在大多數(shù)情況下，云計算中的安全控制與其他所有IT環(huán)境中的安全控制并沒有什么不同之處。但是，由于云計算服務(wù)模式方面(即，用于實現(xiàn)云計算服務(wù)的運行模式和技術(shù))的原因，云計算的風(fēng)險是不同于傳統(tǒng)安全服務(wù)的風(fēng)險的。云計算中的安全性要求使用一組不同的工具來徹底地監(jiān)控和跟蹤企業(yè)的安全態(tài)勢。

在云計算服務(wù)模式中，供應(yīng)商和客戶的安全責(zé)任是相當不同的。例如，Amazon彈性云計算(Amazon EC2)基礎(chǔ)設(shè)施即服務(wù)產(chǎn)品最多只對管理程序的安全性承擔(dān)責(zé)任，這就意味著Amazon可以只負責(zé)諸如物理安全、環(huán)境安全以及底層平臺虛擬安全這樣的安全控制?？蛻舯仨殲榕cIT系統(tǒng)相關(guān)的安全控制負責(zé)，其中包括了操作系統(tǒng)、應(yīng)用程序及數(shù)據(jù)。

對于Salesforce.com的客戶資源管理軟件即服務(wù)產(chǎn)品來說，就大大不同了。因為Salesforce.com提供了整個“棧”，所以供應(yīng)商不僅要為物理與環(huán)境安全控制負責(zé)，而且要為解決基礎(chǔ)設(shè)施、應(yīng)用程序和數(shù)據(jù)的安全控制問題負責(zé)。

對于如何分解承擔(dān)信息安全的責(zé)任，幾乎每一家云計算供應(yīng)商都有著不同的看法和做法。這也就難怪企業(yè)經(jīng)常很難管理云計算服務(wù)的安全性了，因為他們的云計算服務(wù)來自于不同的供應(yīng)商，而這些供應(yīng)商們所制定的規(guī)則和責(zé)任條款也是大為不同。這就是云計算管理平臺出現(xiàn)的原因。

云計算管理平臺的功能

云計算管理平臺是一個基于網(wǎng)絡(luò)的簡單直觀用戶界面(或者在某些情況下，它是移動設(shè)備的一個應(yīng)用程序)，它可以讓企業(yè)的IT團隊和信息安全團隊快速地訪問和查看云計算資源。一個IT管理員能夠登錄界面并查看該企業(yè)云計算使用情況的快照，其中包括所部署的實例、正在運行的應(yīng)用程序以及已使用的網(wǎng)絡(luò)帶寬。

例如，使用Amazon網(wǎng)絡(luò)服務(wù)管理平臺，用戶可以通過一個基于網(wǎng)絡(luò)的用戶界面訪問和管理他們的AWS使用情況。管理平臺能夠讓用戶在AWS云計算中以一種輕松的方式來快速部署和管理應(yīng)用程序，而無需放棄對底層云計算資源的控制。它還能夠自動處理容量管理、負載平衡、自動規(guī)模調(diào)整以及應(yīng)用程序健康狀況監(jiān)控等細節(jié)性事務(wù)。

因為大多數(shù)這些云計算管理平臺都在管理云計算運行的同時提供了大量的數(shù)據(jù)和信息，所以IT管理團隊與安全團隊實現(xiàn)云計算管理平臺的共享使用是公司的一個雙贏策略。云計算管理平臺能夠讓管理團隊和安全團隊使用與云計算安全管理任務(wù)相關(guān)的數(shù)據(jù)，例如定義特定的健康、風(fēng)險以及容量閾值;警告類型和通知;以及許多其他的配置設(shè)置(例如，根據(jù)關(guān)鍵業(yè)務(wù)應(yīng)用程序的需要在不同層次(如網(wǎng)絡(luò)層、操作系統(tǒng)層或應(yīng)用程序?qū)?修改文件系統(tǒng)或系統(tǒng)參數(shù)以調(diào)整業(yè)務(wù)活動的優(yōu)先級)。可以直接使用這一數(shù)據(jù)而獲知目前云計算的安全態(tài)勢，并支持正在進行的滿足合規(guī)性要求的工作。

很多云計算管理平臺提供了一定程度安全細節(jié)信息，它可擴展至每一個實例。例如，VMware公司的vCenter提供了現(xiàn)成的模板以確保對安全最佳實踐、安全標準、系統(tǒng)加固指南以及監(jiān)管要求的持續(xù)性支持。

云計算管理平臺：是自己構(gòu)建還是去采購?

