應(yīng)用程序庫(kù)軟件一直以來(lái)都是大部分企業(yè)的主要應(yīng)用。這類(lèi)軟件允許管理員跟蹤企業(yè)所正在使用的應(yīng)用程序，以確保軟件的使用許可和安全合規(guī)性問(wèn)題。但是，這種應(yīng)用程序庫(kù)跟蹤的方法對(duì)于云計(jì)算是存在問(wèn)題的，也就是說(shuō)它并不適合跟蹤云計(jì)算應(yīng)用程序。

首先，對(duì)于云計(jì)算應(yīng)用程序來(lái)說(shuō)，應(yīng)用程序庫(kù)跟蹤的概念似乎有些過(guò)時(shí)了。畢竟，云計(jì)算應(yīng)用程序通常都是基于訂閱模式的。這意味著，確保使用許可合規(guī)性的概念已成為過(guò)時(shí)的概念。但是，這并不是說(shuō)不需要進(jìn)行庫(kù)跟蹤了。云計(jì)算簡(jiǎn)單地改變了編制和管理庫(kù)的方法，以及編制云計(jì)算軟件庫(kù)的原因。

盤(pán)點(diǎn)云計(jì)算應(yīng)用程序：安全性

當(dāng)談及云計(jì)算應(yīng)用程序盤(pán)點(diǎn)時(shí)，我們所關(guān)注的重點(diǎn)已從確保使用許可合規(guī)性轉(zhuǎn)移至控制成本和確保安全性。

安全性是編制基于云計(jì)算應(yīng)用程序庫(kù)中最常被忽略的原因之一。對(duì)于管理員來(lái)說(shuō)，在驗(yàn)證應(yīng)用程序是安全之前就知道用戶(hù)們正在使用哪些應(yīng)用程序是至關(guān)重要的，因此需要編制一個(gè)云計(jì)算應(yīng)用程序庫(kù)。然而，云計(jì)算應(yīng)用程序庫(kù)的安全性?xún)?nèi)涵要比這深入得多。

一些基于云計(jì)算的應(yīng)用程序在配置安全設(shè)置上提供了極其有限的方法，但另外一些應(yīng)用程序所提供的方法則要豐富得多。擁有一個(gè)云計(jì)算應(yīng)用程序庫(kù)可以使我們識(shí)別出那些具有可配置安全選項(xiàng)的應(yīng)用程序。然后，管理員就可以驗(yàn)證(如有必要就可重新配置)這些應(yīng)用程序的安全設(shè)置。

對(duì)于那些有較高合規(guī)性要求的企業(yè)來(lái)說(shuō)，擁有一個(gè)云計(jì)算應(yīng)用程序庫(kù)則顯得尤其重要。例如，醫(yī)療保健機(jī)構(gòu)就被HIPAA(醫(yī)療電子交換法案)要求確保以安全的方式來(lái)存儲(chǔ)和訪問(wèn)受保護(hù)的電子健康數(shù)據(jù)。如果一個(gè)組織使用云計(jì)算應(yīng)用程序來(lái)訪問(wèn)這樣一個(gè)受保護(hù)的數(shù)據(jù)，那么該組織就必須負(fù)責(zé)確保所使用的云計(jì)算應(yīng)用程序是符合HIPAA要求的。根據(jù)云計(jì)算應(yīng)用程序的本質(zhì)特點(diǎn)，該組織可能還必須在他們的合規(guī)性文檔中明示使用了該應(yīng)用程序。

