如何獲得對云計算的正確控制

　　人們對于云計算并不總是普遍信任。曾經(jīng)有一段時間，企業(yè)的安全和風(fēng)險管理領(lǐng)導(dǎo)者為其關(guān)鍵數(shù)據(jù)和基礎(chǔ)設(shè)施委托給第三方云計算提供商而感到擔(dān)心。這是可以理解的，源于網(wǎng)絡(luò)管理的歷史，企業(yè)IT團(tuán)隊非常熟悉管理構(gòu)成其IT基礎(chǔ)設(shè)施的資源，從他們的數(shù)據(jù)中心建筑，到電力和冷卻供應(yīng)，再到服務(wù)器，所有這些都構(gòu)成從存儲到網(wǎng)絡(luò)的基礎(chǔ)設(shè)施。

　　但是，當(dāng)企業(yè)將數(shù)據(jù)和責(zé)任委托給云計算提供商時，不可能再達(dá)到這種熟悉程度，這可能會阻止組織獲得最佳的云計算效率和安全性。顯然，人們需要改變思維方式。

　　調(diào)研機(jī)構(gòu)Gartner公司做出了這樣的比喻：與自己駕駛汽車相比，企業(yè)將業(yè)務(wù)移動到云端有些像乘坐飛機(jī)，而在旅程中，飛機(jī)由機(jī)組人員進(jìn)行控制，這可能會引起人們的焦慮。然而，這種焦慮是不合理的，因為就像開車之前會檢查汽車上的油表和輪胎一樣，在每次飛行前都會嚴(yán)格檢查飛機(jī)的狀況?？偠灾@意味著將業(yè)務(wù)遷移到云端，企業(yè)需要對如何控制數(shù)據(jù)具有新的展望，并更好地了解云計算服務(wù)提供商為確保安全性所做的工作，以便放棄其底層平臺的所有權(quán)。

　　在當(dāng)今的背景下，客戶仍然擁有他們的數(shù)據(jù)，但可以與云計算提供商分享管理權(quán)?！翱刂啤钡母拍钜褟幕谖锢砦恢玫乃袡?quán)轉(zhuǎn)變?yōu)閷α鞒痰目刂?。因此，企業(yè)信息安全和風(fēng)險管理領(lǐng)導(dǎo)者需要采用間接控制的新方法來提高效率和安全性，最重要的是讓人高枕無憂?？紤]到這一點，人們將會嘗試定義如何對云計算進(jìn)行正確的控制。

　　設(shè)計正確的身份和訪問管理策略

　　安全團(tuán)隊和開發(fā)人員可以發(fā)現(xiàn)難以掌握基于云計算的控制概念。但實際上，企業(yè)放棄其廣域網(wǎng)中光纖和銅纜的所有權(quán)也面臨類似的情況：電信運(yùn)營商擁有物理基礎(chǔ)設(shè)施，但數(shù)據(jù)仍由客戶擁有和控制。這一切都與描述安全責(zé)任有關(guān)。一旦定義了切換點，企業(yè)就會知道除此之外，其云計算服務(wù)商(CSP)需要負(fù)責(zé)數(shù)據(jù)安全。

　　企業(yè)的責(zé)任在于設(shè)計身份訪問管理策略，該策略不僅涵蓋云平臺，還涵蓋云平臺向外界呈現(xiàn)的應(yīng)用程序和服務(wù)。訪問權(quán)應(yīng)基于以“最低權(quán)限”為基礎(chǔ)授予用戶權(quán)限，而不是給予所有人更多的權(quán)限。這可以提高審計功能，并降低未經(jīng)授權(quán)更改平臺的風(fēng)險。

　　最重要的是，企業(yè)應(yīng)該與云計算提供商合作，以確保加密更高程度的邏輯隔離。靜態(tài)和傳輸中的數(shù)據(jù)加密通常被視為在公共云平臺上保護(hù)和隔離數(shù)據(jù)的另一種方式。雖然攻擊者不可能闖入公共云數(shù)據(jù)中心，竊取包含數(shù)據(jù)的物理磁盤驅(qū)動器，但強(qiáng)烈建議考慮使用靜態(tài)數(shù)據(jù)加密。

　　加強(qiáng)監(jiān)督并重新調(diào)整審計目標(biāo)

　　隨著監(jiān)管環(huán)境越來越復(fù)雜，越來越多地要求使用云計算的組織展示其強(qiáng)大的治理。企業(yè)已將某些控制權(quán)委托給其云計算服務(wù)商這一事實，意味著企業(yè)必須證明治理程序已經(jīng)到位，并且正在遵循。

　　為此，企業(yè)應(yīng)該尋求與提供安全性和合規(guī)性的監(jiān)控和報告的云計算服務(wù)提供商合作。并且，具有必要的方法和合規(guī)性證明，可確保企業(yè)的云計算工作負(fù)載能夠滿足審核時間的必要要求。

　　比較企業(yè)的安全要求，并根據(jù)SLA衡量云計算服務(wù)提供商

　　另一個需要密切關(guān)注的是合同條款，它約束了云計算服務(wù)提供商在保護(hù)客戶數(shù)據(jù)和隱私方面的作用。與超大規(guī)模云計算提供商簽訂的合同往往絕大多數(shù)都會保護(hù)這些云計算服務(wù)提供商，但是可以與一些云計算服務(wù)提供商合作，就更有利于客戶的條款達(dá)成協(xié)議。

　　最終的影響和建議是圍繞云計算服務(wù)提供商合同和服務(wù)等級協(xié)議(SLA)。許多云計算服務(wù)提供商，特別是超大規(guī)模的提供商，在其服務(wù)等級協(xié)議(SLA)上可能非常嚴(yán)格，并且在被要求更改它們時可能非常不靈活。了解企業(yè)的云計算服務(wù)提供商在合規(guī)性不同方面的立場非常重要。云計算服務(wù)提供商能夠分享他們的認(rèn)證和證明嗎?他們對可用性等主題的服務(wù)等級協(xié)議(SLA)有多少靈活性?如果根據(jù)服務(wù)等級協(xié)議(SLA)提供服務(wù)，他們是否會為此支付費用?在開始使用云計算服務(wù)提供商的服務(wù)之前，這些都是企業(yè)需要獲得答案的問題。在此提出的另一條建議是將外部托管數(shù)據(jù)的安全要求與風(fēng)險偏好背景下的云計算服務(wù)提供商功能進(jìn)行比較。

　　總而言之，隨著安全風(fēng)險和合規(guī)性法規(guī)的不斷增加，以及云計算服務(wù)的采用，理解云計算安全方面的共同責(zé)任非常重要。

　　在云中放棄和維護(hù)控制之間取得適當(dāng)?shù)钠胶?，將使企業(yè)能夠安全地利用云計算服務(wù)的諸多優(yōu)勢?？刂圃破脚_并不意味著企業(yè)應(yīng)該管理它的各個方面，但要確保知道負(fù)責(zé)什么，而不是獲得全面的控制。