開(kāi)發(fā)者喜歡云計(jì)算，因?yàn)樗渴鸷蠛芸炷芡度脒\(yùn)行；企業(yè)喜歡云計(jì)算，因?yàn)榛A(chǔ)設(shè)施的費(fèi)用會(huì)降低；用戶也喜歡云計(jì)算，因?yàn)樗麄兡芨斓孬@得新功能。然而幾家歡喜幾家愁，負(fù)責(zé)企業(yè)信息安全的IT專(zhuān)業(yè)人士正絞盡腦汁，尋找將應(yīng)用程序和數(shù)據(jù)安全轉(zhuǎn)移到云服務(wù)中的方法。

長(zhǎng)久以來(lái)，IT組織的重點(diǎn)目標(biāo)之一便是強(qiáng)化身份管理技術(shù)及相關(guān)流程，而云計(jì)算所帶來(lái)的安全風(fēng)險(xiǎn)無(wú)疑使這個(gè)目標(biāo)不進(jìn)反退。

公司可以將目錄服務(wù)驗(yàn)證擴(kuò)展到企業(yè)環(huán)境外，以處理云服務(wù)中的應(yīng)用程序或系統(tǒng)，可是如果第三方系統(tǒng)受到攻擊，驗(yàn)證系統(tǒng)也可能會(huì)連帶地受到攻擊。企業(yè)也可采用新的解決方案：在云服務(wù)和現(xiàn)有基礎(chǔ)設(shè)施之間設(shè)置隔離帶，這種方法的缺點(diǎn)是企業(yè)將不得不整合多種身份管理和訪問(wèn)管理系統(tǒng)，因此這種繁瑣的替代方案不具吸引力。

幸運(yùn)的是，某些云供應(yīng)商開(kāi)始著手解決這個(gè)問(wèn)題。谷歌提供的新功能可以將谷歌應(yīng)用程序整合進(jìn)現(xiàn)有的單點(diǎn)登錄工具，既提高了安全性又簡(jiǎn)化了管理流程。我們采訪的一家企業(yè)部署了先進(jìn)的驗(yàn)證服務(wù)器，從而云系統(tǒng)就可通過(guò)輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)進(jìn)行驗(yàn)證。另一家企業(yè)將其基于網(wǎng)絡(luò)的驗(yàn)證協(xié)議進(jìn)行擴(kuò)展，使之能與外部來(lái)源協(xié)同工作，并通過(guò)網(wǎng)絡(luò)服務(wù)，使用內(nèi)部托管系統(tǒng)對(duì)云服務(wù)進(jìn)行驗(yàn)證。

數(shù)據(jù)遷移應(yīng)注意數(shù)據(jù)的丟失與備份

數(shù)據(jù)存放在何處？哪些人有權(quán)訪問(wèn)？數(shù)據(jù)安全嗎？這些都是大問(wèn)題，因?yàn)槌塑浖捶?wù)(software as a service，SaaS)供應(yīng)商之外，云服務(wù)供應(yīng)商很少具備長(zhǎng)期處理敏感數(shù)據(jù)的經(jīng)驗(yàn)。一般說(shuō)來(lái)，數(shù)據(jù)在云服務(wù)中是共享存儲(chǔ)的，因此具有潛在危險(xiǎn)。其實(shí)，我們就是把數(shù)據(jù)存放在公司內(nèi)部也是有風(fēng)險(xiǎn)的，更別提云服務(wù)了。我們經(jīng)常對(duì)企業(yè)內(nèi)數(shù)據(jù)訪問(wèn)的風(fēng)險(xiǎn)/利益進(jìn)行評(píng)估，這種方法同樣也可套用到云服務(wù)上，判斷可將那些數(shù)據(jù)轉(zhuǎn)移到云服務(wù)中，以及如何保護(hù)數(shù)據(jù)。這就需要我們了解并核實(shí)供應(yīng)商的標(biāo)準(zhǔn)，搞清楚是否可以對(duì)它們進(jìn)行修改。

在使用云服務(wù)(如亞馬遜公司的彈性計(jì)算云)時(shí)，企業(yè)可對(duì)虛擬實(shí)例中運(yùn)行的操作系統(tǒng)、應(yīng)用程序或數(shù)據(jù)庫(kù)管理系統(tǒng)進(jìn)行數(shù)據(jù)加密。在使用其他服務(wù)(如應(yīng)用程序托管)時(shí)，IT組織需要在開(kāi)發(fā)程序時(shí)多留個(gè)心眼，確保在程序中內(nèi)置安全措施(比如說(shuō)數(shù)據(jù)加密)。

不論數(shù)據(jù)存放在何處，企業(yè)都應(yīng)該慎重考慮數(shù)據(jù)丟失風(fēng)險(xiǎn)。亞馬遜公司明白電腦會(huì)時(shí)不時(shí)發(fā)生故障，所以它建議客戶通過(guò)冗余和備份計(jì)劃應(yīng)對(duì)電腦故障。有些云供應(yīng)商提供備份服務(wù)或數(shù)據(jù)導(dǎo)出功能，這樣企業(yè)就可以自行創(chuàng)建數(shù)據(jù)備份；另一些供應(yīng)商則要求客戶使用企業(yè)自行開(kāi)發(fā)或第三方開(kāi)發(fā)的備份程序。

