[[127098]]

IT漏洞引起了對(duì)云安全的關(guān)注。為了限制可能發(fā)生的問(wèn)題，企業(yè)必須將管理需求、工具、供應(yīng)商等列入考量。

應(yīng)用和數(shù)據(jù)安全對(duì)任何組織來(lái)說(shuō)都是不可少的，但相應(yīng)的責(zé)任歸屬卻不是平均分配的。所以，IT部門(mén)必須拿出一個(gè)可以讓整個(gè)組織遵循，有明確服從政策或原則的云安全策略。

公有云為企業(yè)除去了一部分傳統(tǒng)數(shù)據(jù)中心所需要的基礎(chǔ)架構(gòu)和管理開(kāi)支，但滿(mǎn)足云管理需求的重?fù)?dān)仍然責(zé)無(wú)旁貸的落在了IT部門(mén)的肩上。在這個(gè)日新月異的云版圖上，要?jiǎng)?chuàng)造一個(gè)類(lèi)似于一個(gè)持續(xù)的過(guò)程，而非產(chǎn)品的管理模型，是很重要的。

依照你的數(shù)據(jù)地點(diǎn)，隱私性和管理需求來(lái)選擇云供應(yīng)商，同時(shí)在最佳實(shí)踐的基礎(chǔ)上創(chuàng)建適用于整個(gè)組織的云管理策略，這對(duì)于任何IT部門(mén)來(lái)說(shuō)都是重要的考量。

云安全挑戰(zhàn)

大多數(shù)企業(yè)在談到云安全時(shí)，并沒(méi)有很好的分辨出什么是事實(shí)而什么是虛構(gòu)的。各種威脅活動(dòng)的多變性并不如基礎(chǔ)架構(gòu)的所在地重要，根據(jù)Alert Logic 2012年秋季的云安全狀態(tài)報(bào)告指出。網(wǎng)絡(luò)攻擊的本質(zhì)是投機(jī)性的，所以任何可以從外界訪問(wèn)的事物，無(wú)論是企業(yè)或者是云，都有著同等被攻擊的機(jī)率。

在報(bào)告中指出，使用服務(wù)供應(yīng)商環(huán)境和本地環(huán)境的組織受到基于Web應(yīng)用的攻擊比例分別為53%和44%。但是，本地環(huán)境受到攻擊的次數(shù)比服務(wù)供應(yīng)商環(huán)境的次數(shù)多，分別為平均61.4次和27.8次的攻擊。本地環(huán)境用戶(hù)相比服務(wù)供應(yīng)商環(huán)境用戶(hù)也明顯接受了更多的暴力攻擊。

這份2012年的報(bào)告內(nèi)容到今天依然適用，近來(lái)發(fā)生在Sony、Home Depot和Target的數(shù)據(jù)漏洞都與云無(wú)關(guān)。大部分攻擊都發(fā)生在傳統(tǒng)系統(tǒng)上，主因是老化的安全系統(tǒng)和暴露的漏洞。

當(dāng)云計(jì)算變得越來(lái)越普及，而實(shí)現(xiàn)卻更復(fù)雜和異構(gòu)時(shí)，擁有一個(gè)有效云安全策略和技術(shù)的重要性顯著提升。

身份和訪問(wèn)管理（IAM），也稱(chēng)為身份管理，并不是什么新技術(shù)，但云計(jì)算的崛起使這項(xiàng)技術(shù)變得相形重要。許多云供應(yīng)商，例如Amazon Web Services（AWS），將IAM作為開(kāi)箱即用的云服務(wù)之一。其他供應(yīng)商則需要客戶(hù)自行選擇并部署第三方的IAM系統(tǒng)。

IAM的概念很簡(jiǎn)單：提供一種安全的方法和技術(shù)來(lái)確保正確的個(gè)體能夠以正確的原因在正確的時(shí)間訪問(wèn)正確的資源。這個(gè)概念是依照所有人和事物都獲得一個(gè)身份的前提來(lái)執(zhí)行的，包括人、服務(wù)器、設(shè)備、API、應(yīng)用和數(shù)據(jù)。一旦驗(yàn)證完成，接下來(lái)就只是定義哪些身份可以訪問(wèn)其他身份并創(chuàng)建定義這些關(guān)系的限制政策了。

舉個(gè)例子，我們可以定義并存儲(chǔ)一組基于云的API的身份，這些API只能被單獨(dú)的一組正在運(yùn)行某個(gè)應(yīng)用的智能手機(jī)所使用。這些API都有獨(dú)立的身份，而每個(gè)智能手機(jī)，每個(gè)應(yīng)用和使用手機(jī)的人也一樣。一個(gè)IAM服務(wù)會(huì)驗(yàn)證每個(gè)實(shí)體的身份，每當(dāng)他們與其他資源有交互的時(shí)候。

最好的IAM的例子就是AWS的版本，即一個(gè)可以允許用戶(hù)管理AWS云服務(wù)訪問(wèn)的成熟的身份管理和安全系統(tǒng)。這個(gè)IAM能夠讓你以權(quán)限的方式，也就是允許和禁止訪問(wèn)數(shù)據(jù)的方式，來(lái)創(chuàng)建并管理AWS用戶(hù)和用戶(hù)群組。Amazon的IAM的好處就是它能夠管理誰(shuí)可以訪問(wèn)什么并在怎樣的上下文環(huán)境中的能力。

其他的競(jìng)爭(zhēng)對(duì)手

當(dāng)然，不是每個(gè)人都運(yùn)行AWS的。還好，許多新的IAM公司將重心放在云上，并通常也保證會(huì)同時(shí)提供身份管理和單點(diǎn)登錄服務(wù)。這些公司包括了Bitium，Centrify，Okta，OneLogin，Ping Identity和Symplified。

每個(gè)公司都對(duì)云安全和IAM有不同的見(jiàn)解，所以請(qǐng)根據(jù)自己的具體要求來(lái)審查每個(gè)產(chǎn)品。在選擇正確的云安全方式時(shí)，一定要考慮到以下的因素：

• 基于云的身份管理服務(wù)，或其他安全服務(wù)，與企業(yè)安全系統(tǒng)的整合。安全性，不論是云或者非云系統(tǒng)，都應(yīng)該是全面的?？紤]使用能夠同時(shí)滿(mǎn)足兩方需求的產(chǎn)品。
• 基于身份的安全服務(wù)的設(shè)計(jì)和基礎(chǔ)架構(gòu)。有時(shí)候安全服務(wù)可能是來(lái)自你的云供應(yīng)商。在很多情況下，你可能要選擇并部署第三方的安全工具。
• 測(cè)試，包括了“白帽”安全測(cè)試，是很重要的。測(cè)試結(jié)果反映了你安全系統(tǒng)的真實(shí)有效性。
• 對(duì)于性能的影響。在某些情況，安全性會(huì)使你的系統(tǒng)拖慢到影響生產(chǎn)力的程度。
• 要遵守的行業(yè)及所有必須的法規(guī)。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_87558.htm