越來越多的時(shí)候，CIO(Chief Information Officer) 和CSO(Chief Security Officer)們被賦予負(fù)責(zé)企業(yè)核心業(yè)務(wù)向云上遷移的任務(wù)，最起碼這些問題是安全從業(yè)人員的頭痛和挑戰(zhàn)，如何快速形成一套可遵循的安全規(guī)范是一個(gè)挑戰(zhàn)。出現(xiàn)的另一個(gè)問題是，雖然大多數(shù)企業(yè)已經(jīng)在使用了網(wǎng)絡(luò)的安全規(guī)范，但這些規(guī)范都是傳統(tǒng)第三方安全廠商對(duì)于傳統(tǒng)安全所制定的，往往有一些不是真正適合云服務(wù)的。

但是云維護(hù)和傳統(tǒng)的第三方解決方案不同，如賣方負(fù)責(zé)的云中的安全控制，通常情況下，安全專家只需要負(fù)責(zé)管理和維護(hù)關(guān)鍵的安全控制。舉個(gè)例子，一家企業(yè)作為一套PaaS(平臺(tái)即服務(wù)) 的云服務(wù)提供商，該企業(yè)一般會(huì)負(fù)責(zé)應(yīng)用程序本身的安全性。 PaaS的云服務(wù)提供商將負(fù)責(zé)固定平臺(tái)和基礎(chǔ)設(shè)施的配套應(yīng)用。能清晰地勾勒出誰負(fù)責(zé)哪個(gè)組件的要求提供所需的安全等級(jí)，同時(shí)足夠靈活的適應(yīng)這些不同的服務(wù)模式是至關(guān)重要的。

[[91666]]

首先需要建立一個(gè)框架：

構(gòu)建云的安全性，需要?jiǎng)?chuàng)建一個(gè)規(guī)則來審查，批準(zhǔn)和管理的云服務(wù)提供商。這里我舉一個(gè)企業(yè)的例子：

為了開發(fā)這種框架，需要先和相關(guān)人員收集業(yè)務(wù)、技術(shù)和安全方面的要求。然后分析云服務(wù)提供商在對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)和處理相關(guān)的細(xì)節(jié)問題。在你充分了解了這些后，你就可以利用現(xiàn)有的企業(yè)安全策略和標(biāo)準(zhǔn)，來進(jìn)行添加額外的內(nèi)容來匹配云計(jì)算環(huán)境。前提要求制定的策略要足夠靈活，在應(yīng)對(duì)一些突發(fā)情況時(shí)可以從容應(yīng)變。

一旦制定的策略完全滿足云安全框架(Cloud Security Framework)，那么就需要在企業(yè)會(huì)議上討論如何有效執(zhí)行的問題，會(huì)議中要傳達(dá)該框架的重要性，并討論企業(yè)如何調(diào)整現(xiàn)有安全策略到該云框架。一旦該框架被企業(yè)采用，那么不僅僅是IT部門，企業(yè)全部的業(yè)務(wù)部門都可以使用業(yè)務(wù)，最終企業(yè)所有的業(yè)務(wù)平臺(tái)全部遷移到云，而這個(gè)框架就可以統(tǒng)一所有員工的操作規(guī)范，從而保證企業(yè)數(shù)據(jù)在云中的安全性和穩(wěn)定性。

云服務(wù)的安全管理：

除了應(yīng)用云安全框架之外，企業(yè)的IT人員也應(yīng)該即時(shí)審查云服務(wù)提供商的安全性，測(cè)試一下該云計(jì)算提供商的服務(wù)是否可靠，如果有類似服務(wù)中斷或者員工的使用問題可以及時(shí)解決。

安全工程師也要及時(shí)跟蹤在工作中產(chǎn)生的問題，企業(yè)雖然使用云服務(wù)來存儲(chǔ)和處理大量的文件數(shù)據(jù)，但是云服務(wù)也總有不穩(wěn)定的時(shí)候，及時(shí)同步數(shù)據(jù)到本地，并對(duì)這些數(shù)據(jù)加以管理就變的至關(guān)重要。

解決這個(gè)問題的最好辦法是通過與云服務(wù)提供商來協(xié)調(diào)，共同開發(fā)一個(gè)程序來審查、審批以及管理。這個(gè)方案需要云服務(wù)提供商允許我方企業(yè)的安全人員深度接觸該云服務(wù)提供商的技術(shù)流程，以便于應(yīng)對(duì)該提供商的業(yè)務(wù)來進(jìn)行修改云安全框架。在使用云服務(wù)過程中，收集員工對(duì)該服務(wù)的評(píng)價(jià)和問題，也可以通過調(diào)差問卷的形式進(jìn)行收集意見，通過匯總得到的信息和云服務(wù)提供商協(xié)調(diào)溝通，一方面可以解決企業(yè)的需求問題，另一方面可以改進(jìn)該云服務(wù)提供商產(chǎn)品的使用體驗(yàn)。

在使用過程中，及時(shí)的收集員工在云安全框架上的執(zhí)行度，對(duì)出現(xiàn)的業(yè)務(wù)操作漏洞進(jìn)行處理，以避免企業(yè)敏感數(shù)據(jù)泄漏。

通過利用你所了解的知識(shí)，并利用現(xiàn)有的技術(shù)，作為一個(gè)安全專業(yè)人員，對(duì)于任何業(yè)務(wù)需求你都能夠快速響應(yīng)，同時(shí)最大限度地減少核心應(yīng)用程序到云環(huán)境的風(fēng)險(xiǎn)。這種解決方案不僅可以讓我們對(duì)云提供商可以進(jìn)行及時(shí)的穩(wěn)定性審查，還可以提供一個(gè)應(yīng)用來管理我們自己的云服務(wù)，從而讓我們企業(yè)的數(shù)據(jù)在云上依然可以受到和本地同樣的保護(hù)。