虛擬雲計算敲響新安全時代 慎重選擇雲供應商

首席資訊官（CIO）和首席資訊安全官（CISO）們承受著壓力，要重新設計他們的資訊安全性原則以適應新的商業模式：虛擬雲計算環境。 在該環境中，資源被共用且可轉移。

這些技術主管正在設置新策略，並投資新技術以考慮公共和私有雲的彈性、自服務供給和共用資料的基礎設施。 隨著使用者開發了用於防火牆之外（甚至在防火牆內）的協力廠商服務，以實共用環境中的協作，用於身份管理的新的策略和系統正在設計中。 此外，需要確定資料安全和隱私監測的新界限，牢記遷移到一個虛擬雲環境將如何影響合規性。

麻塞諸塞州沃爾瑟姆的Raytheon公司的公共領域並沒有冒險使用雲。 為實現成本節約，這家國防設備製造商正在開發共用的、私有的「雲類型服務」，如果它和它的合作夥伴可以就美國空軍、陸軍和海軍喜歡的新的程式和產品進行測試、構建和協作，那麼該服務可以實現。

Raytheon公司的副CISO兼IT服務總監Michael Daly說：「[在虛擬雲計算環境中的]安全問題和控制更複雜。 不僅僅是管理簡單的變更控制，還需要經歷許多信任和祈禱：‘嘿，防火牆控制隨著[資料或服務]遷移了嗎？ 當生成和刪除這些虛擬機器時，負責加密的[安全]金鑰得到維護了嗎？ ’」

當談到共用環境的安全時，，和許多其它的IT主管一樣，在這一點上Daly的問題比答案多：隨著專案的啟動和關閉，公司如何知道誰需要訪問哪些資訊？ 使用者是否有權訪問它？ 在私有雲上參與開發的各方如何就取消使用者配置達成一致？ 這種情況超越了雲模型。 他說，在業務模式轉向業務共用資源，以在協作環境中開發產品和服務方面，雲說到底是一個副產品或一種手段。

內部和外部身份管理

企業使用者繞過IT部門登錄以訪問虛擬雲計算服務。 因此，問題變成，誰有權撥入和撥出雲服務？

紐約人壽投資管理公司位於麻塞諸塞州的紐約人壽退休計畫服務（RPS）部門的IT團隊已經選擇了阻止訪問協力廠商虛擬雲計算服務，並在從自己的網路轉移資訊的風險方面教育使用者。

紐約人壽RPS的管理董事兼首席資訊官Neal Ramasamy說：「我知道，[對使用者來說]，移動到雲服務非常容易，但隨之帶來了很大的風險。 我和要求者一起坐下來，以瞭解為什麼他們要訪問協力廠商雲。 考慮我們的公司戰略，我的目標是不要有四家不同的[雲供應商]，而是挑選一家。 」

當Raytheon公司的IT部門標記協力廠商的雲服務請求時，Daly和他的團隊解釋為什麼把文檔上傳到Google Apps不是好主意。 他們然後向企業用戶展示其他的安全選項，如公司批准的EMC公司的Documentum系統。

Daly說：「我們要遵守ITAR [武器貿易條例中的國際交通]和其他法規，因此我們可以看到正上傳文檔和、資訊和其他的東西到Google的人的位置，並且我們需要向人們展示正確的做法。 」

Raytheon正轉移到私有雲，為此建立了聯邦身份管理系統。 這意味著，Raytheon公司將驗證它自己的員工，但加入開發專案的公司將負責它們自己的身份驗證。

這聽起來簡單，但事實並非如此。 Daly說：「我們必須在我們之間達成法律協定，並且讓我們的[雲]開發夥伴說：‘好吧，如果我們要檢查身份，你將以同樣的方式檢查身份’，因為並不總是如此。 」

遏制風險是在私有雲背後的想法，但即使在一個私有雲社區，企業也需要處理使用者的隔離、許可權劃分、登錄和取消配置。 Daly說：「你真的需要知道你最終的邊界，以最小化風險。 我們並不需要地球上的每個人都有機會參加我們計畫的雲服務，因此物理安全和更多傳統的IT安全防火牆規則是非常重要的。 」

然而，這些預防措施也並不沒有合規。 Gartner公司的研究副總裁Chris Wolf說：「廠商談跟隨使用者[通過聯邦身份]的跟隨我（follow-me）資料，採用加密技術將資料分散到不同的地方，但CIO們需要思考的是在雲中的跟隨我的規定。 有時敏感性資料不能跨越邊界。 」

位於麻塞諸塞州薩德伯裡的SystemExperts公司的副總裁Richard E. Mackey說，企業開始考慮部署圍繞雲服務的安全性實踐之前，它應該問「外包應用程式用作什麼？ 」和「誰將要使用它？ 」他說：「當有人稱之為雲計算時，許多變數決定你的安全性是完全不同的，這取決於您要部署在哪一種模式上：私有雲、軟體即服務（Software as a Service）、基礎設施即服務（Infrastructure as a Service）還是平臺即服務（Platform as a Service）。

受惠于雲供應商的安全實踐

選擇一家雲供應商類似于與其結婚，因為客戶使用供應商確定的系統和安全政策。

企業如何監控使用者對虛擬雲計算服務的訪問，取決於雲供應商為其提供的介面。 Mackey說：「一個請求回來並擊中你的網路之前，[雲供應商]如何確保使用者是真正的使用者？ 另一種情況是，一些服務允許您使用您的谷歌或Facebook帳戶登錄。 這樣不直接經過[活動目錄]，除非你這樣設計它。 」

紐約人壽RPS的Ramasamy可以考慮為像電子郵件和Web服務這樣的非關鍵服務尋找雲供應商，他說，但他想知道雲供應商是否將為公司搭建一個私有雲，在私有雲中，沒有其他人能夠進入該環境。 如果環境被共用，資源如何被共用，且誰可能靠近連續的資源集？ 供應商通過了什麼安全審計，遵循國際安全委託授權的哪一部分？

Raytheon公司的Daly說，合同談判期間的靈活性意願將成為他的公司選擇雲供應商的一個決定性的因素。 他說：「我不希望必須告訴[營業單位]，他們不能外包的東西，因為如果我們這樣做，我們將失去保護，所以我要確保如果我們需要，我們可以[與供應商一起]改變我們的密碼複雜性，或把我們密碼改到356位。 當你轉向雲安全時，靈活性將是合同管理的一個巨大的元素。 」

還有一點要說明的：如果一個企業要其資料安全託管于別人，它需要有一種方式可以測量該環境安全性能。 Daly說：「如果供應商不讓你這樣做，你可能不希望與他們達成協定。 」

(責任編輯：蒙遺善)