IT運維管理經(jīng)驗：提高企業(yè)云計算安全的辦法

申請免費試用、咨詢電話：400-8352-114

通常大家都認為云供應商和企業(yè)需要共同承擔云計算的責任，而這兩者之間的責任分割線目前是有點模糊。責任分割線直接取決于云計算的模式，范圍從軟件即服務(SAAS)到平臺即服務(PAAS)，再到基礎設施即服務(IAAS)。

SAAS方式更像是安全的黑盒子，應用程序安全是企業(yè)看不到的。而IAAS，企業(yè)承擔應用程序、數(shù)據(jù)及其他基礎設施安全的主要責任。

企業(yè)應該如何改善云計算模式的安全性并從中獲得最大利益呢?可以參照以下六個步驟：

第一步：從現(xiàn)有企業(yè)內(nèi)部私有云計算及圍繞云計算構建的安全系統(tǒng)和程序中學習

在過去十年中，大中型企業(yè)就已經(jīng)建立了內(nèi)部云計算，雖然他們并沒有稱其為云計算，而是稱為共享服務，例如認證服務、供應服務、數(shù)據(jù)庫服務或者企業(yè)數(shù)據(jù)中心(構建在相對規(guī)范的硬件和操作系統(tǒng)中。)

第二步：對很多上網(wǎng)行為業(yè)務流程的風險和重要性進行評估

遷移到云計算所節(jié)省的成本可能會比較容易計算，但是在計算機風險和成本的算術前，我們要先弄清楚風險究竟有多少。云供應商不會為企業(yè)做這方面的分析，因為這完全取決于業(yè)務流程的業(yè)務范圍。成本相對較高的低服務水平協(xié)議(SLA)應用程序毫無疑問是云計算風險評估首先要評估的對象，另外，潛在的合規(guī)影響也需要考慮，因為監(jiān)管機構規(guī)定有些數(shù)據(jù)和服務不能轉移到公司外部或者國家外。

第三步：學習不同類型的云計算模型和類別

企業(yè)需要研究不同類型的云模型(公共、私有、混合)以及不同類別(SAAS、PAAS、IAAS)，因為這些不同類型的云模型的差異性與安全控制和責任有直接關聯(lián)。

所以企業(yè)必須對這些云模型有自己的見解，從企業(yè)自身和企業(yè)風險評估的角度來分析。

另外，法律組織在這方面也發(fā)揮著重要的作用，因為保修和責任也將是重要的組成部分。

第四步：將企業(yè)的面向服務架構(SOA)設計和安全原則運用到云計算中

大多數(shù)企業(yè)近年來都在他們的應用開發(fā)部門運用了面向服務原則，云計算不就是面向服務么?云計算只是邏輯化的面向服務。高度分布安全實施的SOA安全原則，與集中安全原則管理和抉擇，可以直接應用到云計算中。在云計算中使用SOA的原則不需要重新制定原則，而只要做些許轉換。

第五步：把自己當作云供應商

雖然大多數(shù)企業(yè)從開始就會將自己當作云消費者，但是不要忘記企業(yè)也是服務供應商：企業(yè)向客戶和合作伙伴提供服務。把自己當作云供應商來思考問題，能夠幫助企業(yè)更好的了解云計算供應商。

第六步：從現(xiàn)在開始熟悉并開始使用web安全標準

web安全行業(yè)長期以來都致力于對保護和管理跨域系統(tǒng)方面的研究，從而也產(chǎn)生了很多有用的安全標準來確保云服務的安全性。只有運用這些標準，安全系統(tǒng)在云世界中才能有效運用。這些標準包括安全斷言標記語言(SAML)，服務供應標記語言(SPML)，可擴展訪問控制標記語言(XACML)以及web服務安全(WS-Security)。

企業(yè)改善云計算安全最重要的要求之一就是確保安全專業(yè)人士被看做是云計算理性的倡議者，而不是反對者或者懷疑者。技術人員也可以作為風險/回報評估分析的主要力量，以幫助企業(yè)最大限度獲取云計算帶來的利益。
 

 【推薦閱讀】

◆上網(wǎng)行為運維管理專區(qū)

◆怎樣才算是一個合格的上網(wǎng)行為運維工程師

◆上網(wǎng)行為運維工作師需要什么樣的技能及素質(zhì)

◆網(wǎng)站上網(wǎng)行為運維管理經(jīng)驗探討和心得分享

◆網(wǎng)管軟件專區(qū)