打造云計算的最佳環(huán)境

　　云計算是一個新興的IT部署和交付模式，用來通過網(wǎng)絡(luò)實時提供產(chǎn)品、服務(wù)和解決方案。人們?nèi)粘Ｋf的云計算，實際上是指這種部署和交付模式的基礎(chǔ)架構(gòu)平臺;而云服務(wù)則更延伸一步，是指通過云計算平臺提供應(yīng)用和解決方案的服務(wù)過程。但是，多數(shù)人存在一個認識的誤區(qū)，認為建設(shè)云計算的服務(wù)器和存儲平臺是云計算的唯一工作重點。事實上，建設(shè)云計算平臺只是提供云計算服務(wù)的第一步。而目前很多廠商都有意無意的忽略了建設(shè)云計算平臺之后的一系列重要環(huán)節(jié)。因此，當談到“云”這個概念的時候，首先需要區(qū)分云計算平臺和云計算服務(wù)。

　　當前，對于很多用戶來說搭建云計算平臺的工作相對簡單。國內(nèi)有一些企業(yè)的部分業(yè)務(wù)已經(jīng)運行在企業(yè)內(nèi)部的私有云計算平臺上。但是，對于提供公共的云服務(wù)這個目標而言，建設(shè)云計算平臺還僅僅只是第一步。IDC認為，除了能夠讓云計算平臺提供強大的基礎(chǔ)架構(gòu)平臺外，提供云服務(wù)還需要具備以下8個條件：

　　1.云計算的供應(yīng)商具備向公共提供服務(wù)的能力，即成為第三方提供商，而不僅僅是內(nèi)部的私有云；

　　2.提供通過互聯(lián)網(wǎng)的接入方式，這是供應(yīng)商提供公共云服務(wù)的必要條件；

　　3.云計算供應(yīng)商對云計算中心進行IT管理，最終用戶不需要介入；

　　4.對于云計算提供的應(yīng)用，用戶能夠自行配置。隨著用戶對云計算需求的變化，系統(tǒng)可以為用戶提供自動擴展能力；

　　5.云計算運營商需要具備清晰明確的費用收取模式，這也是公共云區(qū)別于私有云的重要特征之一；

　　6.基于瀏覽器的用戶界面，與私有云不同，為公眾提供的云服務(wù)必須基于統(tǒng)一的用戶界面；

　　7.基于Web服務(wù)的API，提供標準的開發(fā)接口。提供云服務(wù)的供應(yīng)商不可能為用戶準備好每一種應(yīng)用軟件。因此，為用戶和第三方軟件廠商提供標準的開發(fā)接口也是提供云服務(wù)必須達到的目標;；

　　8.云計算平臺的資源共享，即提供虛擬化、動態(tài)的平臺。

　　用云計算環(huán)境的外部網(wǎng)絡(luò)可以獲得異地存儲備份的優(yōu)點，但同時也帶來了一些危險：各種病毒、垃圾郵件、惡意軟件和身份竊賊是你可能面臨的一部分威脅。

　　據(jù)谷歌公司負責GoogleApps的安全主管EranFeigenbaum聲稱，與外面的服務(wù)提供商共享數(shù)據(jù)面臨危險，不過同時也能獲得安全方面的一些好處。雖然許多公司現(xiàn)在允許云計算服務(wù)提供商訪問自己的數(shù)據(jù)，“但僅僅共享文檔、而不是共享整個基礎(chǔ)架構(gòu)是一大好處。”

　　OpSource公司的首席執(zhí)行官TrebRyan補充說：“你沒必要弄清楚多個安全區(qū)域，因為只有一條正面連接?！边@家公司為軟件即服務(wù)(SaaS)和互聯(lián)網(wǎng)公司提供數(shù)據(jù)管理及數(shù)據(jù)傳輸備份服務(wù)。下面，我們就來看看，如何來確保云計算環(huán)境的安全。

　　一、關(guān)注打開的東西

　　云計算服務(wù)提供商Salesforce在其信任站點上警告不要打開可疑的電子郵件。這一個道理似乎很淺顯，但還是有許多人沒有遵照這個建議。還要關(guān)注可疑鏈接。

　　Balding建議，應(yīng)當向提供商詢問事件響應(yīng)機制。他表示，萬一有人企圖入侵，提供商應(yīng)當能夠給予幫助。你還要問一下提供商會不會為你的機器制作鏡像，還是這項工作必須由你自己來完成。

　　CraigBalding是一家《財富》500強公司的技術(shù)安全負責人，開設(shè)了介紹云計算安全的博客。他建議，如果你打開文件，就要確保網(wǎng)絡(luò)訪問已經(jīng)過加密。他特別指出，亞馬遜并不針對其Web服務(wù)業(yè)務(wù)提供數(shù)據(jù)加密服務(wù)。Salesforce.com在其信任站點上建議采用像RSA令牌或智能卡這些雙因子驗證技術(shù)。

