***信息安全官（CISO）們承受著壓力，要重新設(shè)計(jì)他們的信息安全策略以適應(yīng)新的商業(yè)模式：虛擬云計(jì)算環(huán)境。在該環(huán)境中，資源被共享且可轉(zhuǎn)移。

這些技術(shù)主管正在設(shè)置新策略，并投資新技術(shù)以考慮公共和私有云的彈性、自服務(wù)供給和共享數(shù)據(jù)的基礎(chǔ)設(shè)施。隨著用戶開發(fā)了用于防火墻之外（甚至在防火墻內(nèi)）的第三方服務(wù)，以實(shí)共享環(huán)境中的協(xié)作，用于身份管理的新的策略和系統(tǒng)正在設(shè)計(jì)中。此外，需要確定數(shù)據(jù)安全和隱私監(jiān)測的新界限，牢記遷移到一個(gè)虛擬云環(huán)境將如何影響合規(guī)性。

馬薩諸塞州沃爾瑟姆的Raytheon公司的公共領(lǐng)域并沒有冒險(xiǎn)使用云。為實(shí)現(xiàn)成本節(jié)約，這家國防設(shè)備制造商正在開發(fā)共享的、私有的“云類型服務(wù)”，如果它和它的合作伙伴可以就美國空軍、陸軍和海軍喜歡的新的程序和產(chǎn)品進(jìn)行測試、構(gòu)建和協(xié)作，那么該服務(wù)可以實(shí)現(xiàn)。

Raytheon公司的副CISO兼IT服務(wù)總監(jiān)Michael Daly說：“[在虛擬云計(jì)算環(huán)境中的]安全問題和控制更復(fù)雜。不僅僅是管理簡單的變更控制，還需要經(jīng)歷許多信任和祈禱：‘嘿，防火墻控制隨著[數(shù)據(jù)或服務(wù)]遷移了嗎？當(dāng)生成和刪除這些虛擬機(jī)時(shí)，負(fù)責(zé)加密的[安全]密鑰得到維護(hù)了嗎？’”

當(dāng)談到共享環(huán)境的安全時(shí)，，和許多其它的IT主管一樣，在這一點(diǎn)上Daly的問題比答案多：隨著項(xiàng)目的啟動(dòng)和關(guān)閉，公司如何知道誰需要訪問哪些信息？用戶是否有權(quán)訪問它？在私有云上參與開發(fā)的各方如何就取消用戶配置達(dá)成一致？這種情況超越了云模型。他說，在業(yè)務(wù)模式轉(zhuǎn)向業(yè)務(wù)共享資源，以在協(xié)作環(huán)境中開發(fā)產(chǎn)品和服務(wù)方面，云說到底是一個(gè)副產(chǎn)品或一種手段。

內(nèi)部和外部身份管理

企業(yè)用戶繞過IT部門登錄以訪問虛擬云計(jì)算服務(wù)。因此，問題變成，誰有權(quán)撥入和撥出云服務(wù)？

紐約人壽投資管理公司位于馬薩諸塞州的紐約人壽退休計(jì)劃服務(wù)（RPS）部門的IT團(tuán)隊(duì)已經(jīng)選擇了阻止訪問第三方虛擬云計(jì)算服務(wù)，并在從自己的網(wǎng)絡(luò)轉(zhuǎn)移信息的風(fēng)險(xiǎn)方面教育用戶。

紐約人壽RPS的管理董事兼***信息官Neal Ramasamy說：“我知道，[對用戶來說]，移動(dòng)到云服務(wù)非常容易，但隨之帶來了很大的風(fēng)險(xiǎn)。我和請求者一起坐下來，以了解為什么他們要訪問第三方云?？紤]我們的公司戰(zhàn)略，我的目標(biāo)是不要有四家不同的[云供應(yīng)商]，而是挑選一家。”

當(dāng)Raytheon公司的IT部門標(biāo)記第三方的云服務(wù)請求時(shí)，Daly和他的團(tuán)隊(duì)解釋為什么把文檔上傳到Google Apps不是好主意。他們?nèi)缓笙驑I(yè)務(wù)用戶展示其他的安全選項(xiàng)，如公司批準(zhǔn)的EMC公司的Documentum系統(tǒng)。

Daly說：“我們要遵守ITAR [武器貿(mào)易條例中的國際交通]和其他法規(guī)，因此我們可以看到正上傳文檔和、信息和其他的東西到Google的人的位置，并且我們需要向人們展示正確的做法。”

Raytheon正轉(zhuǎn)移到私有云，為此建立了聯(lián)邦身份管理系統(tǒng)。這意味著，Raytheon公司將驗(yàn)證它自己的員工，但加入開發(fā)項(xiàng)目的公司將負(fù)責(zé)它們自己的身份驗(yàn)證。

