圍繞云計算的喧囂可能會讓你以為，明天就會發(fā)生大規(guī)模采納云計算的事情。然而，來自多方面的研究已經(jīng)表明，云安全是阻礙大規(guī)模采納云計算的最大障礙。現(xiàn)實的情況是，云計算不過是沿著主機、客戶機/服務器和Web應用等技術演變路徑自然而然的又一階段而已，所以它也和其他所有階段一樣，都有它自己的安全問題。

當然，對安全的擔憂并不能阻止對這些技術的使用，也不能阻止對于能夠解決實際業(yè)務需求的云應用的采納。為了確保云是安全的，需要將其作為技術的下一步進化來對待，而不是將其視為一次需要徹底改變安全模式的革命。安全的策略和程序需要針對云模式進行調(diào)整，以便對云服務的采用做好準備。和其他的技術一樣，我們看 到一些早期用戶通過帶頭部署私有云或者在公用云中試驗一些非關鍵性的應用而逐步打消了人們對于云模式的不信任。

企業(yè)和組織會詢問很多問題，并權衡使用云計算解決方案的利與弊。安全性、可用性和可管理性都是需要考慮的因素。本文所說的是組織應該考慮的10個和安全相關的問題，回答這些問題有助于企業(yè)和組織能夠對是否需要部署云作出決定，而且，如果需要部署的話，究竟應該采用哪種云模式——私有云、公用云還是混合云？

1.云部署會如何改變企業(yè)的風險管理？

部署云計算——無論是私有云還是公用云——都意味著你不再能夠完全控制環(huán)境、數(shù)據(jù)或者人員?？刂粕系淖兓瘯盹L險管理上的變化——在某些情況下風險會增加，而在另一些情況下風險可能會降低。某些云應用對你來說會完全透明，而且能提供高級報表功能，并且能夠與企業(yè)現(xiàn)有的系統(tǒng)進行集成。此類應用會降低企業(yè)的風險。而另外一些云應用或許無法改進其安全配置，無法與企業(yè)現(xiàn)有的安全措施相匹配，因此有可能使安全風險變大?？偠灾?，企業(yè)的數(shù)據(jù)及其敏感級別將會最終決定應采取哪類云模式才是合理的。

2.需要做些什么才能確?，F(xiàn)有的安全策略能夠接納云模式？

向云模式的遷移是改進企業(yè)整體安全狀況和安全策略的一個機會。云應用的早期用戶將會發(fā)揮影響作用，幫助推動由云提供商實施的安全模式。企業(yè)不必為了云而去創(chuàng) 建新的安全策略，而是應該擴展現(xiàn)有的安全策略去容納新增加的云平臺。為了部署云而去修改安全策略，需要考慮的其實是一些和以前一樣的因素：數(shù)據(jù)存放在哪兒，如何保護數(shù)據(jù)，誰能夠訪問數(shù)據(jù)，遵從哪些監(jiān)管條例，以及服務等級協(xié)議等等。

3.云部署會損害企業(yè)的法規(guī)遵從能力嗎？

云部署會改變企業(yè)的風險狀況，因而可能會影響到企業(yè)適應各種法規(guī)遵從的能力。這就要求在合規(guī)性需要與云部署相關聯(lián)時，需要重新評估合規(guī)性需要。有些云應用有很強的報表功能，可加以剪裁以適應特殊的合規(guī)性需要，而有些應用比較通用，不太可能或者不能適應詳細的合規(guī)性需要。舉例說，如果某個國家的法規(guī)規(guī)定，企業(yè)的數(shù)據(jù)不得存放在國境之外，然而有些云提供商由于其數(shù)據(jù)中心的位置有可能無法滿足這一法規(guī)的規(guī)定。

4. 云提供商是否在使用某種安全標準(SAML、WS-Trust、ISO或其他)？

在云計算中，標準發(fā)揮著非常重要的作用，因為各種云服務之間的互操作性對于確保云不會陷入專利的安全孤島來說是至關重要的。有不少的組織已經(jīng)創(chuàng)建并擴展了支持云的各種標準倡議。Cloud-standards.Org列出了和云計算有關的大多數(shù)標準組織，其中也有和云安全標準相關的組織。

5. 如果發(fā)生數(shù)據(jù)泄漏該如何處理？

當企業(yè)在規(guī)劃云安全時，必須要正確地制定好防止數(shù)據(jù)泄漏和數(shù)據(jù)損失的規(guī)劃。這一點在企業(yè)與云服務提供商簽署整體協(xié)議時是至關重要的一點。云提供商和企業(yè)雙方都應該制定數(shù)據(jù)泄漏告知政策或者必須遵從的監(jiān)管規(guī)則。企業(yè)必須敦促云提供商在一旦有需要時能夠支持企業(yè)的告知需要。

6. 在保障企業(yè)數(shù)據(jù)的安全時，誰是責任方？或者誰應被視為責任主體？

在實際情況中，安全責任將是雙方共擔的。然而在公眾輿論的法庭看來(至少今天是如此)，是企業(yè)而不是云提供商負責收集數(shù)據(jù)，因此只有企業(yè)應被視為信息安全的最終責任人。如果企業(yè)與云提供商之間的協(xié)議簽的滴水不漏，或許企業(yè)可以少負些責任，和云提供商責任共擔，但是從企業(yè)客戶的角度來看，企業(yè)仍然會被認為是最終責任人。

7. 如何保證只有適當?shù)臄?shù)據(jù)存入云中？

企業(yè)必須清楚哪些數(shù)據(jù)時敏感數(shù)據(jù)，依據(jù)數(shù)據(jù)和應用的關鍵與否來構建適當?shù)陌踩Ｊ?，這對于了解哪些數(shù)據(jù)可以存入云中是非常重要的。這個過程應在考慮云部署之前很久就開始著手，因為這是良好的安全行為的關鍵部分。很多企業(yè)使用數(shù)據(jù)泄漏防范技術來分類和標記數(shù)據(jù)。

8. 如何保證只有經(jīng)過授權的員工、合作伙伴和客戶才能訪問數(shù)據(jù)與應用？

身份管理和訪問管理是早已存在的安全挑戰(zhàn)，這種挑戰(zhàn)在云部署中會被放大一些技術性功能，如聯(lián)邦制、安全虛擬化系統(tǒng)和預配置等都在云安全中發(fā)揮著作用，就像它們在今天的IT平臺上發(fā)揮的作用一樣。擴展并補充企業(yè)的現(xiàn)有環(huán)境去支持云部署，將有助于解決這一問題。

9. 如何托管企業(yè)的數(shù)據(jù)與應用，怎樣的安全技術才是適當?shù)模?/strong>