我是一個(gè)年收入在10億美元以上的公司的CIO或CSO。在將公司的IT基礎(chǔ)設(shè)施放入云之前，哪些是我需要考慮的安全問題呢？讓我們列出以下安全問題：有哪些設(shè)備需要放入云中？敏感數(shù)據(jù)如何保護(hù)？如何升級(jí)加密算法？如何限制對(duì)于敏感數(shù)據(jù)的訪問？如何跟蹤關(guān)鍵系統(tǒng)數(shù)據(jù)？

假定每個(gè)公司都有相應(yīng)的防火墻和相關(guān)的網(wǎng)絡(luò)設(shè)備放在云供應(yīng)商的云環(huán)境中。每個(gè)部分都有他們支撐的不同應(yīng)用。因?yàn)槠渌疽部赡茉谕瑫r(shí)使用這個(gè)云，他們可能會(huì)和我們共同使用防火墻設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、虛擬操作系統(tǒng)以及虛擬存儲(chǔ)。

首先先看一下云服務(wù)供應(yīng)商在現(xiàn)實(shí)中采用的安全限制。由于公司現(xiàn)有IT應(yīng)用在標(biāo)準(zhǔn)化方面的欠缺，可能很難將所有公司的基礎(chǔ)設(shè)施都部署到云中來。例如，我服務(wù)的一個(gè)客戶有一個(gè)主機(jī)解決方案是與Web服務(wù)集成到一起的。Web服務(wù)是與一個(gè)POS（銷售點(diǎn)）系統(tǒng)進(jìn)行接口的，并且是利用一個(gè)基于TCP/IP的專有端口與主機(jī)進(jìn)行通信。主機(jī)接收并存儲(chǔ)敏感的信用信息。對(duì)于這個(gè)解決方案來說，所有的POS方案、Web服務(wù)和TCP/IP的通信渠道都可以放入云中。大型主機(jī)的應(yīng)用程序、專有的存儲(chǔ)基礎(chǔ)設(shè)施，以及加密技術(shù)很難放入云中。大型主機(jī)應(yīng)用程序也可以進(jìn)行移植，但前提是需要一個(gè)艱難的重寫。如果沒有事先考慮到ROI（投資回報(bào)率），這樣做是不明智的。

第二個(gè)問題是訪問敏感數(shù)據(jù)。敏感數(shù)據(jù)是如何存儲(chǔ)到云中的呢？SAN（存儲(chǔ)區(qū)域網(wǎng)絡(luò)）子系統(tǒng)將數(shù)據(jù)分條存儲(chǔ)與不同的存儲(chǔ)陣列驅(qū)動(dòng)中。用戶是否想要將敏感數(shù)據(jù)存儲(chǔ)在整個(gè)磁盤陣列中呢？我擔(dān)心的是一個(gè)數(shù)據(jù)庫、文件系統(tǒng)、磁盤或固態(tài)硬盤驅(qū)動(dòng)器的損壞可能會(huì)蔓延到處于同一個(gè)子系統(tǒng)中共享數(shù)據(jù)的其他應(yīng)用程序。所以，我們需要想出一個(gè)辦法來隔離數(shù)據(jù)庫、文件系統(tǒng)或磁盤上的加密數(shù)據(jù)。數(shù)據(jù)之間的隔離將會(huì)減小數(shù)據(jù)損壞導(dǎo)致的惡果。

第三，針對(duì)存儲(chǔ)數(shù)據(jù)的加密算法如何更新？存儲(chǔ)在不同數(shù)據(jù)庫、文件系統(tǒng)中的加密數(shù)據(jù)需要進(jìn)行更新，因?yàn)殡S著處理器速度的不斷增加，破解加密算法將變得更加容易。所以這類數(shù)據(jù)需要從一個(gè)舊的加密算法中破解出來，然后再用一個(gè)新的加密算法進(jìn)行加密。因?yàn)楸容^新的算法，新加密的數(shù)據(jù)可能會(huì)需要占用數(shù)據(jù)庫或文件系統(tǒng)更大的空間。這同樣需要進(jìn)行監(jiān)管。

接下來，我需要對(duì)存儲(chǔ)在云供應(yīng)商那里的應(yīng)用數(shù)據(jù)進(jìn)行非常細(xì)粒度的訪問控制。我希望能夠使用LDAP（輕量級(jí)目錄訪問協(xié)議）或者Active Directory來接口數(shù)據(jù)庫、文件系統(tǒng)或驅(qū)動(dòng)器，只有來自云端的特定的人才能夠訪問這些數(shù)據(jù)。同時(shí)，我還希望云供應(yīng)商能夠提供一個(gè)針對(duì)所有云客戶的目錄分區(qū)，按照云客戶/細(xì)分部門/應(yīng)用/用戶這種順序來說明哪些人可以訪問不同的應(yīng)用程序數(shù)據(jù)庫、文件系統(tǒng)、磁盤或者固態(tài)硬盤驅(qū)動(dòng)器。這種鎖定的訪問方式可以阻止未授權(quán)用戶或者管理員不當(dāng)?shù)拇嫒』蛟L問數(shù)據(jù)。

***，我正在尋找一個(gè)地方來保存數(shù)據(jù)分段和元數(shù)據(jù)。這樣是為了讓客戶公司可以向云中存儲(chǔ)或者摘錄這些數(shù)據(jù)分段或應(yīng)用程序。我建議使用LDAP目錄或Active Directory來存儲(chǔ)云中客戶的元數(shù)據(jù)。云客戶可以在某些原因下，利用這種靈活性來提取某些應(yīng)用程序，并且改進(jìn)這些數(shù)據(jù)。云客戶也可以由于云供應(yīng)商的不足將這些數(shù)據(jù)分片和應(yīng)用程序從云中刪除。這個(gè)目錄元數(shù)據(jù)的層次結(jié)構(gòu)有一個(gè)給定的網(wǎng)絡(luò)分段，來定義虛擬防火墻、交換機(jī)、路由器和負(fù)載平衡器的元數(shù)據(jù)段。分段數(shù)據(jù)的子數(shù)據(jù)將成為每個(gè)數(shù)據(jù)段支撐的應(yīng)用程序的元數(shù)據(jù)。

總結(jié)一下，云計(jì)算只能包含使用共同標(biāo)準(zhǔn)的外包企業(yè)的應(yīng)用和基礎(chǔ)設(shè)施。存儲(chǔ)的敏感數(shù)據(jù)需要使用共同的加密算法、協(xié)議，并且他們的周圍有一個(gè)加密的數(shù)據(jù)保護(hù)邊界。對(duì)于存儲(chǔ)在數(shù)據(jù)庫或文件系統(tǒng)中的數(shù)據(jù)來說，加密算法需要有一個(gè)更新的途徑。敏感數(shù)據(jù)同樣也需要一個(gè)全局的云供應(yīng)商LDAP目錄或Active Directory目錄，此目錄定義了客戶端/系統(tǒng)/應(yīng)用/用戶這四項(xiàng)內(nèi)容，以此來定義誰可以訪問存儲(chǔ)在數(shù)據(jù)庫、文件系統(tǒng)、磁盤或固態(tài)硬盤中的應(yīng)用數(shù)據(jù)。***，該目錄還需涵蓋包含云計(jì)算元數(shù)據(jù)的層次結(jié)構(gòu)，使用戶可以輕松的往云中添加應(yīng)用數(shù)據(jù)或從云中刪除數(shù)據(jù)。