分析：選擇“雲計算”必須弄清10個問題

　　圍繞雲計算的喧囂可能會讓你以為，明天就會發生大規模采納雲計算的事情。然而，來自多方面的研究已經表明，安全是阻礙大規模采納雲計算的最大障礙。現實的情況是，雲計算不過是沿著主機、客戶機/服務器和Web應用等技術演變路徑自然而然的又一階段而已，所以它也和其他所有階段一樣，都有它自己的安全問題。

　　當然，對安全的擔憂並不能阻止對這些技術的使用，也不能阻止對於能夠解決實際業務需求的雲應用的采納。為了確保雲是安全的，需要將其作為技術的下一步進化來對待，而不是將其視為一次需要徹底改變安全模式的革命。安全的策略和程序需要針對雲模式進行調整，以便對雲服務的采用做好准備。和其他的技術一樣，我們看 到一些早期用戶通過帶頭部署私有雲或者在公用雲中試驗一些非關鍵性的應用而逐步打消了人們對於雲模式的不信任。

　　企業和組織會詢問很多問題，並權衡使用雲計算解決方案的利與弊。安全性、可用性和可管理性都是需要考慮的因素。本文所說的是組織應該考慮的10個和安全相關的問題，回答這些問題有助於企業和組織能夠對是否需要部署雲作出決定，而且，如果需要部署的話，究竟應該采用哪種雲模式——私有雲、公用雲還是混合雲？

　　1.雲部署會如何改變企業的風險管理？

　　部署雲計算——無論是私有雲還是公用雲——都意味著你不再能夠完全控制環境、數據或者人員。控制上的變化會帶來風險管理上的變化——在某些情況下風險會增加，而在另一些情況下風險可能會降低。某些雲應用對你來說會完全透明，而且能提供高級報表功能，並且能夠與企業現有的系統進行集成。此類應用會降低企業的風險。而另外一些雲應用或許無法改進其安全配置，無法與企業現有的安全措施相匹配，因此有可能使安全風險變大。總而言之，企業的數據及其敏感級別將會最終決定應采取哪類雲模式才是合理的。

　　2.需要做些什麼才能確保現有的安全策略能夠接納雲模式？

　　向雲模式的遷移是改進企業整體安全狀況和安全策略的一個機會。雲應用的早期用戶將會發揮影響作用，幫助推動由雲提供商實施的安全模式。企業不必為了雲而去創 建新的安全策略，而是應該擴展現有的安全策略去容納新增加的雲平台。為了部署雲而去修改安全策略，需要考慮的其實是一些和以前一樣的因素：數據存放在哪兒，如何保護數據，誰能夠訪問數據，遵從哪些監管條例，以及服務等級協議等等。

　　3.雲部署會損害企業的法規遵從能力嗎？

　　雲部署會改變企業的風險狀況，因而可能會影響到企業適應各種法規遵從的能力。這就要求在合規性需要與雲部署相關聯時，需要重新評估合規性需要。有些雲應用有很強的報表功能，可加以剪裁以適應特殊的合規性需要，而有些應用比較通用，不太可能或者不能適應詳細的合規性需要。舉例說，如果某個國家的法規規定，企業的數據不得存放在國境之外，然而有些雲提供商由於其數據中心的位置有可能無法滿足這一法規的規定。

　　4. 雲提供商是否在使用某種安全標准(SAML、WS-Trust、ISO或其他)？

　　在雲計算中，標准發揮著非常重要的作用，因為各種雲服務之間的互操作性對於確保雲不會陷入專利的安全孤島來說是至關重要的。有不少的組織已經創建並擴展了支持雲的各種標准倡議。Cloud-standards.Org列出了和雲計算有關的大多數標准組織，其中也有和雲安全標准相關的組織。

　　5. 如果發生數據洩漏該如何處理？

　　當企業在規劃雲安全時，必須要正確地制定好防止數據洩漏和數據損失的規劃。這一點在企業與雲服務提供商簽署整體協議時是至關重要的一點。雲提供商和企業雙方都應該制定數據洩漏告知政策或者必須遵從的監管規則。企業必須敦促雲提供商在一旦有需要時能夠支持企業的告知需要。

　　6. 在保障企業數據的安全時，誰是責任方？或者誰應被視為責任主體？

　　在實際情況中，安全責任將是雙方共擔的。然而在公眾輿論的法庭看來(至少今天是如此)，是企業而不是雲提供商負責收集數據，因此只有企業應被視為信息安全的最終責任人。如果企業與雲提供商之間的協議簽的滴水不漏，或許企業可以少負些責任，和雲提供商責任共擔，但是從企業客戶的角度來看，企業仍然會被認為是最終責任人。

　　7. 如何保證只有適當的數據存入雲中？

　　企業必須清楚哪些數據時敏感數據，依據數據和應用的關鍵與否來構建適當的安全模式，這對於了解哪些數據可以存入雲中是非常重要的。這個過程應在考慮雲部署之前很久就開始著手，因為這是良好的安全行為的關鍵部分。很多企業使用數據洩漏防范技術來分類和標記數據。

　　8. 如何保證只有經過授權的員工、合作伙伴和客戶才能訪問數據與應用？

　　身份管理和訪問管理是早已存在的安全挑戰，這種挑戰在雲部署中會被放大一些技術性功能，如聯邦制、安全虛擬化系統和預配置等都在雲安全中發揮著作用，就像它們在今天的IT平台上發揮的作用一樣。擴展並補充企業的現有環境去支持雲部署，將有助於解決這一問題。

　　9. 如何托管企業的數據與應用，怎樣的安全技術才是適當的？

　　雲提供商應當提供這方面的信息，因為它會直接影響到一個組織遵從法規的能力。透明是重要和必須的，因為這可以讓企業基於對情況的了解而做出決策。

　　10. 企業可通過哪些因素去了解和信任雲提供商？

　　在評估一家雲提供商的信任等級時，有很多的因素可以考慮。這其中有很多因素和企業在考慮外包合同時所考慮的因素是相通的，比如：提供商及其服務是否成熟，合同的類別，SLA、漏洞程序和安全策略，提供商的業績記錄;是否具有前瞻性的戰略等等。

　　向一種新的計算平台的遷移絕非一件不加慎重考慮便能做決定的事情。對這些問題的答案是復雜的，通常還會引出更多的問題。本文也只是觸及了再考慮雲平台時的一些有關安全的淺層次問題而已。

　　另外，企業還應當了解到，他們有能力去推動雲中所用的安全技術的發展。應當明了，雲的消費者可以、應該，並且會期待著他們負起安全責任來，從而使雲成為一個真正能夠節約成本，提高生產率的安全的平台。