【51CTO.com 綜合消息】云計算為組織提供兼具可擴展性和成本效益的靈活的 IT新選擇，但要實現云服務的全部優勢，企業必須信任這些新服務的安全、策略和流程。企業要擴展外圍的 IT 安全，必須首先建立一個可信任的云計算前端：提供安全保證、管理、控制以及可靠的性能。

組織考慮采用云技術 － 但他們能夠信任云嗎？

越來越多的組織轉向云計算。據分析機構評估，云計算市場規模可達 420 億美元 ，至 2013 年，僅軟件即服務 (SaaS)市場即可增長至 160 億美元 。某些組織是受到云計算顯著優勢的吸引而轉向云計算，而某些組織是發現其競爭對手通過云計算贏得了優勢，進而迫于壓力也開始采用云計算。對于很多組織而言，這兩種力量都起到了一定作用。

幾乎每個 CIO 的解決方案候選列表中都包括一個云計算選擇，因為云計算能使企業提高 IT 的質量和靈活性，而 IT正是其業務賴以運行的關鍵。云應用程序、平臺和基礎架構服務可以擴展數據中心的功能，同時有效利用資源，降低 IT 部門的總擁有成本。云服務采用“即用即付”模式，使組織能夠從小規模開始快速擴展，既不犧牲服務質量，也不要求在基礎架構上投入大量初始投資。

云計算是現今 IT 最重要的趨勢，而且可能在未來數年繼續保持強勁態勢。然而，這個行業仍處于發展初期：平臺不完整，安全措施尚未成型。IT 管理者不能忽略云技術 - 但尚不能充分信任它。

信任第一

盡管企業認可云計算的潛在優勢，但他們不愿意將所有關鍵處理或數據遷移到云中。并不是說云技術的固有安全性優于或遜于企業現有環境，關鍵在于前者采用一種截然不同的方式，特別是對第三方的依賴。

在接受云計算之前，組織需要求服務供應商確保其關鍵資產的安全。但企業應該知道，云安全并不是一種簡單的“全部肯定或全部否定”的選擇：他們可能必須在開放性和安全性、控制與可用性、靈活性與風險管理、過程與實施之間作出權衡。

在依賴 SaaS 和云服務來提供計算能力、存儲和關鍵業務應用程序之前，組織需要明白這一點：自己的策略仍適用于云中的資源，并且能夠審核云策略的實施。信任還要求服務等級協議 (SLA) 保證可用性、可靠性和業務連續性。而且組織應該要求云供應商解決新出現的數據泄漏問題，包括因多租用和云運營商的訪問而導致的此類問題。當企業從僅使用一種云服務遷移至使用不同供應商提供的多種云服務時，他們必須處理與多個運營商合作而產生的所有問題，而每個運營商具有不同的基礎架構、運營策略

和安全技巧。在如此復雜的信任需求的推動下，產生了對可信任云計算前端的需求。

可信任的前端：概述

可信任的云計算前端是一種安全和信任中介服務，它面向多種云服務提供單一便利的入口，鼓勵管理員、員工和業務合作伙伴采用云應用程序與流程。它可以改進組織原有的安全，同時使安全的實現比以往更加簡單。對于企業而言，可信任的前端就是一個符合開放標準的 API。對于云供應商而言，它支持多種接口，有助于業務合作伙伴的集成。而雙方都無需了解：可信任的前端如何避免企業及其云供應商擺脫實施強大安全措施而導致的高度復雜性及高昂成本，以確保云用戶、應用程序和數據的安全。

對于多數組織，選擇經認可的可靠服務供應商（或“信任供應商”）提供安全與信任中介服務是為云創建安全前端的最佳方式。在選擇可信任前端供應商時，組織應評估他們是否已妥善解決保證、管理、控制和可靠性能的關鍵問題，并確立一個度量標準，以幫助確保組織在上述領域中獲得相應的投資回報。