數(shù)據(jù)遷移請(qǐng)注意以下關(guān)鍵問(wèn)題

如何進(jìn)行備份？有些云供應(yīng)商會(huì)進(jìn)行數(shù)據(jù)備份，但多數(shù)情況下你得自己進(jìn)行備份。很多亞馬遜EC2的客戶利用該公司的簡(jiǎn)單存儲(chǔ)服務(wù)(Simple Storage Service)或彈性塊存儲(chǔ)服務(wù)(Elastic Block Storage)來(lái)存放備份文件。

可以對(duì)備份進(jìn)行測(cè)試嗎？如果云服務(wù)發(fā)生故障無(wú)法使用時(shí)，企業(yè)能訪問(wèn)備份文件嗎？

備份文件放在何處？它既可以存放在供應(yīng)商托管的云存儲(chǔ)系統(tǒng)中，也可以轉(zhuǎn)移到企業(yè)自己的基礎(chǔ)設(shè)施里。無(wú)論如何，你得確保備份數(shù)據(jù)在儲(chǔ)存和轉(zhuǎn)移時(shí)受到嚴(yán)密保護(hù)。

數(shù)據(jù)遷移后的管理和監(jiān)控

企業(yè)的信息安全團(tuán)隊(duì)花費(fèi)大量時(shí)間監(jiān)控漏洞郵件列表，給系統(tǒng)打補(bǔ)丁，有時(shí)還要重寫(xiě)代碼修補(bǔ)漏洞。在使用云服務(wù)時(shí)，他們相信云供應(yīng)商也會(huì)盡力盡責(zé)地這么做。很少有廠商會(huì)向客戶提供驗(yàn)證其安全措施的方法。在使用云系統(tǒng)(比如Joyent或亞馬遜公司的EC2)時(shí)，企業(yè)可在操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序?qū)由蠎?yīng)用安全措施，但歸根結(jié)底他們還是得依靠供應(yīng)商來(lái)保證網(wǎng)絡(luò)、存儲(chǔ)和虛擬基礎(chǔ)設(shè)施的安全。

雖然云服務(wù)的客戶不能親自給系統(tǒng)打補(bǔ)丁或者監(jiān)控漏洞，但它們?nèi)匀灰M力自行管理風(fēng)險(xiǎn)。企業(yè)必須評(píng)估哪些資產(chǎn)需要得到保護(hù)，并摸索出保護(hù)這些資產(chǎn)的方法，比如說(shuō)，在云基礎(chǔ)設(shè)施周?chē)O(shè)置分層安全防護(hù)措施。即便如此，支付卡行業(yè)(Payment Card Industry，PCI)數(shù)據(jù)安全標(biāo)準(zhǔn)之類(lèi)的法規(guī)仍然可能出乎人們的意料之外：PCI委員會(huì)并未說(shuō)明應(yīng)該將云供應(yīng)商劃入哪個(gè)類(lèi)別，因此不同的審計(jì)員可能會(huì)對(duì)同一個(gè)問(wèn)題有著截然不同的處理方法。

客戶必須要求云服務(wù)供應(yīng)商提供監(jiān)控功能，這樣他們才能夠監(jiān)控訪問(wèn)數(shù)據(jù)的人員。如果企業(yè)需要詳細(xì)的審計(jì)跟蹤信息，它們得對(duì)數(shù)據(jù)進(jìn)行加密，或者只將那些不接觸敏感數(shù)據(jù)的應(yīng)用程序設(shè)置在云服務(wù)中。

該領(lǐng)域可能很快就會(huì)出現(xiàn)巨大進(jìn)展。2008年年底，谷歌宣布其應(yīng)用程序通過(guò)了SAS 70 Type II的安全流程審查。我們希望能看到更多的供應(yīng)商將安全標(biāo)準(zhǔn)作為賣(mài)點(diǎn)，因?yàn)檎怯捎诎踩珕?wèn)題，企業(yè)才對(duì)是否將應(yīng)用程序轉(zhuǎn)移到云服務(wù)中感到猶豫不決。

但是，企業(yè)內(nèi)部信息安全團(tuán)隊(duì)不應(yīng)該坐等供應(yīng)商提高安全性。從桌面應(yīng)用程序到服務(wù)器托管，云計(jì)算幾乎在每個(gè)領(lǐng)域都越來(lái)越有吸引力。那些需要更高安全級(jí)別的應(yīng)用程序(如與健康保險(xiǎn)流通與責(zé)任法案(HIPAA)或PCI相關(guān)的應(yīng)用程序)可能很難在云服務(wù)中進(jìn)行驗(yàn)證，因此這些程序最好還是放在企業(yè)內(nèi)部服務(wù)器上。社區(qū)應(yīng)用程序和內(nèi)容網(wǎng)站更適用于云服務(wù)。什么樣的程序可以安心地將放在云服務(wù)中，這一點(diǎn)企業(yè)的IT部門(mén)必須心里有數(shù)。不過(guò)，云最終將成為基礎(chǔ)設(shè)施的一部分，所以IT部門(mén)必須找到安全連接企業(yè)系統(tǒng)和云基礎(chǔ)設(shè)施的方法。

【編輯推薦】

1. 云存儲(chǔ)可能讓您的數(shù)據(jù)“赤裸示人”
2. 51CTO存儲(chǔ)專(zhuān)家:數(shù)據(jù)遷移技術(shù)及應(yīng)用
3. 云計(jì)算使存儲(chǔ)容量達(dá)到頂峰