围绕云安全的讨论主要集中在云供应商应该做的安全措施方面,毕竟数据和应用程序服务是云供应商在管理。但是企业需要记住,企业承担着大部分的云安全责任,某些情况下,他们甚至是最大的责任人。企业千万不要忘记,如果发生安全泄漏事故,企业将受到直接的影响,毕竟,他们是数据所有人。
通常大家都认为云供应商和企业需要共同承担云计算的责任,而这两者之间的责任分割线目前是有点模糊。责任分割线直接取决于云计算的模式,范围从软件即服务(SAAS)到平台即服务(PAAS),再到基础设施即服务(IAAS)。
SAAS方式更像是安全的黑盒子,应用程序安全是企业看不到的。而IAAS,企业承担应用程序、数据及其他基础设施安全的主要责任。
企业应该如何改善云计算模式的安全性并从中获得最大利益呢?可以参照以下六个步骤:
第一步:从现有企业内部私有云计算及围绕云计算构建的安全系统和程序中学习
在过去十年中,大中型企业就已经建立了内部云计算,虽然他们并没有称其为云计算,而是称为共享服务,例如认证服务、供应服务、数据库服务或者企业数据中心(构建在相对规范的硬件和操作系统中。)
第二步:对很多IT业务流程的风险和重要性进行评估
迁移到云计算所节省的成本可能会比较容易计算,但是在计算机风险和成本的算术前,我们要先弄清楚风险究竟有多少。云供应商不会为企业做这方面的分析,因为这完全取决于业务流程的业务范围。成本相对较高的低服务水平协议(SLA)应用程序毫无疑问是云计算风险评估首先要评估的对象,另外,潜在的合规影响也需要考虑,因为监管机构规定有些数据和服务不能转移到公司外部或者国家外。
第三步:学习不同类型的云计算模型和类别
企业需要研究不同类型的云模型(公共、私有、混合)以及不同类别(SAAS、PAAS、IAAS),因为这些不同类型的云模型的差异性与安全控制和责任有直接关联。
所以企业必须对这些云模型有自己的见解,从企业自身和企业风险评估的角度来分析。
另外,法律组织在这方面也发挥着重要的作用,因为保修和责任也将是重要的组成部分。
第四步:将企业的面向服务架构(SOA)设计和安全原则运用到云计算中
大多数企业近年来都在他们的应用开发部门运用了面向服务原则,云计算不就是面向服务么?云计算只是逻辑化的面向服务。高度分布安全实施的SOA安全原则,与集中安全原则管理和抉择,可以直接应用到云计算中。在云计算中使用SOA的原则不需要重新制定原则,而只要做些许转换。
第五步:把自己当作云供应商
虽然大多数企业从开始就会将自己当作云消费者,但是不要忘记企业也是服务供应商:企业向客户和合作伙伴提供服务。把自己当作云供应商来思考问题,能够帮助企业更好的了解云计算供应商。
第六步:从现在开始熟悉并开始使用web安全标准
web安全行业长期以来都致力于对保护和管理跨域系统方面的研究,从而也产生了很多有用的安全标准来确保云服务的安全性。只有运用这些标准,安全系统在云世界中才能有效运用。这些标准包括安全断言标记语言(SAML),服务供应标记语言(SPML),可扩展访问控制标记语言(XACML)以及web 服务安全(WS-Security)。
企业改善云计算安全最重要的要求之一就是确保安全专业人士被看做是云计算理性的倡议者,而不是反对者或者怀疑者。技术人员也可以作为风险/回报评估分析的主要力量,以帮助企业最大限度获取云计算带来的利益。