雲計算下如何維護資料安全

開發者喜歡雲計算，因為它部署後很快能投入運行；企業喜歡雲計算，因為基礎設施的費用會降低;使用者也喜歡雲計算，因為他們能更快地獲得新功能。 然而幾家歡喜幾家愁，負責公司資訊安全的IT專業人士正絞盡腦汁，尋找將應用程式和資料安全轉移到雲服務中的方法。　　長久以來，IT組織的重點目標之一便是強化身份管理技術及相關流程，而雲計算所帶來的安全風險無疑使這個目標不進反退。　　公司可以將目錄服務驗證擴展到企業環境外，以處理雲服務中的應用程式或系統，可是如果協力廠商系統受到攻擊，驗證系統也可能會連帶地受到攻擊。 企業也可採用新的解決方案：在雲服務和現有基礎設施之間設置隔離帶，這種方法的缺點是企業將不得不整合多種身份管理和訪問管理系統，因此這種繁瑣的替代方案不具吸引力。　　幸運的是，某些雲供應商開始著手解決這個問題。 谷歌提供的新功能可以將谷歌應用程式整合進現有的單點登錄工具，既提高了安全性又簡化了管理流程。 我們採訪的一家企業部署了先進的驗證服務器，從而雲系統就可通過羽量級目錄訪問協定(LDAP)進行驗證。 另一家企業將其基於網路的驗證協定進行擴展，使之能與外部來源協同工作，並通過網路服務，使用內部託管系統對雲服務進行驗證。　　資料丟失與備份　　資料存放在何處?哪些人有權訪問?資料安全嗎?這些都是大問題，因為除了軟體即服務(software as a service，SaaS)供應商之外，雲服務供應商很少具備長期處理敏感性資料的經驗。 一般說來，資料在雲服務中是共用存儲的，因此具有潛在危險。 其實，我們就是把資料存放在公司內部也是有風險的，更別提雲服務了。 我們經常對企業內資料訪問的風險/利益進行評估，這種方法同樣也可套用到雲服務上，判斷可將那些資料轉移到雲服務中，以及如何保護資料。 這就需要我們瞭解並核實供應商的標準，搞清楚是否可以對它們進行修改。　　在使用雲服務(如亞馬遜公司的彈性計算雲)時，企業可對虛擬實例中運行的作業系統、應用程式或資料庫管理系統進行資料加密。 在使用其他服務(如應用程式託管)時，IT組織需要在開發程式時多留個心眼，確保在程式中內置安全措施(比如說資料加密)。　　不論資料存放在何處，企業都應該慎重考慮資料丟失風險。 亞馬遜公司明白電腦會時不時發生故障，所以它建議客戶通過冗余和備份計畫應對電腦故障。 有些雲供應商提供備份服務或資料匯出功能，這樣企業就可以自行創建資料備份;另一些供應商則要求客戶使用企業自行開發或協力廠商開發的備份程式。　　注意以下關鍵問題：　　如何進行備份?有些雲供應商會進行資料備份，但多數情況下你得自己進行備份。 很多亞馬遜EC2的客戶利用該公司的簡單存儲服務(Simple Storage Service)或彈性塊存儲服務(Elastic Block Storage)來存放備份檔案。　　可以對備份進行測試嗎?如果雲服務發生故障無法使用時，企業能訪問備份檔案嗎?　　備份檔案放在何處?它既可以存放在供應商託管的雲存儲系統中，也可以轉移到企業自己的基礎設施裡。 無論如何，你得確保備份資料在儲存和轉移時受到嚴密保護。　　管理和監控　　企業的資訊安全團隊花費大量時間監控漏洞郵寄清單，給系統打補丁，有時還要重寫代碼修補漏洞。 在使用雲服務時，他們相信雲供應商也會盡力盡責地這麼做。 很少有廠商會向客戶提供驗證其安全措施的方法。 在使用雲系統(比如Joyent或亞馬遜公司的EC2)時，企業可在作業系統、資料庫和應用程式層上應用安全措施，但歸根結底他們還是得依靠供應商來保證網路、存儲和虛擬基礎設施的安全。　　雖然雲服務的客戶不能親自給系統打補丁或者監控漏洞，但它們仍然要盡力自行管理風險。 企業必須評估哪些資產需要得到保護，並摸索出保護這些資產的方法，比如說，在雲基礎設施周圍設置分層安全防護措施。 即便如此，支付卡行業(Payment Card Industry，PCI)資料安全標準之類的法規仍然可能出乎人們的意料之外：PCI委員會並未說明應該將雲供應商劃入哪個類別， 因此不同的審計員可能會對同一個問題有著截然不同的處理方法。　　客戶必須要求雲服務供應商提供監控功能，這樣他們才能夠監控訪問資料的人員。 如果企業需要詳細的審計跟蹤資訊，它們得對資料進行加密，或者只將那些不接觸敏感性資料的應用程式設定在雲服務中。　　該領域可能很快就會出現巨大進展。 2008年年底，谷歌宣佈其應用程式通過了SAS 70 Type II的安全流程審查。 我們希望能看到更多的供應商將安全標準作為賣點，因為正是由於安全問題，企業才對是否將應用程式轉移到雲服務中感到猶豫不決。　　但是，企業內部資訊安全團隊不應該坐等供應商提高安全性。 從桌面應用程式到伺服器託管，雲計算幾乎在每個領域都越來越有吸引力。 那些需要更高安全級別的應用程式(如與健康保險流通與責任法案(HIPAA)或PCI相關的應用程式)可能很難在雲服務中進行驗證，因此這些程式最好還是放在企業內部伺服器上。 社區應用程式和內容網站更適用于雲服務。 什麼樣的程式可以安心地將放在雲服務中，這一點企業的IT部門必須心裡有數。 不過，雲最終將成為基礎設施的一部分，所以IT部門必須找到安全連線企業系統和雲基礎設施的方法。