云端應(yīng)用程序庫(kù)跟蹤最佳實(shí)踐

有時(shí)，云計(jì)算應(yīng)用程序會(huì)對(duì)一個(gè)組織的安全性帶來(lái)直接的威脅。在過(guò)去的幾年中，就已出現(xiàn)過(guò)無(wú)數(shù)個(gè)跟蹤在線(xiàn)活動(dòng)或包含某種形式間諜軟件的云計(jì)算應(yīng)用程序例子了。對(duì)這些類(lèi)型云計(jì)算應(yīng)用程序的最好的保護(hù)應(yīng)當(dāng)是一個(gè)強(qiáng)有力的政策，由它來(lái)規(guī)定在云計(jì)算應(yīng)用程序被使用之前它們必須得到IT部門(mén)的授權(quán)。當(dāng)然，對(duì)于組織中個(gè)別部門(mén)已經(jīng)使用了不同云計(jì)算應(yīng)用程序的情況來(lái)說(shuō)，這樣的政策已基本不起任何的保護(hù)作用了。一個(gè)集中式的云計(jì)算應(yīng)用程序庫(kù)可以幫助我們確定目前正在使用的云計(jì)算應(yīng)用程序。這樣一來(lái)，企業(yè)就可以研究不同的應(yīng)用程序以確定是否存在著任何嚴(yán)重的安全漏洞。

構(gòu)建一個(gè)云計(jì)算應(yīng)用程序庫(kù)

似乎并不存在著這么一個(gè)專(zhuān)為編制云計(jì)算應(yīng)用程序庫(kù)報(bào)告而設(shè)計(jì)的應(yīng)用程序。在這樣的情況下，企業(yè)可能會(huì)考慮沿用他們現(xiàn)有使用許可軟件的方式，這樣他們就可以開(kāi)始跟蹤云計(jì)算應(yīng)用程序的使用情況。雖然，這個(gè)方法一開(kāi)始可能并不能讓人滿(mǎn)意，但是這終究還是一個(gè)辦法。對(duì)云計(jì)算和內(nèi)部部署兩種情況使用一個(gè)單一的應(yīng)用程序庫(kù)應(yīng)用程序就意味著在一個(gè)集中的位置存放所有的軟件庫(kù)數(shù)據(jù)。

在盤(pán)點(diǎn)云計(jì)算應(yīng)用程序和內(nèi)部部署應(yīng)用程序之間還是存在著一些關(guān)鍵的差異點(diǎn)的，而這些差異點(diǎn)可能會(huì)影響到企業(yè)編制其軟件庫(kù)的方法。其中最顯著的差異點(diǎn)就是應(yīng)用程序庫(kù)軟件將無(wú)法自動(dòng)檢測(cè)到云計(jì)算應(yīng)用程序。當(dāng)然只要應(yīng)用程序庫(kù)軟件允許手工輸入應(yīng)用程序數(shù)據(jù)，那這就不成為一個(gè)問(wèn)題。

但是，市場(chǎng)上的一些軟件庫(kù)應(yīng)用程序是專(zhuān)為已安裝軟件而設(shè)計(jì)的，它們會(huì)周期性地掃描各網(wǎng)絡(luò)端點(diǎn)，因此也就不支持手工輸入數(shù)據(jù)了。對(duì)于那些希望編制云計(jì)算應(yīng)用程序庫(kù)產(chǎn)品的擁有者來(lái)說(shuō)，這可能是一個(gè)大問(wèn)題，因?yàn)樵朴?jì)算應(yīng)用程序?qū)嶋H上并不會(huì)被安裝到網(wǎng)絡(luò)端點(diǎn)上。

管理員可能會(huì)面臨的另一個(gè)挑戰(zhàn)是，傳統(tǒng)軟件庫(kù)應(yīng)用程序是專(zhuān)為自動(dòng)跟蹤軟件使用情況和編制使用許可數(shù)量而設(shè)計(jì)的。但是，這樣的一個(gè)應(yīng)用程序是沒(méi)有辦法知道有多少用戶(hù)正在使用云計(jì)算應(yīng)用程序或者是否所有的云計(jì)算應(yīng)用程序都被計(jì)入。再次強(qiáng)調(diào)，應(yīng)由管理員來(lái)對(duì)該信息進(jìn)行手工維護(hù)。

實(shí)際工作中的應(yīng)用程序庫(kù)

