隨著第三方云服務逐漸普及，企業(yè)必須重新考慮自己的安全戰(zhàn)略。Neohapsis安全專家探討了在制定云安全政策時應該考慮的問題。

企業(yè)現(xiàn)在可以將關(guān)鍵任務應用外包到公有云中，這是否意味著IT和網(wǎng)絡安全管理員必須“割讓”數(shù)據(jù)和網(wǎng)絡安全的責任呢?完全不是這樣。無論企業(yè)將多少基礎設施和多少網(wǎng)絡服務和業(yè)務應用程序轉(zhuǎn)移到云中，信息和網(wǎng)絡的最終責任仍然落在企業(yè)自己身上。這也是為什么企業(yè)需要精心制定云安全政策的原因。

不幸的是，根據(jù)Ponemon研究機構(gòu)2013年端點狀態(tài)調(diào)查現(xiàn)實，盡管云服務在興起，只有40%的企業(yè)有正式的集中的云安全政策。這為管理員提供了充足的機會來加緊鎖定其公司的數(shù)據(jù)和網(wǎng)絡。筆者最近采訪了安全服務供應商Neohapsis的首席安全顧問，他談到了企業(yè)應該如何更有效地保護其云計算部署。

制定云安全政策時應該考慮的關(guān)鍵問題

對于企業(yè)來說，云安全政策仍然是頭痛的事情，Hazdra表示：“在事故發(fā)生后，企業(yè)才會意識到，我們沒有想到這樣的事情會發(fā)生。”理想情況下，企業(yè)應該在部署云之前就創(chuàng)建自己的云安全政策。Hazdra談到了企業(yè)應該考慮的幾個問題。

在這些問題中，重要的問題是企業(yè)是否有明確的數(shù)據(jù)分類政策。企業(yè)擁有的敏感數(shù)據(jù)越多，這個問題就更加重要，特別是在受到嚴格監(jiān)管的行業(yè)，例如醫(yī)療保健和金融服務公司。數(shù)據(jù)分類將幫助企業(yè)防止數(shù)據(jù)中心內(nèi)重要數(shù)據(jù)的意外上傳，這還可以幫助保護在網(wǎng)絡服務中穿行的數(shù)據(jù)。例如，Rackspace提供客戶端的方式來控制哪些類型的流量可以穿過虛擬網(wǎng)絡的哪些路徑，但企業(yè)首先需要對流量進行分類。

除了數(shù)據(jù)分類，企業(yè)可能還有其他政策可以應用到云計算部署中?？山邮艿氖褂谜呔褪且粋€典型的例子。企業(yè)是否將允許用戶訪問他們自己設備上的云托管的企業(yè)數(shù)據(jù)?如果是這樣的話，企業(yè)是否部署了基礎設施來管理這些設備?在確定現(xiàn)有政策與新的云政策重疊的地方，請檢查企業(yè)所考慮的云技術(shù)供應商是否有符合你的政策。Hazdra表示：“如果云供應商沒有企業(yè)想要的任何政策或控制，就需要考慮這個供應商是否適用于本企業(yè)。”

企業(yè)還要考慮允許將數(shù)據(jù)存放在什么位置。數(shù)據(jù)的物理位置涉及法律和隱私問題。云服務供應商能否將企業(yè)的數(shù)據(jù)移到外面?國外?供應商是否能同意將企業(yè)的數(shù)據(jù)保持在特定數(shù)據(jù)中心?如果供應商政策不滿足企業(yè)的所有要求，那么企業(yè)的哪些數(shù)據(jù)應該保持在企業(yè)內(nèi)部?從這些問題來看，數(shù)據(jù)分類很重要。

最后，對于企業(yè)放到云計算中的數(shù)據(jù)，需要從云供應商得到怎樣的安全保證?當涉及SaaS時，這個問題尤其重要，Hazdra表示，“軟件開發(fā)人員一直在努力提高其程序的性能，有時候可能與良好的安全性有沖突。有時候，開發(fā)人員被允許關(guān)閉安全功能來實現(xiàn)所需的性能水平。企業(yè)需要決定安全和性能的優(yōu)先級。”企業(yè)可能需要確定性能的提高是否值得付出安全性降低的代價。重要的是，企業(yè)需要確定優(yōu)先級，以及確保云供應商的政策符合企業(yè)的期望。

如果企業(yè)現(xiàn)在正在考慮制定完全的云安全政策，需要想一想將授權(quán)或批準哪些人來審核與云供應商的協(xié)議。Hazdra表示：“可能有專業(yè)人士(例如醫(yī)生、牙醫(yī)和律師)使用云服務用來存儲，以便他們可以從家里方便地訪問其工作文件。”這將讓個別員工的工作更輕松，但也將讓企業(yè)數(shù)據(jù)處于風險之中。指定特定位置來為工作用途設置云服務，并考慮違反政策后的具體后果。

云安全：誰該負責?

上述問題把我們帶到云安全討論的核心問題：對于云中的數(shù)據(jù)的安全，最終是誰負責?一部分責任可能在于云服務供應商，而其中更多的責任在SaaS供應商，IaaS供應商承擔更少的責任。

然而，歸根結(jié)底，對于他們自己的信息，企業(yè)必須承擔責任，無論誰在處理這些信息。如果你在尋找基礎設施供應商，就必須確保供應商能履行其承諾，無論是通過成績、檢查還是與云供應商討論具體細節(jié)。隨著企業(yè)轉(zhuǎn)移到SaaS中，執(zhí)行可接受使用、隱私、加密和數(shù)據(jù)挖掘政策仍然是企業(yè)的責任。CIO們還必須確保云供應商遵循他們自己的政策。

云計算的興起無疑將改變網(wǎng)絡和IT安全管理員的角色，但云計算并不會完全消除他們的工作。隨著時代的變化，企業(yè)的政策也必須變化。提出正確的問題以確保這些政策的適用性。