安全保證決定門的開啟

信任供應商應通過嚴格的用戶認證和授權來保證安全，并額外考慮高優先級或高風險用戶的安全以及遠程訪問使用案例的挑戰。在所有情況下，供應商都必須證明自己能夠根據企業的訪問策略拒絕未授權用戶的訪問。盡管可信任的前端主要依賴現有流程和資源，但它可以通過動態插入例如多因素認證等其他安全層來提高安全性。

組織應該考慮可信任前端的供應商是否提供查核例如筆記本和智能手機等用戶設備的信任度的能力。基于惡意軟件的威脅已經影響消費者多年，最近的公司攻擊已經表明，終端保護不會保護企業用戶設備免受外部攻擊。信任供應商應該保護和監視用戶設備，并評估是否許可他們訪問機密的云資源。

由于可信任的前端能為云供應商提供安全最佳實踐，所以行業可以形成一致的類似于信用卡行業的 PCI 標準的云安全標準。然后供應商可以根據這些標準要求 SaaS 和平臺即服務供應商取得認證。與此同時，信任供應商可以獨立提供安全認證服務和漏洞評估服務。

管理使企業重掌控制權

盡管云應用程序擁有戶內應用程序所不具備的優勢，它們也可能由于支配和管理用戶、應用程序和業務流程而打亂組織的模式。組織應該對任何 SaaS 或云服務供應商的安全管理過程和功能進行評估，確定它們是否充足且成熟，以及是否與組織自有的信息安全管理實踐保持一致。

對于多數企業而言，可信任的前端會與公司目錄和元存儲庫集成起來，支持在外圍形成一致的管理、認證與授權。其他企業可能會選擇一種更為簡單的策略實施方法，即依賴于自動化用戶配置和取消配置。

對于傳統的身份與訪問管理平臺，可信任的云計算前端類似于訪問請求交換機/路由器，同時發揮著外部策略實施代理的作用。作為身份中介和授權代理，在利用組織內部例如企業域控制器等信任源或例如 Google 或 PayPal 等外部身份供應商服務的 bootstrap 憑證和認證時，可信任前端應避免發生憑證泄漏。因此信任供應商應遵守例如SAML、OPENID、OAUTH 和 XACML 等標準，以避免日后發生鎖定。

控制是合規性的關鍵

信任供應商不僅必須提供保證、管理和可靠性能，還必須全面跟蹤、審核和報告他們提供這些服務的效率。對于每個單一訪問事件，供應商應該能夠監視并報告訪問者、訪問內容、訪問方式、訪問時間和訪問位置等信息。

可信任的前端簡化審核跟蹤和合規性報告，提供整合訪問事件日志的絕佳機會。審核者更容易檢查跨所有云資源和所有用戶的法律、法規和規則（例如 SOX、HIPAA、PCIDSS）的合規性。

可靠性能推動業務連續性

組織必須對其信任供應商充滿信心，相信他們能夠提供完全符合 SLA 的云資源訪問。組織還必須調查信任供應商是否符合連接、冗余、故障切換、災難恢復和防范 DDoS 攻擊等方面的行業最佳實踐。

云供應商合作伙伴和組織需要討論并商定 SLA 可靠性標準以及根據所有 SLA 進行監視和報告的流程。可信任供應商服務可跨企業所依賴的所有云服務提供整合的 SLA 監視與報告。這可以提高可見性，降低管理多個獨立云的操作復雜性。

結論：行業領先者努力勾畫信任的藍圖

確保跨多用戶及云資源的嚴密安全性與靈活性是一個前所未有的挑戰，多數組織都不具備這種挑戰所要求的專門技能，而且也沒有時間去培養這種技能。因此一種新類型的服務供應商應運而生來應對這種挑戰，他們創建可信任前端，以新的方式重新集成最優質的應用程序、數據和用戶，使組織不僅能夠保持按需模型的靈活性，也能夠將訪問策略和安全控制擴展到云中。通過選擇使用這樣的服務供應商，組織可以引入最佳實踐，在復雜 IT 環境內實現可信賴的安全性。