雲安全治理應為行業所重視

IT洩密事件引起了公眾對雲安全的擔憂。 為了限制潛在的問題，企業必須考慮治理方面的要求、工具、供應商及更多因素。

應用程式和資料的安全性對任何企業來說都極為重要，但責任卻不是平均分配的。 因而，IT部門需要制定一項雲安全戰略，明確企業的其餘部門或人員需要遵守的合規政策或原則。

公有雲消除了傳統資料中心的一部分基礎架構和管理開銷，但滿足雲治理需求的重擔仍然責無旁貸地落在IT部門的肩上。 在不斷變化的雲計算領域，建立一套類似日常流程，而非產品的管理模式很重要。

根據貴企業的資料位置、隱私性和治理要求來選擇雲供應商，另外根據制定覆蓋整個企業的雲治理戰略的最佳實踐來選擇雲供應商，這對任何IT部門來說是重要的考量因素。

雲安全方面的挑戰

說到雲安全，大多數企業並不是非常清楚什麼是事實、什麼是虛構。 據Alert Logic公司的《2012年雲安全狀況報告》聲稱，威脅活動的多樣性並不如基礎設施的所在位置來得重要。 攻擊在本質上具有隨機性，所以可以從外面訪問的 任何系統(無論是企業系統還是雲系統)都有同樣的機會遭到攻擊。

該報告發現，基於Web應用程式的攻擊經常襲擊服務提供者的環境和內部環境，分別有53%的企業和44%的企業遭到此類攻擊。 不過，內部環境受到的 攻擊次數多於服務提供者環境，分別平均是61.4次攻擊和27.8次攻擊。 相比服務提供者環境的使用者，內部環境使用者也要受到明顯更多的蠻力攻擊。

2012年的這份報告在今天仍然有警示作用，近期索尼、家得寶和塔吉特等公司的資料洩密事件與雲無關。 大多數攻擊發生在傳統系統上，歸咎于老化的安全系統和暴露的安全性漏洞。

雲計算繼續變得越來越普及，實現的系統變得更複雜、更異構時，擁有行之有效的雲安全戰略和技術具有的重要性大幅提升。

身份和訪問管理(IAM)又稱為身份管理，它不是什麼新技術，但雲計算的興起讓它登上了舞臺的中央。 亞馬遜網路服務(AWS)等許多雲供應商在預設情況下徑直將IAM作為一項服務來提供。 其他供應商要求客戶選擇和部署協力廠商IAM系統。

IAM 的概念很簡單：提供一種安全方案和技術，讓合適的人員可以以合適的理由，在合適的時間訪問合適的資源。 這個概念遵循這個準則：任何系統和任何人都有身份， 包括人員、伺服器、設備、API(應用程式設計介面)、應用程式和資料。 一旦身份進行了驗證，接下來只要定義哪些身份可以訪問其他身份，並制定界定這些關係限 制的政策。

一個例子就是，定義並存儲一組基於雲的API的身份，這些API只被一批運行某個應用程式的智慧手機所使用。 這些API各自都有身份，智慧手機、應用程式和使用手機的人也都有身份。 每當與另一種資源進行交互時，IAM服務就會驗證每個實體的身份。

IAM 的一個典例就是AWS版本，這是一種完全成熟的身份管理和安全系統，它讓使用者可以控制對AWS雲服務的訪問。 這個IAM讓你可以通過許可權的方式，創建並管 理AWS使用者和使用者組，許可權允許或禁止對資料進行訪問。 亞馬遜的IAM其好處在於，它能夠管理誰能訪問什麼資料、在什麼情況下訪問。

行業的其他廠商

當然，不是每個人都運行AWS。 幸好，許多新的IAM廠商致力於雲，通常承諾同時提供身份管理和單點登錄服務。 這些廠商包括Bitium、Centrify、Okta、OneLogin、Ping Identity和Symplified。

每家廠商對待雲安全和IAM的方法各有不同，所以要結合你的具體要求來測評每個產品。 選擇合適的雲安全方案時，一定要考慮到下列因素：

基於雲的身份管理服務或其他安全服務與企業安全系統的整合。 安全對雲系統和非雲系統來說都應該是系統性的。 應考慮同時滿足這兩套需求的產品。
基於身份的安全服務的設計和架構。 有時候，安全服務可能來自你的雲供應商。 而在另外許多情況下，你不得不選擇並部署協力廠商安全工具。
測試(包括「白帽」安全測試)很重要。 測試結果在安全系統的實際有效性方面頗有說服力。
對於性能的影響。 在一些情況下，安全會讓你的系統拖慢到影響生產力的程度。
行業和需要遵守的所有必需的法規。