很多IT人員都認(rèn)為公共云服務(wù)不安全，無法確保關(guān)鍵程序工作負(fù)載和數(shù)據(jù)的安全。但是醫(yī)療信息供應(yīng)商Schumacher集團(tuán)首席信息官Doug Menefee卻不這么認(rèn)為。

“使用云服務(wù)確實(shí)存在風(fēng)險，但是任何事情都是有風(fēng)險的，我們必須將商業(yè)利益與這些風(fēng)險進(jìn)行權(quán)衡?！盡enefee確實(shí)也說到做到，現(xiàn)在Schumache集團(tuán)的業(yè)務(wù)數(shù)據(jù)有85%位于公共云服務(wù)內(nèi)部。

Menefee并不認(rèn)為自己是云服務(wù)倡導(dǎo)者，他表示他只是接受云服務(wù)這種形式，并愿意做成本效益和風(fēng)險分析。

可以肯定的是，將重要數(shù)據(jù)交給云服務(wù)并不是沒有做安全考慮，例如，該公司重新改進(jìn)了身份管理程序。“我們需要考慮如何在公司程序和云服務(wù)中的程序間部署身份管理和安全措施。”

從身份驗(yàn)證說起

IDC公司安全產(chǎn)品研究副總裁Charles Kolodgy表示，的確，重新調(diào)整身份管理通常都是選擇云服務(wù)的企業(yè)的起點(diǎn)，企業(yè)需要考慮身份驗(yàn)證、管理控制、數(shù)據(jù)的位置以及可能訪問數(shù)據(jù)的人等問題。 “這些與企業(yè)平時的安全考慮很類似，差別在于企業(yè)不再持有基礎(chǔ)設(shè)置，并且也無法完全進(jìn)入后臺，所以才需要重新調(diào)整，以確保安全性，”他補(bǔ)充道。

ServiceMesh 和Symplified兩家公司就為需要加強(qiáng)云安全的企業(yè)提供了統(tǒng)一訪問權(quán)限管理的產(chǎn)品。ServiceMesh提供的Agility Access由云管理、安全工具和模塊以及服務(wù)管理等組成。而Symplified提供的Trust Cloud是基于EC2的統(tǒng)一訪問權(quán)限管理和聯(lián)盟平臺，整合并保護(hù)軟件和基礎(chǔ)設(shè)施云服務(wù)、EC2和web 2.0應(yīng)用程序。

云服務(wù)的好處

除了技術(shù)支持以外，云服務(wù)模式還為Schumacher公司的運(yùn)營資源帶來新的思維方式，Menefee表示。

“大型云服務(wù)供應(yīng)商都有專門的團(tuán)隊和部門專職負(fù)責(zé)保護(hù)客戶的重要信息，并不斷尋求改善安全、監(jiān)測、入侵控制的方法。作為中型企業(yè)，我們并沒有專職的部門負(fù)責(zé)安全。在云服務(wù)供應(yīng)商的幫助下，企業(yè)安全更有保障，”他表示，即使發(fā)生安全泄漏事故，這些團(tuán)隊也能夠比內(nèi)部人員作出更快的反應(yīng)。

當(dāng)然，將企業(yè)數(shù)據(jù)交給云服務(wù)供應(yīng)商后，要求云服務(wù)供應(yīng)商提供企業(yè)所需要的安全保障是完全合理的，但是，“不要因?yàn)閷?shù)據(jù)交給云服務(wù)供應(yīng)商就忽略了企業(yè)的安全目標(biāo)或要求，”Forrester研究所分析師Chenxi Wang表示。

云服務(wù)供應(yīng)商在安全保障方面可能會有所出入，企業(yè)必須嚴(yán)格要求云服務(wù)供應(yīng)商按照合約履行安全職責(zé)，“如果云服務(wù)供應(yīng)商告訴你，你所要求是不可能實(shí)現(xiàn)的，你就可以告訴他們，那我們?nèi)フ伊硪患以品?wù)供應(yīng)商?！?/P>

