云計(jì)算代表著業(yè)務(wù)功能的巨大變化，對(duì)一個(gè)機(jī)構(gòu)的IT基礎(chǔ)設(shè)施來(lái)說(shuō)更是如此。沒(méi)有人能比網(wǎng)絡(luò)管理者更能感受這種變化的影響了，因?yàn)樗麄兊娜蝿?wù)就是保證機(jī)構(gòu)數(shù)據(jù)和網(wǎng)絡(luò)用戶(hù)的安全。

　　雖然共享數(shù)據(jù)、應(yīng)用程序和IT基礎(chǔ)設(shè)施可以在成本和生產(chǎn)效率上帶來(lái)顯著的優(yōu)勢(shì)，但是它們都只發(fā)生在企業(yè)防火墻和物理環(huán)境這一理想?yún)^(qū)域以外。作為一個(gè)網(wǎng)絡(luò)管理者，你在云計(jì)算實(shí)現(xiàn)過(guò)程中的任務(wù)是，在把數(shù)據(jù)、應(yīng)用程序和基礎(chǔ)設(shè)施傳輸?shù)皆贫酥?，仍能確保用戶(hù)和數(shù)據(jù)的安全。雖然云服務(wù)提供商需要為企業(yè)數(shù)據(jù)安全承擔(dān)共同的責(zé)任，但最終企業(yè)安全的支持者（即網(wǎng)絡(luò)管理者）要對(duì)此負(fù)責(zé)。在這篇文章中，我們將針對(duì)基礎(chǔ)設(shè)施延伸進(jìn)入云端的安全性問(wèn)題，討論如何構(gòu)建企業(yè)網(wǎng)絡(luò)。

　　在把任何數(shù)據(jù)或應(yīng)用程序移動(dòng)到云端之前，必須對(duì)內(nèi)部網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行評(píng)估。這是一個(gè)對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)的好時(shí)機(jī)，以此觀察網(wǎng)絡(luò)防護(hù)性能與你的數(shù)據(jù)策略（包括安全性、完整性和可用性）、法規(guī)要求以及行業(yè)***標(biāo)準(zhǔn)的匹配程度。

　　這種檢測(cè)帶來(lái)的好處很多。使用一個(gè)或多個(gè)免費(fèi)商業(yè)網(wǎng)絡(luò)檢測(cè)工具肯定會(huì)發(fā)現(xiàn)實(shí)際情況比理想情況要更糟糕。一旦這些被更好的安全技術(shù)和改進(jìn)程序所完善，那么就可以為網(wǎng)絡(luò)及其它所承載的設(shè)備、用戶(hù)和應(yīng)用程序以及它所處理的流量確立一個(gè)合理的安全底線。在今后的檢測(cè)和安全配置檢查中可以參考這個(gè)底線，從而確定網(wǎng)絡(luò)安全在轉(zhuǎn)到云計(jì)算后會(huì)受到哪些影響。

　　其次，這也表明，理解云服務(wù)提供商的安全策略和程序是很重要的。關(guān)鍵是尋找一個(gè)既能夠滿(mǎn)足企業(yè)的安全要求，又能與防火墻防護(hù)能力相當(dāng)?shù)陌踩?jí)別。為了避免混淆誰(shuí)將對(duì)你數(shù)據(jù)安全的各個(gè)方面（如備份、訪問(wèn)和數(shù)據(jù)損壞）負(fù)責(zé)，我將根據(jù)合同，明確應(yīng)該由哪一方來(lái)負(fù)責(zé)遵守相關(guān)政策或標(biāo)準(zhǔn)。