這聽起來簡單，但事實(shí)并非如此。Daly說：“我們必須在我們之間達(dá)成法律協(xié)議，并且讓我們的[云]開發(fā)伙伴說：‘好吧，如果我們要檢查身份，你將以同樣的方式檢查身份’，因?yàn)椴⒉豢偸侨绱恕?rdquo;

遏制風(fēng)險(xiǎn)是在私有云背后的想法，但即使在一個(gè)私有云社區(qū)，企業(yè)也需要處理用戶的隔離、權(quán)限劃分、登錄和取消配置。Daly說：“你真的需要知道你最終的邊界，以最小化風(fēng)險(xiǎn)。我們并不需要地球上的每個(gè)人都有機(jī)會(huì)參加我們計(jì)劃的云服務(wù)，因此物理安全和更多傳統(tǒng)的IT安全防火墻規(guī)則是非常重要的。”

然而，這些預(yù)防措施也并不沒有合規(guī)。Gartner公司的研究副總裁Chris Wolf說：“廠商談跟隨用戶[通過聯(lián)邦身份]的跟隨我（follow-me）數(shù)據(jù)，采用加密技術(shù)將數(shù)據(jù)分散到不同的地方，但CIO們需要思考的是在云中的跟隨我的規(guī)定。有時(shí)敏感數(shù)據(jù)不能跨越邊界。”

位于馬薩諸塞州薩德伯里的SystemExperts公司的副總裁Richard E. Mackey說，企業(yè)開始考慮部署圍繞云服務(wù)的安全性實(shí)踐之前，它應(yīng)該問“外包應(yīng)用程序用作什么？”和“誰將要使用它？”他說：“當(dāng)有人稱之為云計(jì)算時(shí)，許多變量決定你的安全性是完全不同的，這取決于您要部署在哪一種模式上：私有云、軟件即服務(wù)（Software as a Service）、基礎(chǔ)設(shè)施即服務(wù)（Infrastructure as a Service）還是平臺即服務(wù)（Platform as a Service）。

受惠于云提供商的安全實(shí)踐

選擇一家云提供商類似于與其結(jié)婚，因?yàn)榭蛻羰褂锰峁┥檀_定的系統(tǒng)和安全政策。

企業(yè)如何監(jiān)控用戶對虛擬云計(jì)算服務(wù)的訪問，取決于云提供商為其提供的接口。Mackey說：“一個(gè)請求回來并擊中你的網(wǎng)絡(luò)之前，[云提供商]如何確保用戶是真正的用戶？另一種情況是，一些服務(wù)允許您使用您的谷歌或Facebook帳戶登錄。這樣不直接經(jīng)過[活動(dòng)目錄]，除非你這樣設(shè)計(jì)它。”

紐約人壽RPS的Ramasamy可以考慮為像電子郵件和Web服務(wù)這樣的非關(guān)鍵服務(wù)尋找云供應(yīng)商，他說，但他想知道云提供商是否將為公司搭建一個(gè)私有云，在私有云中，沒有其他人能夠進(jìn)入該環(huán)境。如果環(huán)境被共享，資源如何被共享，且誰可能靠近相鄰的資源集？提供商通過了什么安全審計(jì)，遵循國際安全委托授權(quán)的哪一部分？

Raytheon公司的Daly說，合同談判期間的靈活性意愿將成為他的公司選擇云供應(yīng)商的一個(gè)決定性的因素。他說：“我不希望必須告訴[業(yè)務(wù)部門]，他們不能外包的東西，因?yàn)槿绻覀冞@樣做，我們將失去保護(hù)，所以我要確保如果我們需要，我們可以[與提供商一起]改變我們的密碼復(fù)雜性，或把我們密碼改到356位。當(dāng)你轉(zhuǎn)向云安全時(shí)，靈活性將是合同管理的一個(gè)巨大的元素。”

還有一點(diǎn)要說明的：如果一個(gè)企業(yè)要其數(shù)據(jù)安全托管于別人，它需要有一種方式可以測量該環(huán)境安全性能。Daly說：“如果供應(yīng)商不讓你這樣做，你可能不希望與他們達(dá)成協(xié)定。”

【編輯推薦】

1. 從監(jiān)控為目的到防泄漏 信息安全這十年
2. 51websec的網(wǎng)絡(luò)信息安全網(wǎng)站悄然上線
3. 揭秘身份管理安全在“云”中如何發(fā)展
4. 云安全面臨挑戰(zhàn) 企業(yè)對云服務(wù)無有效監(jiān)控
5. 中網(wǎng)發(fā)布域名云服務(wù) 助力重點(diǎn)網(wǎng)站域名更安全更智能