目前，云計(jì)算已成為幾乎每一家企業(yè)IT戰(zhàn)略和組織架構(gòu)中不可或缺的一部分了，所以企業(yè)相應(yīng)的運(yùn)行成本也在越來(lái)越多地轉(zhuǎn)嫁至第三方，而由第三方來(lái)管理和維護(hù)企業(yè)的內(nèi)部服務(wù)。

 

云計(jì)算服務(wù)供應(yīng)商現(xiàn)在也在提供多元化的服務(wù)，其中包括薪資、招聘、績(jī)效管理、培訓(xùn)以及存儲(chǔ)等。隨著平均計(jì)算成本的不斷降低，對(duì)于技術(shù)專業(yè)知識(shí)及其相關(guān)資源的需求卻在不斷增長(zhǎng)，這主要是由于服務(wù)消費(fèi)者和服務(wù)供應(yīng)商之間互聯(lián)性需求而造成的。

由于云計(jì)算的影響，各個(gè)行業(yè)條線的安全從業(yè)人員都處在一個(gè)與他們的IT同行們不同的獨(dú)特位置。鑒于后者的控制與責(zé)任范圍往往局限于企業(yè)辦公室和數(shù)據(jù)中心，而安全從業(yè)人員則還必須考慮通常被稱為云計(jì)算的第三方網(wǎng)絡(luò)以及他們控制范圍以外的設(shè)備。無(wú)論你是一名管理著安全專業(yè)人士技術(shù)團(tuán)隊(duì)的首席信息安全官，還是一名負(fù)責(zé)確保企業(yè)關(guān)鍵資產(chǎn)安全性的安全工程師，掌握云計(jì)算知識(shí)已經(jīng)成為成功保護(hù)企業(yè)用戶、數(shù)據(jù)以及基礎(chǔ)設(shè)施的基本素質(zhì)要求了。

 

當(dāng)然，在安全專業(yè)人士保護(hù)與云計(jì)算相關(guān)的資產(chǎn)之前，他們可能需要回答一個(gè)貌似非常簡(jiǎn)單的問(wèn)題。即，何為云計(jì)算？在本文中，我們將從現(xiàn)有的云計(jì)算定義入手，然后從企業(yè)安全專業(yè)人士的角度出發(fā)討論一下這些云計(jì)算定義之間的空白點(diǎn)。

 

 

雖然我們這里討論的只是一些寬泛的云計(jì)算定義，但是安全專業(yè)人士還是應(yīng)當(dāng)牢固掌握云計(jì)算技術(shù)而不僅僅是模糊的概念，這一點(diǎn)是非常重要的。國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）實(shí)際上提供了一個(gè)有用的云計(jì)算定義，具體如下：“云計(jì)算是一個(gè)模型，這個(gè)模型可以方便地按照需求訪問(wèn)一個(gè)可配置的公共計(jì)算資源池（例如，網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)設(shè)備、應(yīng)用程序以及服務(wù)等）。這些資源可以被迅速地提供并發(fā)布，同時(shí)這個(gè)模式也能夠?qū)崿F(xiàn)管理成本或服務(wù)提供商干涉的最小化。”NIST還打破了云計(jì)算模式的本質(zhì)特征、服務(wù)模式以及部署模式。下表給出了該模式的概觀：

一些分析人士和供應(yīng)商則給出了云計(jì)算的一個(gè)狹義定義，即云計(jì)算是效用計(jì)算的一個(gè)升級(jí)版（基本上就是指互聯(lián)網(wǎng)中可用的虛擬服務(wù)器）。而其他的安全人士則擴(kuò)展了上述這個(gè)狹義定義，他們認(rèn)為任何在企業(yè)防火墻外被使用的資源都是“云計(jì)算”，甚至它還包括了常規(guī)的外包服務(wù)。

 

這些定義都是有用的，但是我們也在其中發(fā)現(xiàn)了若干明顯的定義空白點(diǎn)。例如，近年來(lái)業(yè)務(wù)環(huán)境最具革命性的變化之一BYOD（使用你自己的設(shè)備）就不在我們的討論范圍內(nèi)。通過(guò)實(shí)施BYOD策略 ，傳統(tǒng)消費(fèi)者和／或私有網(wǎng)絡(luò)（如家庭或小型企業(yè)）就可擴(kuò)展至大型企業(yè)設(shè)置。家庭網(wǎng)絡(luò)也具有NIST云計(jì)算定義中的所有要素，并處于企業(yè)防火墻外，但是安全從業(yè)人員是否會(huì)把家庭網(wǎng)絡(luò)視為云計(jì)算的一部分的呢？