美國的Schwan食品公司在規(guī)劃虛擬災(zāi)難恢復(fù)架構(gòu)時就運(yùn)用了這個策略，該公司的高級IT運(yùn)營經(jīng)理Cory Miller表示，“我們告訴供應(yīng)商，‘你們必須使用我們的工具，將這些工具擴(kuò)展到你們的環(huán)境’?！蹦闵踔量梢宰屍髽I(yè)的安全工具供應(yīng)商與云服務(wù)供應(yīng)商簽訂協(xié)議。

Schwan食品公司用于保護(hù)其虛擬基礎(chǔ)設(shè)施的虛擬防火墻來自Reflex系統(tǒng)公司，該系統(tǒng)公司就與美國計算機(jī)科學(xué)公司以及Savvis公司（云服務(wù)供應(yīng)商）合作，旨在“當(dāng)在私有云和公共云間傳輸時確保安全保障和管理的統(tǒng)一性”。

當(dāng)Schwan公司試圖將云服務(wù)向外擴(kuò)展時，許多云供應(yīng)商都躍躍欲試，但是到實(shí)際部署階段，并不是所有供應(yīng)商都能夠接受Schwan的要求，技術(shù)整合是這些供應(yīng)商面對的難題。

“我們告訴這些供應(yīng)商，如果你不能提供這些功能或者服務(wù)，我們可以去找另外的供應(yīng)商，”Miller表示。

即使是小型公司也會從長計議。如果企業(yè)現(xiàn)在建立了私有云，并希望將來擴(kuò)展到公共云服務(wù)，那么了解云服務(wù)供應(yīng)商能夠或者不能夠支持的安全工具將會影響企業(yè)的技術(shù)選擇。“企業(yè)肯定不希望自己設(shè)計的私有云與外部公共云在管理或加密程序方面有如此大差異，這樣的話，根本無法體會到云服務(wù)帶來的優(yōu)勢?！?/P>

嚴(yán)格要求云服務(wù)供應(yīng)商

隨著云服務(wù)不斷成熟，供應(yīng)商們都在努力開發(fā)能夠幫助企業(yè)擴(kuò)展要求的工具和服務(wù)。

其中一個工具就是Adaptivity的Blueprint4IT，企業(yè)能夠用這個IT設(shè)計軟件來創(chuàng)建IT安全規(guī)劃圖，并考慮了這些因素：訪問權(quán)限政策、傳輸中和靜態(tài)數(shù)據(jù)的安全性，確保數(shù)據(jù)從內(nèi)部網(wǎng)絡(luò)向云服務(wù)安全傳送所需要的硬件和軟件組件。

“確定企業(yè)的要求，創(chuàng)建規(guī)劃圖，然后將規(guī)劃圖交給云服務(wù)供應(yīng)商，要求供應(yīng)商按要求部署云服務(wù)，”Adaptivity創(chuàng)始人兼首席執(zhí)行官Tony Bishop表示?；蛘咂髽I(yè)可以試用Blueprint4IT來評估云服務(wù)供應(yīng)商并幫助企業(yè)對安全架構(gòu)成熟度評分。

有志者事竟成

企業(yè)選擇云服務(wù)時需要記住的是，“在云服務(wù)中，并不是每個應(yīng)用程序都能確保安全，但與此同時，云服務(wù)并不是不能確保任何程序的安全，”Gartner公司副總裁John Pescatore表示。

即使是金融機(jī)構(gòu)、政府機(jī)構(gòu)或者持有高度機(jī)密數(shù)據(jù)（如支付款信息或者醫(yī)療信息）的其他公司都能夠在云服務(wù)中找到必要的安全保護(hù)。

Pescatore表示，還有一種方法就是在云服務(wù)中使用假冒數(shù)據(jù)，而不是真正的重要數(shù)據(jù)，“應(yīng)用程序可以交給云服務(wù)處理，但是像支付款信息或者個人信息等重要數(shù)據(jù)還是應(yīng)該保存在內(nèi)部網(wǎng)絡(luò)?！?/P>

顯然，企業(yè)在考慮選擇試用公共云服務(wù)時，有很多問題需要考慮。他們必須將風(fēng)險和效益綜合進(jìn)行考慮，并將重點(diǎn)放在數(shù)據(jù)和必須的控制上，從而作出正確的選擇。  

【編輯推薦】

1. 身份認(rèn)證與安全一線牽
2. IPv6身份驗(yàn)證和安全性