IT運(yùn)維管理經(jīng)驗(yàn)：提高企業(yè)云計(jì)算安全的辦法

通常大家都認(rèn)為云供應(yīng)商和企業(yè)需要共同承擔(dān)云計(jì)算的責(zé)任，而這兩者之間的責(zé)任分割線目前是有點(diǎn)模糊。責(zé)任分割線直接取決于云計(jì)算的模式，范圍從軟件即服務(wù)(SAAS)到平臺(tái)即服務(wù)(PAAS)，再到基礎(chǔ)設(shè)施即服務(wù)(IAAS)。

SAAS方式更像是安全的黑盒子，應(yīng)用程序安全是企業(yè)看不到的。而IAAS，企業(yè)承擔(dān)應(yīng)用程序、數(shù)據(jù)及其他基礎(chǔ)設(shè)施安全的主要責(zé)任。

企業(yè)應(yīng)該如何改善云計(jì)算模式的安全性并從中獲得最大利益呢?可以參照以下六個(gè)步驟：

第一步：從現(xiàn)有企業(yè)內(nèi)部私有云計(jì)算及圍繞云計(jì)算構(gòu)建的安全系統(tǒng)和程序中學(xué)習(xí)

在過(guò)去十年中，大中型企業(yè)就已經(jīng)建立了內(nèi)部云計(jì)算，雖然他們并沒(méi)有稱其為云計(jì)算，而是稱為共享服務(wù)，例如認(rèn)證服務(wù)、供應(yīng)服務(wù)、數(shù)據(jù)庫(kù)服務(wù)或者企業(yè)數(shù)據(jù)中心(構(gòu)建在相對(duì)規(guī)范的硬件和操作系統(tǒng)中。)

第二步：對(duì)很多上網(wǎng)行為業(yè)務(wù)流程的風(fēng)險(xiǎn)和重要性進(jìn)行評(píng)估

遷移到云計(jì)算所節(jié)省的成本可能會(huì)比較容易計(jì)算，但是在計(jì)算機(jī)風(fēng)險(xiǎn)和成本的算術(shù)前，我們要先弄清楚風(fēng)險(xiǎn)究竟有多少。云供應(yīng)商不會(huì)為企業(yè)做這方面的分析，因?yàn)檫@完全取決于業(yè)務(wù)流程的業(yè)務(wù)范圍。成本相對(duì)較高的低服務(wù)水平協(xié)議(SLA)應(yīng)用程序毫無(wú)疑問(wèn)是云計(jì)算風(fēng)險(xiǎn)評(píng)估首先要評(píng)估的對(duì)象，另外，潛在的合規(guī)影響也需要考慮，因?yàn)楸O(jiān)管機(jī)構(gòu)規(guī)定有些數(shù)據(jù)和服務(wù)不能轉(zhuǎn)移到公司外部或者國(guó)家外。

第三步：學(xué)習(xí)不同類型的云計(jì)算模型和類別

企業(yè)需要研究不同類型的云模型(公共、私有、混合)以及不同類別(SAAS、PAAS、IAAS)，因?yàn)檫@些不同類型的云模型的差異性與安全控制和責(zé)任有直接關(guān)聯(lián)。

所以企業(yè)必須對(duì)這些云模型有自己的見(jiàn)解，從企業(yè)自身和企業(yè)風(fēng)險(xiǎn)評(píng)估的角度來(lái)分析。

另外，法律組織在這方面也發(fā)揮著重要的作用，因?yàn)楸Ｐ藓拓?zé)任也將是重要的組成部分。

第四步：將企業(yè)的面向服務(wù)架構(gòu)(SOA)設(shè)計(jì)和安全原則運(yùn)用到云計(jì)算中

大多數(shù)企業(yè)近年來(lái)都在他們的應(yīng)用開(kāi)發(fā)部門運(yùn)用了面向服務(wù)原則，云計(jì)算不就是面向服務(wù)么?云計(jì)算只是邏輯化的面向服務(wù)。高度分布安全實(shí)施的SOA安全原則，與集中安全原則管理和抉擇，可以直接應(yīng)用到云計(jì)算中。在云計(jì)算中使用SOA的原則不需要重新制定原則，而只要做些許轉(zhuǎn)換。

第五步：把自己當(dāng)作云供應(yīng)商

雖然大多數(shù)企業(yè)從開(kāi)始就會(huì)將自己當(dāng)作云消費(fèi)者，但是不要忘記企業(yè)也是服務(wù)供應(yīng)商：企業(yè)向客戶和合作伙伴提供服務(wù)。把自己當(dāng)作云供應(yīng)商來(lái)思考問(wèn)題，能夠幫助企業(yè)更好的了解云計(jì)算供應(yīng)商。

第六步：從現(xiàn)在開(kāi)始熟悉并開(kāi)始使用web安全標(biāo)準(zhǔn)

web安全行業(yè)長(zhǎng)期以來(lái)都致力于對(duì)保護(hù)和管理跨域系統(tǒng)方面的研究，從而也產(chǎn)生了很多有用的安全標(biāo)準(zhǔn)來(lái)確保云服務(wù)的安全性。只有運(yùn)用這些標(biāo)準(zhǔn)，安全系統(tǒng)在云世界中才能有效運(yùn)用。這些標(biāo)準(zhǔn)包括安全斷言標(biāo)記語(yǔ)言(SAML)，服務(wù)供應(yīng)標(biāo)記語(yǔ)言(SPML)，可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言(XACML)以及web服務(wù)安全(WS-Security)。

企業(yè)改善云計(jì)算安全最重要的要求之一就是確保安全專業(yè)人士被看做是云計(jì)算理性的倡議者，而不是反對(duì)者或者懷疑者。技術(shù)人員也可以作為風(fēng)險(xiǎn)/回報(bào)評(píng)估分析的主要力量，以幫助企業(yè)最大限度獲取云計(jì)算帶來(lái)的利益。

【推薦閱讀】

◆上網(wǎng)行為運(yùn)維管理專區(qū)

◆怎樣才算是一個(gè)合格的上網(wǎng)行為運(yùn)維工程師

◆上網(wǎng)行為運(yùn)維工作師需要什么樣的技能及素質(zhì)

◆網(wǎng)站上網(wǎng)行為運(yùn)維管理經(jīng)驗(yàn)探討和心得分享

◆網(wǎng)管軟件專區(qū)

本文來(lái)自互聯(lián)網(wǎng)，僅供參考

發(fā)布：2007-04-15 10:03 編輯：泛普軟件 · xiaona [打印此頁(yè)] [關(guān)閉]

相關(guān)欄目：