“云計算”既可能是一個被炒作過頭的、注定讓人費解的術(shù)語,也可能是未來信息技術(shù)最美妙的前景,這完全取決于您談話的對象。盡管當(dāng)前對于“云”這個概念確實存在著太多的炒作,我們?nèi)匀粓孕艜r間會證明這些宣傳的價值。那些被委以制訂IT策略或保護本機構(gòu)的信息資產(chǎn)這類重任的人員,有責(zé)任對云計算采取謹(jǐn)慎使用的態(tài)度。不過這個云技術(shù)和其商業(yè)模式的春秋時代,也為您開啟了一扇至關(guān)重要的機會之門,供您制訂從“可信云”中獲取最大利益的策略。
　　要理解為什么云計算是一個既意義重大,又混亂不堪的趨勢,我們必須對云計算的定義有一個最基本的了解。從最高層的意義上講,云計算代表了從以基本建設(shè)費用購買軟硬件進行過渡計算,到按照需求以營業(yè)預(yù)算來“租用”工具式服務(wù)這一不可阻擋的轉(zhuǎn)變。云計算的內(nèi)涵在于,多余的計算資源能夠進行動態(tài)分配,因此企業(yè)可以通過只購買那些需要的計算服務(wù)來杜絕浪費。這種動態(tài)作用提供了全新概念的業(yè)務(wù)靈活性,因為隨著時間的推移,企業(yè)將能夠把“即時生產(chǎn)”的概念應(yīng)用于計算工作。事實上這還算不上一套理論,但一些只能在傳統(tǒng)計算方面進行有限投入的中小型企業(yè)已經(jīng)積極采用了云計算,并且對于較大的企業(yè)形成了競爭壓力,迫使他們同樣采取云計算方法。

　　國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制訂了一套廣泛采用的術(shù)語用于描述云計算的各方面內(nèi)容。 NIST針對“云”定義了三大交付模式,稱為S-P-I模式:

　　軟件即服務(wù)(SaaS),即將整個商業(yè)應(yīng)用作為一項服務(wù)來提供;

　　平臺即服務(wù)(PaaS),允許在云中進行快速應(yīng)用開發(fā);

　　架構(gòu)即服務(wù)(IaaS),即將簡單操作系統(tǒng)(OS)和儲存功能作為一項服務(wù)來提供。

　　NIST進一步定義了云計算的四大配置:

　　公共云,即面向廣泛客戶群的互聯(lián)網(wǎng)接入服務(wù);

　　私有云,針對單個機構(gòu)進行配置;

　　社區(qū)云,針對供應(yīng)鏈這類有限數(shù)量的,彼此相關(guān)的組織設(shè)計;

　　混合云,以上三種配置模式的任意組合。

　　為了將云計算作為一種低成本工具來提供,云服務(wù)供應(yīng)商必須掌握一些管理方面的問題以形成規(guī)模經(jīng)濟。諸如虛擬化這類技術(shù)可以用來獲取一切可能的CPU周期和空余磁盤空間。此外還設(shè)計了一些新的管理工具來實現(xiàn)客戶供應(yīng)和資源分配的自動化。為了創(chuàng)建高效的規(guī)模經(jīng)濟,將不可避免地導(dǎo)致許多客戶的數(shù)據(jù)和其他資產(chǎn)在共享的硬件平臺上相互混雜,而這些數(shù)據(jù)和資產(chǎn)只是用一些新的,往往未經(jīng)驗證的邏輯控制方法進行區(qū)分。另一個主要的,可能也是最為深遠(yuǎn)的影響是,實現(xiàn)這種經(jīng)濟效益的新技術(shù)架構(gòu)本身就是一種新的應(yīng)用開發(fā)平臺。在計算中很少出現(xiàn)重大的平臺轉(zhuǎn)換。軟件在云中得到革新,而新的軟件則革新了商業(yè)運作方式。  (服務(wù)器租用)

