作为云计算的消费者,企业能够做许多事情改善云计算安全。事实上,当涉及到保护云计算中的企业信息安全的时候,这确实是企业的职责。如果发生安全突破事件,企业要承担责任,至少在目前是如此。
企业--云计算消费者--必须努力改善云计算的安全。大多数围绕云计算安全的讨论都把重点放在云计算提供商应该做什么。数据和应用程序服务在提供商那里。但是,企业需要记住他们承担很大的、在某种情况下要承担最大的云计算安全的责任。企业必须永远不要忘记如果发生安全突破他们将面临大多数的指责。企业毕竟是收集数据的实体。
云计算安全最好被看作是云计算提供商和企业之间共同的责任。两者之间的界限现在有一点模糊。这个界限直接取决于应用的云计算模式的类型,其范围包括软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS)。
在这个范围的一端,SaaS接近于一个安全黑箱,应用程序安全活动对于企业来说基本上是看不见的。在这个范围的另一端是IaaS,企业在这里主要负责应用程序、数据和其它水平的基础设施栈的安全。
企业应该做什么来改善在一种云计算模式中的安全并且准备收获这种云计算的大多数好处呢?下面是要采取的六个步骤:
第一个步骤:了解你现有的内部的专有云计算以及你围绕这些简历的安全系统和流程
是的。你已经拥有内部云计算。在过去的10年里,中型和大型企业已经建立了内部云计算,尽管他们没有把这些叫做云计算。这些内部云计算经常被称作共享的服务,如身份识别服务、配置服务、数据库服务或者企业数据中心(在相当标准化的硬件和操作系统上托管的)。
第二个步骤:评估你的许多由IT实现的业务流程的风险和重要性
虽然迁移到云计算实现的节省成本的潜在回报是比较容易计算的,但是,没有第一手了解这个等式的风险方面,人们不可能进行“风险与回报”的计算。云计算提供商不能为企业进行这种分析,因为这完全取决于业务流程的业务环境。成本相对高的低级服务级协议应用程序显然是云计算的首选。作为这个风险评估的努力的一部分,好需要考虑潜在的管理法规影响,因为有些数据和服务按照管理部门的规定不允许迁移到站点以外的地方,州以外的地方或者国家以外的地方。
第三步:研究不同的云计算模式和类型
企业需要研究不同的云计算模式(公共的、专有的、混合的)以及不同的云计算类型(SaaS、PaaS和IaaS),因为它们的区别与安全控制和责任有直接的关系。
所有的企业对于在自己的机构环境中的这项云计算方法以及自己的业务风险预测有一个意见和政策。
支持这个问题和云计算的其它安全意义的一个好的信息来源可以在欧洲网络与信息安全局(ENISA)刊物最近发表的“云计算:好处、风险和信息安全建议”这篇文章中找到。法律机构在这里也扮演一个重要的角色。法律责任是这种分析的一个重要部分。
第四个步骤:把你的SOA设计和安全原则应用到云计算
大都数机构许多年以来一直在自己的应用程序开发机构中使用SOA原则。云计算不是SOA的大规模扩展吗?云计算只是面向服务采取了下一个合乎逻辑的步骤。高度分布式的安全实施的SOA安全原则与集中的安全政策管理和决策结合在一起直接应用到云计算。当你把重点从SOA转移到云计算的时候,不需要重新发明任何事情。就把这些原则转移过去就行。
第五个步骤:像云计算提供商一样思考
虽然大多数企业开始把自己作为云计算消费者,但是, 不要忘记你的机构也是这个价值链的一部分:你向你的客户和合作伙伴提供服务。如果你能够实现风险/回报的平衡,让你有利地消费云计算服务,为什么不采用同样的思维方式把自己当作进入你的生态系统中的云计算提供商呢?这将有助于你的机构更好地理解在云计算提供商中正在发生什么事情。
第六个步骤:熟悉你自己并且开始使用Web安全标准
Web安全行业很长时间以来一直研究保护和管理跨域系统。这项工作已经产生了许多有意义的已经在使用(或者应该使用)的保护云计算的安全标准。安全系统必须使用这些标准以便在连接到云计算的领域发挥作用。这些标准包括安全断言标记语言(SAML)、服务配置标记语言(SPML)、可扩展访问控制标记语言(XACML)和Web服务安全(WS-Security)。目前使用SAML鼓励企业统一浏览器进程的积极的话是:你已经扩展了你的云计算安全智商。
企业改善云计算服务安全最重要的要求之一是要保证安全专业人员被看作是云计算的合理的倡导者,而不是反对者和怀疑者。适当平衡的、业务推动的技术可以成为风险/回报对话中的一个积极的力量并且帮助提高适合自己企业的云计算安全的可能性。