技术主管正在设置新策略,并投资新技术以考虑公共和私有云的弹性、自服务供给和共享数据的基础设施。随着用户开发了用于防火墙之外(甚至在防火墙内)的第三方服务,以实共享环境中的协作,用于身份管理的新的策略和系统正在设计中。此外,需要确定数据安全和隐私监测的新界限,牢记迁移到一个虚拟云环境将如何影响合规性。
马萨诸塞州沃尔瑟姆的Raytheon公司的公共领域并没有冒险使用云。为实现成本节约,这家国防设备制造商正在开发共享的、私有的“云类型服务”,如果它和它的合作伙伴可以就美国空军、陆军和海军喜欢的新的程序和产品进行测试、构建和协作,那么该服务可以实现。
Raytheon公司的副CISO兼IT服务总监MichaelDaly说:“[在虚拟云计算环境中的]安全问题和控制更复杂。不仅仅是管理简单的变更控制,还需要经历许多信任和祈祷:‘嘿,防火墙控制随着[数据或服务]迁移了吗?当生成和删除这些虚拟机时,负责加密的[安全]密钥得到维护了吗?’”
当谈到共享环境的安全时,和许多其它的IT主管一样,在这一点上Daly的问题比答案多:随着项目的启动和关闭,公司如何知道谁需要访问哪些信息?用户是否有权访问它?在私有云上参与开发的各方如何就取消用户配置达成一致?这种情况超越了云模型。他说,在业务模式转向业务共享资源,以在协作环境中开发产品和服务方面,云说到底是一个副产品或一种手段。
内部和外部身份管理
企业用户绕过IT部门登录以访问虚拟云计算服务。因此,问题变成,谁有权拨入和拨出云服务?
纽约人寿投资管理公司位于马萨诸塞州的纽约人寿退休计划服务(RPS)部门的IT团队已经选择了阻止访问第三方虚拟云计算服务,并在从自己的网络转移信息的风险方面教育用户。
纽约人寿RPS的管理董事兼首席信息官NealRamasamy说:“我知道,[对用户来说],移动到云服务非常容易,但随之带来了很大的风险。我和请求者一起坐下来,以了解为什么他们要访问第三方云。考虑我们的公司战略,我的目标是不要有四家不同的[云供应商],而是挑选一家。”
当Raytheon公司的IT部门标记第三方的云服务请求时,Daly和他的团队解释为什么把文档上传到GoogleApps不是好主意。他们然后向业务用户展示其他的安全选项,如公司批准的EMC公司的Documentum系统。
Daly说:“我们要遵守ITAR[武器贸易条例中的国际交通]和其他法规,因此我们可以看到正上传文档和、信息和其他的东西到Google的人的位置,并且我们需要向人们展示正确的做法。”
Raytheon正转移到私有云,为此建立了联邦身份管理系统。这意味着,Raytheon公司将验证它自己的员工,但加入开发项目的公司将负责它们自己的身份验证。
这听起来简单,但事实并非如此。Daly说:“我们必须在我们之间达成法律协议,并且让我们的[云]开发伙伴说:‘好吧,如果我们要检查身份,你将以同样的方式检查身份’,因为并不总是如此。"
(责任编辑:蒙遗善)