遷移到云端可以幫助企業(yè)加快IT交付、提高業(yè)務(wù)敏捷性，但是可能也會(huì)帶來(lái)敞開(kāi)的安全漏洞，讓公司暴露在網(wǎng)絡(luò)攻擊面前。這意味著在云端運(yùn)作的企業(yè)組織現(xiàn)在必須解答這些問(wèn)題：“什么云服務(wù)器遭到了攻擊，我如何才能知道?”

　　遺憾的是，答案并不容易獲得。像防火墻和入侵檢測(cè)系統(tǒng)這些傳統(tǒng)的安全工具在企業(yè)組織內(nèi)部使用時(shí)效果很好，可是面對(duì)云環(huán)境時(shí)，它們沒(méi)有多大幫助。虛擬基礎(chǔ)設(shè)施具有的彈性和動(dòng)態(tài)性使得安全團(tuán)隊(duì)很難看到云端發(fā)生的情況。而要是沒(méi)有這種可見(jiàn)性，它們不可能執(zhí)行一致的政策、發(fā)現(xiàn)漏洞，并迅速應(yīng)對(duì)異常行為。

　　想得到云服務(wù)提供商的幫助?那只能為你解決一部分問(wèn)題。云服務(wù)提供商通常不保護(hù)虛擬機(jī)管理程序?qū)又系娜魏蜗到y(tǒng)，所以做好安全主要是你的責(zé)任。假設(shè)你想在云端啟用一臺(tái)Windows 2000服務(wù)器或紅帽Linux。為那些實(shí)例確保安全是你的工作，而不是云服務(wù)提供商的工作。

　　這就是所謂的“分擔(dān)責(zé)任”模式，所有云服務(wù)提供商無(wú)不在大聲吆喝這種模式。亞馬遜網(wǎng)絡(luò)服務(wù)是這么說(shuō)的：“雖然AWS管理云安全，但做好云安全是客戶的責(zé)任。客戶仍然控制著選擇實(shí)施什么好的安全機(jī)制，保護(hù)自己的內(nèi)容、平臺(tái)、應(yīng)用程序、系統(tǒng)和網(wǎng)絡(luò)，這跟他們保護(hù)現(xiàn)場(chǎng)數(shù)據(jù)中心中的應(yīng)用程序沒(méi)什么兩樣。”

　　似乎夠直截了當(dāng)。但是許多消費(fèi)者仍然感到困惑。他們認(rèn)為，因?yàn)閬嗰R遜擁有保護(hù)直至虛擬機(jī)管理程序這一層的種種出色工具，因而自己完全安全。可是他們沒(méi)有認(rèn)識(shí)到，做好他們選擇啟用的云實(shí)例的安全性永遠(yuǎn)是自己的責(zé)任。無(wú)論你在公有云運(yùn)作還是在傳統(tǒng)數(shù)據(jù)中心運(yùn)作，仍需要繼續(xù)實(shí)現(xiàn)一些關(guān)鍵的控制目標(biāo)，包括數(shù)據(jù)保護(hù)和威脅管理。

　　云安全薄弱釀成的后果可能很?chē)?yán)重。我記得一家名為Code Spaces的公司在黑客全面訪問(wèn)其托管在云端的網(wǎng)絡(luò)后，被迫關(guān)門(mén)歇業(yè)。黑客索要贖金，而Code Space拒絕支付。然后，黑客刪除了Code Spaces的所有重要數(shù)據(jù)，實(shí)際上搞垮了這家公司。

　　這就是你在云端保護(hù)自己所面臨的困境：你對(duì)看不見(jiàn)的東西自然無(wú)法確保其安全。因而，獲得實(shí)時(shí)可見(jiàn)性至關(guān)重要，對(duì)希望充分利用云基礎(chǔ)設(shè)施許多不同優(yōu)點(diǎn)的企業(yè)組織來(lái)說(shuō)更是如此。而隨著企業(yè)組織使用更多的云：公有云、私有云或混合云，并與內(nèi)部數(shù)據(jù)中心(不會(huì)很快就會(huì)消失)結(jié)合起來(lái)，情況就只變得更加復(fù)雜。