 

在這種情況下，區(qū)分云計(jì)算與BYOD和家庭網(wǎng)絡(luò)的判別依據(jù)就是位置、控制范圍以及合同義務(wù)。這里，NIST所定義的服務(wù)模式是通過(guò)合同提供的一定程度的義務(wù)，而BYOD則主要依靠用戶自己的系統(tǒng)運(yùn)行。例如，如果我的家庭網(wǎng)絡(luò)遭到了破壞，那么我沒(méi)有義務(wù)需要向我的雇主報(bào)告相關(guān)破壞情況信息，即便我的設(shè)備正在通過(guò)VPN連接訪問(wèn)公司的資產(chǎn)。如果我雇主的網(wǎng)絡(luò)也因此受到損害，我將不會(huì)承擔(dān)破壞或損害通知的責(zé)任，同時(shí)我的雇主也不會(huì)知道是誰(shuí)訪問(wèn)了我們的家庭計(jì)算機(jī)網(wǎng)絡(luò)。

 

為提供全面的保護(hù)，IT安全團(tuán)隊(duì)還必須考慮這些擴(kuò)展的、員工擁有的基礎(chǔ)設(shè)施——我們稱其為消費(fèi)者即服務(wù)（CaaS）基礎(chǔ)設(shè)施，同樣重要的是，將它們默認(rèn)為不可信任，而且也應(yīng)在這個(gè)默認(rèn)假設(shè)的基礎(chǔ)上制定相關(guān)企業(yè)控制和應(yīng)對(duì)措施。這些CaaS基礎(chǔ)設(shè)施將需要一個(gè)類似于其他混合云計(jì)算實(shí)施的安全態(tài)勢(shì)。

 

顧名思義，深網(wǎng)絡(luò)或暗網(wǎng)絡(luò)將在這些云計(jì)算定義之間出現(xiàn)另一個(gè)空白。不適用于現(xiàn)代搜索引擎，這一區(qū)域的互聯(lián)網(wǎng)是安全從業(yè)人員的衣食父母，也是受破壞分子影響的禍根。隱蔽渠道的深網(wǎng)絡(luò)結(jié)構(gòu)和以較小成本按需擴(kuò)展的加密分布式文件系統(tǒng)都使其變得相當(dāng)費(fèi)解。這一威脅即服務(wù)（TaaS）的模式可按需從攻擊者的家或受害的基礎(chǔ)設(shè)施處擴(kuò)展，提供惡意行為能力并以流量克服易受攻擊的目標(biāo)，而無(wú)論其所處的地理區(qū)域或行業(yè)。

 

出于這一討論的目的，我們還必須考慮惰性云計(jì)算，這也是我們?cè)朴?jì)算定義中最后的安全空白?？紤]它是因?yàn)槲覀儗?duì)管理它的法律法規(guī)基本沒(méi)有任何影響力，而它又包括了政府、警察和法規(guī)等實(shí)體。盡管我們對(duì)它們的控制力非常有限，企業(yè)還是必須遵守（或成功規(guī)避）這些惰性實(shí)體或直面從互聯(lián)網(wǎng)被刪除的現(xiàn)實(shí)。

 

互聯(lián)網(wǎng)（如注冊(cè)商、ISP、電信實(shí)體等）是一個(gè)以相互包容關(guān)系包含子網(wǎng)系統(tǒng)的超集合系統(tǒng)：他們之間是絕對(duì)相互依存的關(guān)系。因此，我們必須針對(duì)整個(gè)系統(tǒng)進(jìn)行考慮以確保端到端的保護(hù)。以下是NIST的云計(jì)算圖表，該圖已被更新以反映填滿空白的完整云計(jì)算系統(tǒng)。

 

正如我們之前的討論，云計(jì)算通常是一個(gè)定義模糊的概念，即便是NIST這樣一個(gè)受人尊敬的大型機(jī)構(gòu)也會(huì)出現(xiàn)空白。 但是，根據(jù)我們提供的更新定義，安全從業(yè)人員應(yīng)當(dāng)考慮重新評(píng)估他們的IT環(huán)境以及之前我們所提及的一些問(wèn)題。我們希望，我們所提供的新定義可為大多數(shù)企業(yè)所需的保護(hù)提供一個(gè)針對(duì)企業(yè)基礎(chǔ)設(shè)施的內(nèi)省和洞察意見(jiàn)。