如今，大多數(shù)的管理平臺都是由云計算供應(yīng)商他們自己提供的，因此都受限于各自供應(yīng)商所提供的服務(wù)。但是，現(xiàn)在也逐漸出現(xiàn)了越來越多的第三方云計算管理工具供應(yīng)商，如RightScale、enStratus、Nimbula等以及其他正在開始涉足云計算管理領(lǐng)域的傳統(tǒng)系統(tǒng)管理與數(shù)據(jù)中心監(jiān)控供應(yīng)商。

少部分的云計算管理供應(yīng)商提供了內(nèi)置的安全功能。Nimbula提供的工具可用于跨內(nèi)部資源池(包括了虛擬化計算資源、網(wǎng)絡(luò)資源、存儲資源以及如Amazon EC2這樣的公共云計算資源)的云計算構(gòu)建、管理、規(guī)模調(diào)整以及安全性保障等應(yīng)用。

潛在云計算管理平臺購買者應(yīng)尋找的功能實際上取決于購買者本身以及他們主要業(yè)務(wù)在市場細分中的位置。一個企業(yè)應(yīng)當在選擇供應(yīng)商之前就設(shè)計好自己的云計算架構(gòu)需求。這就能夠避免產(chǎn)生多個云計算孤島以及相關(guān)的集成與復(fù)雜性方面挑戰(zhàn)。在選擇產(chǎn)品之前，他們應(yīng)當確認他們知道他們主要的通用標準(例如對公共云計算和/或私有云計算的異質(zhì)性和支持)和安全標準。

提供這些服務(wù)的供應(yīng)商數(shù)量在不斷地增長中，但是還沒有一個供應(yīng)商能夠為每一家企業(yè)的不同云計算安全管理需求提供一個完整的產(chǎn)品。為了滿足他們的云計算管理和安全管理需求，企業(yè)可能需要整合多個工具或者對他們所選擇的產(chǎn)品進行定制改造。我們還需要指出的是，構(gòu)建一個企業(yè)自己的云計算管理平臺也不容易;它要求為相關(guān)技能和資源做出大筆的投資，因為云計算技術(shù)還是一個新興技術(shù)，在短期內(nèi)還可能有進一步的發(fā)展，所以購買一個供應(yīng)商產(chǎn)品的決定很可能會演變成為一個考驗時間意識和成本意識的決策行為。

管理和設(shè)計一個云計算管理平臺

在云計算管理平臺上使用與安全相關(guān)的數(shù)據(jù)，并將其整合至現(xiàn)有的安全管理工具和更大的安全管理方案中將是一個資源密集型的任務(wù)。要做到這一點，企業(yè)必須開發(fā)出一個框架或架構(gòu)來定義一套標準，以便于指導(dǎo)云計算管理平臺和所有支持整合工作的部署、運行和操作。

更具體地說，實施云計算管理平臺的企業(yè)應(yīng)當采用一套方法來制定一個以風(fēng)險和機會為重點的、可反映關(guān)鍵業(yè)務(wù)首創(chuàng)精神的安全與信息保障體系。例如，考慮使用Sherwood商業(yè)應(yīng)用安全架構(gòu)(SABSA)的框架，這是一套開發(fā)風(fēng)險驅(qū)動型企業(yè)信息安全和信息保障架構(gòu)并提供安全基礎(chǔ)設(shè)施服務(wù)的方法。

SABSA框架提供了一個6×6的矩陣(橫坐標的六項代表了什么、為什么、如何、誰、哪里和何時的5W1H，而縱坐標的六項分別代表了一個觀點，從“業(yè)務(wù)觀點”(上下文層)到“IT專家”或“商業(yè)觀點”(組件層))，其中每一個矩陣單元則代表了安全架構(gòu)中的一個組件，整個矩陣描述了企業(yè)的完整安全架構(gòu)。

在安全管理中的重要一員就是“大數(shù)據(jù)”，獲得大量不同的數(shù)據(jù)，使用有意義的模式來關(guān)聯(lián)、分析和挖掘這些數(shù)據(jù)，或者甚至是識別高級的持續(xù)性威脅或APT式攻擊。雖然大數(shù)據(jù)是一個令人興奮的機遇，但是它仍然是一個新興事物。然而，企業(yè)應(yīng)當考慮在今后三到五年時間里他們可能會尋找和實施哪種與安全性相關(guān)的大數(shù)據(jù)分析項目，并確保他們有一個規(guī)劃以便于整合企業(yè)所選擇的任一種云計算管理平臺。

結(jié)論

在一天結(jié)束的時候，云計算管理平臺應(yīng)當能夠提供一系列確?？焖?、方便和直觀訪問信息的功能，并向企業(yè)業(yè)主、首席信息官和首席信息安全官提供有價值的數(shù)據(jù)，從而使他們能夠迅速做出業(yè)務(wù)決策和風(fēng)險平衡指令。這個管理平臺應(yīng)當有一個可定制的、具有豐富圖形的工具板，它能確保對業(yè)務(wù)和技術(shù)觀點進行量身定制以提高組織內(nèi)部合適人員的洞察力。它還應(yīng)當能夠在驗證攻擊和業(yè)務(wù)風(fēng)險的基礎(chǔ)上提供一個關(guān)于公司整體安全態(tài)勢的論述，而它的地理與網(wǎng)絡(luò)視圖則能讓用戶維持對其組織責(zé)任和合規(guī)性狀態(tài)的認識。