　　那么，你如何才能獲得云端可見(jiàn)性，并確保自己安全呢?不妨先明白這一點(diǎn)：做好安全是你的責(zé)任，然后堅(jiān)持遵守這五個(gè)最佳實(shí)踐。

　　1. 持續(xù)可見(jiàn)性。隨時(shí)知道你的基礎(chǔ)設(shè)施、應(yīng)用程序、數(shù)據(jù)和用戶方面出現(xiàn)的情況。由于現(xiàn)代虛擬基礎(chǔ)設(shè)施具有自動(dòng)化、彈性、按需的性質(zhì)，獲得這種可見(jiàn)性可能是個(gè)挑戰(zhàn)。但是如果隨時(shí)知道自己有什么及其運(yùn)行情況，就能減小受攻擊面，并降低風(fēng)險(xiǎn)。

　　2. 風(fēng)險(xiǎn)管理。這意味著為你的可見(jiàn)性添加具體環(huán)境。一旦你獲得了可見(jiàn)性和透明性，就能成功地消除已知存在于網(wǎng)絡(luò)里面的明顯的安全漏洞，比如過(guò)期的工作站和移動(dòng)設(shè)備。

　　3. 強(qiáng)有力的訪問(wèn)控制。實(shí)際上，薄弱的訪問(wèn)控制導(dǎo)致了最近的許多重大安全事件，包括臭名昭著的Ashley Madison黑客事件。Ashley Madison首席執(zhí)行官本人表示，內(nèi)部人員實(shí)施了這起黑客行為，很可能是第三方的合同工，他被授予了過(guò)高的訪問(wèn)權(quán)限。所以，確保你落實(shí)了合適的訪問(wèn)管理和權(quán)限監(jiān)控機(jī)制。還要確保在不斷監(jiān)控用戶活動(dòng)，保證根本沒(méi)有違反公司政策。

　　4. 數(shù)據(jù)保護(hù)。這是另一項(xiàng)必要工作。這意味著要既要保護(hù)靜態(tài)數(shù)據(jù)，又要保護(hù)傳輸中數(shù)據(jù)，還要部署數(shù)據(jù)丟失防護(hù)(DLP)之類(lèi)的技術(shù)，確保萬(wàn)一受到危及，你的數(shù)據(jù)無(wú)法被發(fā)送到網(wǎng)絡(luò)外面。

　　5. 威脅管理。你必須接受這一事實(shí)：哪怕再嚴(yán)格的安全做法也無(wú)法始終防范得了所有安全事件。安全事件會(huì)發(fā)生。所以準(zhǔn)備好果真發(fā)生后，緩解風(fēng)險(xiǎn)。要落實(shí)相應(yīng)的流程和技術(shù)，讓你能夠迅速應(yīng)對(duì)，并且化解安全事件，以免勢(shì)態(tài)失控。在安全事件發(fā)生之前制定好行動(dòng)方案，然后一旦發(fā)現(xiàn)了安全事件，就嚴(yán)格遵守。

　　如果你無(wú)法隨時(shí)迅速準(zhǔn)確地看到你整個(gè)基礎(chǔ)設(shè)施上發(fā)生的情況，很可能不知道何時(shí)遭到了攻擊或危及，因而等你有所反應(yīng)時(shí)已為時(shí)太晚。等到網(wǎng)絡(luò)已被大火夷為平地，才拿著水管去滅火無(wú)事無(wú)補(bǔ)。你需要持續(xù)的可見(jiàn)性，并且輔以全面的安全功能。這些是改善安全狀況的必要步驟，在面對(duì)具有動(dòng)態(tài)性和彈性的現(xiàn)代云計(jì)算環(huán)境時(shí)更是如此。