支招：改善企業雲計算安全的六個步驟

企業--雲計算消費者--必須努力改善雲計算的安全。 大多數圍繞雲計算安全的討論都把重點放在雲計算供應商應該做什麼。 資料和應用程式服務在供應商那裡。 但是，企業需要記住他們承擔很大的、在某種情況下要承擔最大的雲計算安全的責任。 企業必須永遠不要忘記如果發生安全突破他們將面臨大多數的指責。 企業畢竟是收集資料的實體。

雲計算安全最好被看作是雲計算供應商和企業之間共同的責任。 兩者之間的界限現在有一點模糊。 這個界限直接取決於應用的雲計算模式的類型，其範圍包括軟體即服務(SaaS)、平臺即服務(PaaS)和基礎設施即服務(IaaS)。

在這個範圍的一端，SaaS接近于一個安全黑箱，應用程式安全活動對於企業來說基本上是看不見的。 在這個範圍的另一端是IaaS，企業在這裡主要負責應用程式、資料和其它水準的基礎設施棧的安全。

企業應該做什麼來改善在一種雲計算模式中的安全並且準備收穫這種雲計算的大多數好處呢？ 下面是要採取的六個步驟：

第一個步驟：瞭解你現有的內部的專有雲計算以及你圍繞這些簡歷的安全系統和流程

是的。 你已經擁有內部雲計算。 在過去的10年裡，中型和大型企業已經建立了內部雲計算，儘管他們沒有把這些叫做雲計算。 這些內部雲計算經常被稱作共用的服務，如身份識別服務、佈建服務、資料庫服務或者企業資料中心(在相當標準化的硬體和作業系統上託管的)。

第二個步驟：評估你的許多由IT實現的業務流程的風險和重要性

雖然遷移到雲計算實現的節省成本的潛在回報是比較容易計算的，但是，沒有第一手瞭解這個等式的風險方面，人們不可能進行「風險與回報」的計算。 雲計算供應商不能為企業進行這種分析，因為這完全取決於業務流程的業務環境。 成本相對高的低級服務級協定應用程式顯然是雲計算的首選。 作為這個風險評估的努力的一部分，好需要考慮潛在的管理法規影響，因為有些資料和服務按照管理部門的規定不允許遷移到網站以外的地方，州以外的地方或者國家以外的地方。

第三步：研究不同的雲計算模式和類型

企業需要研究不同的雲計算模式(公共的、專有的、混合的)以及不同的雲計算類型(SaaS、PaaS和IaaS)，因為它們的區別與安全控制和責任有直接的關係。

所有的企業對於在自己的機構環境中的這項雲計算方法以及自己的業務風險預測有一個意見和政策。

支援這個問題和雲計算的其它安全意義的一個好的資訊來源可以在歐洲網路與資訊安全域(ENISA)刊物最近發表的「雲計算：好處、風險和資訊安全建議」這篇文章中找到。 法律機構在這裡也扮演一個重要的角色。 法律責任是這種分析的一個重要部分。

第四個步驟：把你的SOA設計和安全原則應用到雲計算

大都數機構許多年以來一直在自己的應用程式開發機構中使用SOA原則。 雲計算不是SOA的大規模擴展嗎？ 雲計算只是面向服務採取了下一個合乎邏輯的步驟。 高度分散式的安全實施的SOA安全原則與集中的安全政策管理和決策結合在一起直接應用到雲計算。 當你把重點從SOA轉移到雲計算的時候，不需要重新發明任何事情。 就把這些原則轉移過去就行。

第五個步驟：像雲計算供應商一樣思考

雖然大多數企業開始把自己作為雲計算消費者，但是， 不要忘記你的機構也是這個價值鏈的一部分：你向你的客戶和合作夥伴提供服務。 如果你能夠實現風險/回報的平衡，讓你有利地消費雲計算服務，為什麼不採用同樣的思維方式把自己當作進入你的生態系統中的雲計算供應商呢？ 這將有助於你的機構更好地理解在雲計算供應商中正在發生什麼事情。

第六個步驟：熟悉你自己並且開始使用Web安全標準

Web安全行業很長時間以來一直研究保護和管理跨域系統。 這項工作已經產生了許多有意義的已經在使用(或者應該使用)的保護雲計算的安全標準。 安全系統必須使用這些標準以便在連接到雲計算的領域發揮作用。 這些標準包括安全斷言標記語言(SAML)、服務配置標記語言(SPML)、可擴展存取控制標記語言(XACML)和Web服務安全(WS-Security)。 目前使用SAML鼓勵企業統一瀏覽器進程的積極的話是：你已經擴展了你的雲計算安全智商。

企業改善雲計算服務安全最重要的要求之一是要保證安全專業人員被看作是雲計算的合理的宣導者，而不是反對者和懷疑者。 適當平衡的、業務推動的技術可以成為風險/回報對話中的一個積極的力量並且説明提高適合自己企業的雲計算安全的可能性。