　　二、保護云API密鑰

　　Balding提醒，你需要確保自己的云API(應(yīng)用編程接口)密鑰安全。他說：“要是有人弄到了你的訪問密鑰，就能訪問你的一切數(shù)據(jù)。要求提供商為你提供多把密鑰，用于保護不同風險類別的各組數(shù)據(jù)。”

　　他還建議，應(yīng)當把生產(chǎn)數(shù)據(jù)放在一個帳戶中、把開發(fā)數(shù)據(jù)放在另一個帳戶中。他表示，這樣就可以減小有人闖入不太安全的開發(fā)機器所帶來的風險。

　　三、使用多少付多少

　　Balding建議，為了避免競爭對手積欠賬款，需要多少云服務(wù)、就付多少費用。他說：“如果使用量急劇增加，設(shè)定閾值就很有必要?！?/P>

　　四、復制數(shù)據(jù)

　　谷歌公司的Feigenbaum強調(diào)了跨多個數(shù)據(jù)中心進行數(shù)據(jù)復制的重要性。比方說，萬一東北部出現(xiàn)了災(zāi)難，仍可以從其他地區(qū)訪問數(shù)據(jù)。Feigenbaum說：“要是東北部發(fā)生了災(zāi)難，比如說暴風雪，從而導致停電，仍可以從另一個數(shù)據(jù)中心訪問你的數(shù)據(jù)，沒有人知道這幕后的一切?！?

　　五、增強端點可靠性

　　Feigenbaum說：“云計算概念就是把盡量少的數(shù)據(jù)放在端點設(shè)備上。要保護端點設(shè)備的安全很難――無異于把安全從專家的手里交到用戶的手里?！泵绹?lián)邦調(diào)查局(FBI)聲稱，買來后頭12個月里，失竊的筆記本電腦多達10%。雖然USB密鑰使用方便，但它們很容易丟失。

　　六、確保數(shù)據(jù)交易符合相應(yīng)的法規(guī)和認證

　　OpSource公司的Ryan建議，涉及信用卡的交易應(yīng)當符合支付卡行業(yè)(PCI)數(shù)據(jù)安全標準。他解釋：“如果我們的系統(tǒng)不符合PCI標準，系統(tǒng)會出問題，互聯(lián)網(wǎng)數(shù)據(jù)也就沒有安全交易可言。”

　　Ryan表示，在企業(yè)環(huán)境下，企業(yè)應(yīng)當遵守SaaS70這項安全協(xié)議。與此同時，如果醫(yī)療數(shù)據(jù)在云計算環(huán)境里面?zhèn)鬏?，醫(yī)療保健公司要遵守《健康保險可攜性及責任性法案》(HIPAA)的有關(guān)法規(guī)。

　　七、了解安全漏洞管理

　　Trustwave公司的Krause表示，提供商需要能夠管理某部分數(shù)據(jù)影響眾多客戶的安全漏洞。Krause說：“一個漏洞就有可能導致眾多客戶的關(guān)鍵資產(chǎn)暴露無遺。云計算提供商必須能證明，自己認識到云計算環(huán)境的安全漏洞;自己并沒有等別人來指出哪里有安全漏洞?！?/P>

　　八、維護取證日志和網(wǎng)絡(luò)日志

　　Krause表示，提供商需要隨時知道自己客戶的數(shù)據(jù)放在哪里。他說：“要有辦法來追蹤審計跟蹤記錄，要任何時候都知道數(shù)據(jù)放在哪里?！彼f，取證日志和網(wǎng)絡(luò)日志可以完成這項任務(wù)。Balding建議：“開啟日志功能，那樣就能了解人們在如何使用你放在云計算環(huán)境中的服務(wù)。那樣，你可能會發(fā)現(xiàn)一些攻擊。如果不開啟日志功能，就發(fā)現(xiàn)不了任何惡意內(nèi)容或黑客企圖?！?/P>

　　另外要與IT部門聯(lián)系，查看一下公司其他部門是不是已經(jīng)購買使用云計算服務(wù)，因為要是它們已經(jīng)購買使用這項服務(wù)，可能會出現(xiàn)安全隱患。Balding表示，要與財務(wù)部門商議，看看公司里面還有誰購買了這項服務(wù)。他表示，如果同一信息在云計算環(huán)境中出現(xiàn)兩次，這會危及公司。

　　計算服務(wù)不僅僅是建設(shè)IT基礎(chǔ)架構(gòu)那么簡單。如果一個企業(yè)或組織計劃建設(shè)云計算平臺來提供公共的商業(yè)云服務(wù)，除了考慮自身的IT基礎(chǔ)架構(gòu)建設(shè)外，還應(yīng)著重考慮相關(guān)的一系列配套措施。建議企業(yè)通過與有經(jīng)驗的IT咨詢服務(wù)提供商進行合作，對云計算項目進行整體的規(guī)劃，考慮云計算中心的管理和盈利模式，將未來的運營納入到整體規(guī)劃中，才可以促進云服務(wù)業(yè)務(wù)充分發(fā)展，使得企業(yè)能夠真正通過云服務(wù)贏得利潤。