就目前而言，維護(hù)一個(gè)云計(jì)算應(yīng)用程序庫(kù)在很大程度上是一個(gè)手工的過(guò)程。即便如此，花費(fèi)相當(dāng)資源來(lái)編制和維護(hù)這樣一個(gè)應(yīng)用程序庫(kù)也是非常值得的，因?yàn)檫@個(gè)庫(kù)能夠幫助我們管理應(yīng)用程序的安全控制。

例如，我們可以使用這個(gè)庫(kù)來(lái)確保不使用未經(jīng)授權(quán)的云計(jì)算應(yīng)用程序。很多軟件庫(kù)應(yīng)用程序允許管理員編制一個(gè)“禁用軟件”列表。在云計(jì)算應(yīng)用程序的情況下，這個(gè)列表可能會(huì)包含那些已知有間諜軟件的應(yīng)用程序或具有違反企業(yè)安全策略已登記在冊(cè)漏洞的應(yīng)用程序?？赡芎茈y記住所有被禁的應(yīng)用程序，但是一個(gè)好的軟件庫(kù)應(yīng)用程序應(yīng)該可以對(duì)正在使用的云計(jì)算應(yīng)用程序和被禁的云計(jì)算應(yīng)用程序列表進(jìn)行比較，并針對(duì)任何的違反情況向管理員提出警告。

此外，我們還可以通過(guò)跟蹤使用率的方法來(lái)使用這個(gè)庫(kù)以提高安全性。大多數(shù)企業(yè)都使用一個(gè)單獨(dú)的工具來(lái)跟蹤用戶(hù)訪問(wèn)的網(wǎng)站。我們可以互相參考互聯(lián)網(wǎng)使用報(bào)告和云計(jì)算應(yīng)用程序庫(kù)報(bào)告，以確定哪些云計(jì)算應(yīng)用程序的使用率較高。從安全性的角度來(lái)看，這是非常重要的，因?yàn)槿绱硕嗟脑朴?jì)算應(yīng)用程序都把數(shù)據(jù)保存在云計(jì)算服務(wù)器中。如果數(shù)據(jù)表明，任意一個(gè)特定的云計(jì)算應(yīng)用程序不再被使用，那么企業(yè)的應(yīng)用程序支持團(tuán)隊(duì)就可以提取這個(gè)應(yīng)用程序的數(shù)據(jù)并取消云計(jì)算訂購(gòu)，從而降低數(shù)據(jù)意外泄漏或因受攻擊而泄漏的機(jī)會(huì)。

結(jié)論

云計(jì)算應(yīng)用程序的分散性就決定了應(yīng)用程序訂購(gòu)是非常容易失控的。當(dāng)訂購(gòu)一個(gè)新的云計(jì)算應(yīng)用程序時(shí)，最好應(yīng)對(duì)誰(shuí)要求訂購(gòu)、誰(shuí)需要訪問(wèn)以及訂購(gòu)的目的等信息進(jìn)行詳細(xì)地記錄。有了這樣的信息就會(huì)非常易于進(jìn)行周期性的云計(jì)算應(yīng)用程序庫(kù)審核，從而確保企業(yè)所訂購(gòu)的云計(jì)算應(yīng)用程序仍在被使用。

更重要的是，可以使用云計(jì)算應(yīng)用程序庫(kù)來(lái)確保企業(yè)的數(shù)據(jù)仍然是安全的。擁有一個(gè)集中式的云計(jì)算應(yīng)用程序庫(kù)可允許IT人員進(jìn)行定期檢查，以確保云計(jì)算應(yīng)用程序可繼續(xù)被安全地配置和使用。

作者簡(jiǎn)介

Brien M. Posey, MCSE曾為他對(duì)Windows 2000 Server和IIS的貢獻(xiàn)而被授予微軟最有價(jià)值專(zhuān)業(yè)人士。他擔(dān)任一家全國(guó)性連鎖醫(yī)院的CEO，并曾為Fort Knox負(fù)責(zé)IT安全工作。