很多IT人員都認為公共云服務不安全，無法確保關鍵程序工作負載和數據的安全。但是醫療信息供應商Schumacher集團首席信息官Doug Menefee卻不這么認為。

“使用云服務確實存在風險，但是任何事情都是有風險的，我們必須將商業利益與這些風險進行權衡。”Menefee確實也說到做到，現在Schumache集團的業務數據有85%位于公共云服務內部。

Menefee并不認為自己是云服務倡導者，他表示他只是接受云服務這種形式，并愿意做成本效益和風險分析。

可以肯定的是，將重要數據交給云服務并不是沒有做安全考慮，例如，該公司重新改進了身份管理程序。“我們需要考慮如何在公司程序和云服務中的程序間部署身份管理和安全措施。”

從身份驗證說起

IDC公司安全產品研究副總裁Charles Kolodgy表示，的確，重新調整身份管理通常都是選擇云服務的企業的起點，企業需要考慮身份驗證、管理控制、數據的位置以及可能訪問數據的人等問題。 “這些與企業平時的安全考慮很類似，差別在于企業不再持有基礎設置，并且也無法完全進入后臺，所以才需要重新調整，以確保安全性，”他補充道。

ServiceMesh 和Symplified兩家公司就為需要加強云安全的企業提供了統一訪問權限管理的產品。ServiceMesh提供的Agility Access由云管理、安全工具和模塊以及服務管理等組成。而Symplified提供的Trust Cloud是基于EC2的統一訪問權限管理和聯盟平臺，整合并保護軟件和基礎設施云服務、EC2和web 2.0應用程序。

云服務的好處

除了技術支持以外，云服務模式還為Schumacher公司的運營資源帶來新的思維方式，Menefee表示。

“大型云服務供應商都有專門的團隊和部門專職負責保護客戶的重要信息，并不斷尋求改善安全、監測、入侵控制的方法。作為中型企業，我們并沒有專職的部門負責安全。在云服務供應商的幫助下，企業安全更有保障，”他表示，即使發生安全泄漏事故，這些團隊也能夠比內部人員作出更快的反應。

當然，將企業數據交給云服務供應商后，要求云服務供應商提供企業所需要的安全保障是完全合理的，但是，“不要因為將數據交給云服務供應商就忽略了企業的安全目標或要求，”Forrester研究所分析師Chenxi Wang表示。

云服務供應商在安全保障方面可能會有所出入，企業必須嚴格要求云服務供應商按照合約履行安全職責，“如果云服務供應商告訴你，你所要求是不可能實現的，你就可以告訴他們，那我們去找另一家云服務供應商。”

美國的Schwan食品公司在規劃虛擬災難恢復架構時就運用了這個策略，該公司的高級IT運營經理Cory Miller表示，“我們告訴供應商，‘你們必須使用我們的工具，將這些工具擴展到你們的環境’。”你甚至可以讓企業的安全工具供應商與云服務供應商簽訂協議。

Schwan食品公司用于保護其虛擬基礎設施的虛擬防火墻來自Reflex系統公司，該系統公司就與美國計算機科學公司以及Savvis公司（云服務供應商）合作，旨在“當在私有云和公共云間傳輸時確保安全保障和管理的統一性”。

當Schwan公司試圖將云服務向外擴展時，許多云供應商都躍躍欲試，但是到實際部署階段，并不是所有供應商都能夠接受Schwan的要求，技術整合是這些供應商面對的難題。

“我們告訴這些供應商，如果你不能提供這些功能或者服務，我們可以去找另外的供應商，”Miller表示。

即使是小型公司也會從長計議。如果企業現在建立了私有云，并希望將來擴展到公共云服務，那么了解云服務供應商能夠或者不能夠支持的安全工具將會影響企業的技術選擇。“企業肯定不希望自己設計的私有云與外部公共云在管理或加密程序方面有如此大差異，這樣的話，根本無法體會到云服務帶來的優勢。”

嚴格要求云服務供應商

隨著云服務不斷成熟，供應商們都在努力開發能夠幫助企業擴展要求的工具和服務。

其中一個工具就是Adaptivity的Blueprint4IT，企業能夠用這個IT設計軟件來創建IT安全規劃圖，并考慮了這些因素：訪問權限政策、傳輸中和靜態數據的安全性，確保數據從內部網絡向云服務安全傳送所需要的硬件和軟件組件。

“確定企業的要求，創建規劃圖，然后將規劃圖交給云服務供應商，要求供應商按要求部署云服務，”Adaptivity創始人兼首席執行官Tony Bishop表示。或者企業可以試用Blueprint4IT來評估云服務供應商并幫助企業對安全架構成熟度評分。

有志者事竟成

企業選擇云服務時需要記住的是，“在云服務中，并不是每個應用程序都能確保安全，但與此同時，云服務并不是不能確保任何程序的安全，”Gartner公司副總裁John Pescatore表示。

即使是金融機構、政府機構或者持有高度機密數據（如支付款信息或者醫療信息）的其他公司都能夠在云服務中找到必要的安全保護。

Pescatore表示，還有一種方法就是在云服務中使用假冒數據，而不是真正的重要數據，“應用程序可以交給云服務處理，但是像支付款信息或者個人信息等重要數據還是應該保存在內部網絡。”

顯然，企業在考慮選擇試用公共云服務時，有很多問題需要考慮。他們必須將風險和效益綜合進行考慮，并將重點放在數據和必須的控制上，從而作出正確的選擇。  

【編輯推薦】

1. 身份認證與安全一線牽
2. IPv6身份驗證和安全性