8大步驟教你安全使用雲端計算
2010-10-20 17:59出處：51cto作者：佚名【我要評論】 [導讀]雲端計算是分散式處理、並行處理和網格計算的發展，或者說是這些電腦科學概念的商業實現。
　　雲端計算是分散式處理、並行處理和網格計算的發展，或者說是這些電腦科學概念的商業實現。雲端計算的基本原理是，透過使計算分佈在大量的分散式計算機上，而非本地計算機或遠端伺服器中，企業資料中心的執行將更與網際網路相似。這使得企業能夠將資源切換到需要的應用上，根據需求訪問計算機和儲存系統。

　　Interop會議的參加者本週四聽說，如果你認為滿足安全審計要求是很難的，如果你要把你的資料放在雲端計算中，你要設法透過這種審計。

　　Savvis負責安全服務的副總裁ChrisRichter領導一個雲端計算安全小組。他說，審計人員的任務是讓企業保持一個定義良好的標準。這些安全標準不僅僅是為雲端計算環境存在的。因此，審計人員要慎之又慎。他們需要非常嚴格，因為對於審計沒有明確的政策。

　　這些規則應該與時俱進。但是，這些規則目前還不存在。因此，企業需要謹慎對待他們要提交給雲端計算的資料型別，要保證資料符合遵守法規的標準，例如，保證在這些標準中能夠可驗證地處理HIPAA、PCI和Sarbanes-Oxley等法規要求的事情。

　　Richter說，審計人員要看到雲端計算的內部情況。這是許多雲端計算提供商不允許的。許多雲端計算提供商對於自己的物理架構、政策、安全、虛擬區域網架構和其它重要的因素都是保密的。如果你看不到資料是如何流動的，虛擬區域網是如何分段的，看不到你的資料是如何與其他人的資料分開的，你就不要允許做這個事情。

　　Richter說，使這個問題變得複雜的是身份識別和訪問管理是如何處理的，這樣，非授權使用者就不能進入企業雲端計算中。他說，我還不知道任何人在雲端計算中實現了真正有效的身份識別和訪問管理。

　　這就是說，他認為對於最敏感的資訊使用專有云計算是可能的。他說，我知道最強大的專有的雲端計算。我有信心把我的最有價值的資料放在那裡。這樣做的部分原因是企業在專用雲端計算中能夠保留對資料、應用程式和基礎設施的控制水平。你可以更相信你做的事情。

　　無論一項雲端計算是否得到企業的信任和是否能夠得到審計人員的批准，保護資料的責任仍在企業身上。外部應用程式、平臺或者基礎設施並不能把責任外包出去。

　　如果一個雲端計算提供商被人們普遍認為是遵守安全標準的，這並不意味著使用這個雲端計算服務的個別企業也會符合標準。正式你的終端使用者要為遵守法規負責，而不是服務提供商承擔責任。

　　Richter為計劃使用某種形式的雲端計算的企業制定了8個步驟，讓他們按照這些步驟從專有的傳統的基礎設施安全地過渡到雲端計算：

　　1.政策要求。檢視雲端計算提供商的政策，保證他們的政策符合你的要求。“相信我，每一個提供商的政策都是有很大區別的。”

　　2.評估你的應用程式。有些應用程式與你的企業系統關係非常密切，不適用於雲端計算。

　　3.分類資料。確定什麼是敏感的資料，什麼不是敏感的資料。這個結果可以決定你選擇什麼型別的雲端計算。

　　4.確定最適合你的雲端計算型別：軟體即服務、平臺即服務還是基礎設施即服務。

　　5.選擇交付方式。專有的雲端計算、自己管理的雲端計算、管理的或者外部的雲端計算、公共雲端計算、企業從高雲端計算、混合雲端計算。

　　6.指定平臺架構。這應該包括計算、儲存、備份、網路路由、虛擬化與專用硬體等技術規範。

　　7.指定安全控制。這應該包括防火牆、入侵檢測/預防系統、記錄管理、應用程式保護、資料損失保護、身份和訪問控制、加密與安全漏洞掃描等。