　　根據(jù)云服務(wù)的傳輸方式，防火墻的設(shè)置可能需要調(diào)整。為了確保包括周邊防護(hù)（如IDS / IPS系統(tǒng)）在內(nèi)的措施已經(jīng)得到正確的調(diào)整，請(qǐng)與供應(yīng)商緊密合作，因?yàn)楣?yīng)商肯定具有處理各種可能的網(wǎng)絡(luò)安全配置問(wèn)題的經(jīng)驗(yàn)。如果有必要，修改防火墻規(guī)則或者開(kāi)放其他端口，必須確保每次進(jìn)行這些改動(dòng)都進(jìn)行了另外一次網(wǎng)絡(luò)檢測(cè)，從而更新網(wǎng)絡(luò)安全底線?？梢允褂萌鏝map這樣的工具來(lái)檢查，以確保只有合適的端口被開(kāi)放，并且沒(méi)有任何授權(quán)或連接違反了安全策略。

　　每當(dāng)一項(xiàng)新的服務(wù)被添加到網(wǎng)絡(luò)中，必須確保訪問(wèn)權(quán)限和職責(zé)的充分隔離，防止個(gè)人可能有意無(wú)意地?fù)p壞公司數(shù)據(jù)。對(duì)賬戶(hù)和人力資源雇傭登記的權(quán)限進(jìn)行審查非常必要，這可以確保權(quán)限仍然適當(dāng)，而那些不再使用的賬戶(hù)也已得到終止。作為云計(jì)算的一部分，如果你對(duì)第三方（如，供應(yīng)商和客戶(hù)）開(kāi)放網(wǎng)絡(luò)訪問(wèn)權(quán)限，那么任何網(wǎng)絡(luò)接入控制（NAC）系統(tǒng)配置也必需重新檢查。要確保當(dāng)前NAC產(chǎn)品可以應(yīng)付用戶(hù)的急劇增加。實(shí)際上，許多機(jī)構(gòu)仍在尋找基于SaaS的NAC解決方案，從而確?？蓴U(kuò)展性和互操作性。

　　因?yàn)樵朴?jì)算的應(yīng)用會(huì)在一定程度上消除靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)之間的差異，因此數(shù)據(jù)加密成為最重要的防護(hù)手段之一。本質(zhì)上，加密的數(shù)據(jù)是受到保護(hù)的，因此即使受到其他服務(wù)的保護(hù)，所有的數(shù)據(jù)和通訊都將需要進(jìn)行加密。此外，加密的數(shù)據(jù)不可讀取，減輕了對(duì)云端數(shù)據(jù)損壞的一些擔(dān)憂(yōu)。數(shù)據(jù)加密還允許任務(wù)和數(shù)據(jù)的分離，因?yàn)槊荑€控制著數(shù)據(jù)的訪問(wèn)。我可能會(huì)使用諸如Wireshark這樣的分析軟件對(duì)網(wǎng)絡(luò)進(jìn)行常規(guī)檢查，從而確保通信信道正在被加密。

　　***，不要因?yàn)?**次開(kāi)發(fā)實(shí)驗(yàn)內(nèi)部云和混合云，而害怕測(cè)試網(wǎng)絡(luò)的安全性。你可以采用與云計(jì)算供應(yīng)商相同的方式來(lái)提供應(yīng)用服務(wù)，而這只能在網(wǎng)絡(luò)周邊范圍內(nèi)進(jìn)行，或用有限的、非關(guān)鍵任務(wù)的功能來(lái)測(cè)試云供應(yīng)商的實(shí)力從而進(jìn)行實(shí)驗(yàn)。我還建議你閱讀云安全聯(lián)盟發(fā)布的指南，這將有助于你了解云計(jì)算組織主要的關(guān)注領(lǐng)域。

　　然而，為云計(jì)算構(gòu)建網(wǎng)絡(luò)只是***步。為了使云計(jì)算真正成功，你需要確保當(dāng)你開(kāi)始運(yùn)行云服務(wù)時(shí)，你的安全底線仍然能夠得到執(zhí)行。你還需要適應(yīng)和發(fā)展防御和安全技術(shù)，以便處理新的威脅。在下一篇文章中，我們將關(guān)注這些挑戰(zhàn)。