　　盡管很難反駁這種云計算的趨勢,我們?nèi)杂欣碛蓪σ浦苍朴嬎愕臅r機選擇提出質(zhì)疑,尤其是針對一些非常敏感的信息和關(guān)鍵任務(wù)過程。這往往意味著某個機構(gòu)在風(fēng)險管理實踐的指導(dǎo)下,按照一套獨特的標(biāo)準(zhǔn)在一段時期內(nèi)作出一系列的決策。然而還有一種情況是,外部因素促使一個機構(gòu)作出這類決策。比如某個生意伙伴要求云計算。毫無疑問的是,某些時候一些軟件公司會促使或者強烈建議他們的客戶支持云服務(wù)這一更為經(jīng)濟的平臺。新的創(chuàng)新應(yīng)用將只存在于云中�；�于以上原因,首席信息安全官們應(yīng)當(dāng)努力了解這些問題以及這些問題同他們工作之間的聯(lián)系。首席信息安全官們不僅能夠制訂確保云應(yīng)用的策略,更重要的是,他們能夠真正地影響到云計算產(chǎn)業(yè)的走向和云服務(wù)供應(yīng)商所提供的各種功能。僅僅坐等云技術(shù)的成熟是遠(yuǎn)遠(yuǎn)不夠的。同我們交流過的許多首席信息安全官都在花時間讓云服務(wù)供應(yīng)商熟悉他們的企業(yè)級要求,如服務(wù)水平協(xié)議(SLAs),法規(guī)遵守問題,特定地區(qū)的監(jiān)管問題等。云服務(wù)供應(yīng)商們現(xiàn)在就把企業(yè)功能集成到服務(wù)中,比到企業(yè)完成轉(zhuǎn)變以后再去修改這些服務(wù)要容易的多。

　　以下信息資源能夠協(xié)助您確定云計算策略。歐洲網(wǎng)絡(luò)及信息安全局(ENISA)制定了“云計算風(fēng)險評估”規(guī)范,耶律哥論壇有“云立方計算模式”,而云安全聯(lián)盟(CSA)發(fā)布了“云計算重點關(guān)注區(qū)域安全指導(dǎo)”,涵蓋13個關(guān)注的領(lǐng)域。幾乎所有的案例中都包括以下關(guān)鍵問題:

　　◆法規(guī)遵守:云服務(wù)供應(yīng)商保證使客戶遵守各種規(guī)定和標(biāo)準(zhǔn),如PCI/DSS、HIPAA、違約情況通報方面的法規(guī)以及歐盟數(shù)據(jù)保密法令等等。

　　◆數(shù)據(jù)管制:確�？蛻魯�(shù)據(jù)有適當(dāng)?shù)募夹g(shù)防護措施,得到合法的保護,并能夠按照客戶要求供客戶使用或返還給客戶。

　　◆可移植性及互用性:確保客戶對包括私有云在內(nèi)的任何云的投入均能移植到其他云并能與其他云實現(xiàn)最大程度的互用,以保護客戶的投入并確保關(guān)鍵服務(wù)的可用性。

　　◆身份和接入管理:允許客戶在SaaS服務(wù)供應(yīng)商中的成熟的IAM框架與其他云服務(wù)之間作出平衡,以便在遵守法規(guī)的同時保持廣泛的系統(tǒng)和應(yīng)用控制功能。

　　針對各個云服務(wù)供應(yīng)商的獨立認(rèn)證是顯示企業(yè)遵守各種安全要求的必然結(jié)果。各種機構(gòu)永遠(yuǎn)都有必要針對云服務(wù)供應(yīng)商規(guī)定適當(dāng)?shù)男袨闇?zhǔn)則并進行嚴(yán)格的供應(yīng)商管理。不過要以適當(dāng)頻率的、極其仔細(xì)的審計措施來完全消減所有風(fēng)險并不現(xiàn)實,供應(yīng)商也沒有能力接待所有客戶審計員。適當(dāng)?shù)恼J(rèn)證能夠從某種程度上保證云服務(wù)供應(yīng)商方面能夠有一個合理的安全基線,同時反映客戶必須證明其遵守的各種規(guī)定。從云服務(wù)供應(yīng)商的角度來看,在數(shù)量較少,但較為嚴(yán)格的認(rèn)證上進行投資,比響應(yīng)大量的審計要求要劃算一些。如果某個機構(gòu)確實需要進行審計,則專門對經(jīng)過認(rèn)證的供應(yīng)商進行審計會更加高效和簡潔,因為這往往能夠縮小審計的范圍。許多首席信息安全官都越來越關(guān)注一些設(shè)立上述認(rèn)證的標(biāo)準(zhǔn)機構(gòu),他們認(rèn)為這些機構(gòu)目前過度為以供應(yīng)商為中心。

　　今天,首席信息安全官們不但有機會去調(diào)整那些適用于云服務(wù)供應(yīng)商的標(biāo)準(zhǔn)和認(rèn)證,還確保這些標(biāo)準(zhǔn)和認(rèn)證的特點能夠滿足他們各自工作的要求。事實上云服務(wù)供應(yīng)商也希望去了解商業(yè)和法規(guī)遵守方面的需求。無論是構(gòu)建私有云、嘗試使用公共云、甚至是將公共云用于生產(chǎn)應(yīng)用,首席信息安全官們都不會再有如此好的機會傳達(dá)他們的需求并將安全嵌入到云服務(wù)中了。

  (來源:服務(wù)器租用——海騰數(shù)據(jù)中心)