我是一個年收入在10億美元以上的公司的CIO或CSO。在將公司的IT基礎設施放入云之前，哪些是我需要考慮的安全問題呢？讓我們列出以下安全問題：有哪些設備需要放入云中？敏感數據如何保護？如何升級加密算法？如何限制對于敏感數據的訪問？如何跟蹤關鍵系統數據？

假定每個公司都有相應的防火墻和相關的網絡設備放在云供應商的云環境中。每個部分都有他們支撐的不同應用。因為其他公司也可能在同時使用這個云，他們可能會和我們共同使用防火墻設備、網絡設備、數據庫、虛擬操作系統以及虛擬存儲。

首先先看一下云服務供應商在現實中采用的安全限制。由于公司現有IT應用在標準化方面的欠缺，可能很難將所有公司的基礎設施都部署到云中來。例如，我服務的一個客戶有一個主機解決方案是與Web服務集成到一起的。Web服務是與一個POS（銷售點）系統進行接口的，并且是利用一個基于TCP/IP的專有端口與主機進行通信。主機接收并存儲敏感的信用信息。對于這個解決方案來說，所有的POS方案、Web服務和TCP/IP的通信渠道都可以放入云中。大型主機的應用程序、專有的存儲基礎設施，以及加密技術很難放入云中。大型主機應用程序也可以進行移植，但前提是需要一個艱難的重寫。如果沒有事先考慮到ROI（投資回報率），這樣做是不明智的。

第二個問題是訪問敏感數據。敏感數據是如何存儲到云中的呢？SAN（存儲區域網絡）子系統將數據分條存儲與不同的存儲陣列驅動中。用戶是否想要將敏感數據存儲在整個磁盤陣列中呢？我擔心的是一個數據庫、文件系統、磁盤或固態硬盤驅動器的損壞可能會蔓延到處于同一個子系統中共享數據的其他應用程序。所以，我們需要想出一個辦法來隔離數據庫、文件系統或磁盤上的加密數據。數據之間的隔離將會減小數據損壞導致的惡果。

第三，針對存儲數據的加密算法如何更新？存儲在不同數據庫、文件系統中的加密數據需要進行更新，因為隨著處理器速度的不斷增加，破解加密算法將變得更加容易。所以這類數據需要從一個舊的加密算法中破解出來，然后再用一個新的加密算法進行加密。因為比較新的算法，新加密的數據可能會需要占用數據庫或文件系統更大的空間。這同樣需要進行監管。

接下來，我需要對存儲在云供應商那里的應用數據進行非常細粒度的訪問控制。我希望能夠使用LDAP（輕量級目錄訪問協議）或者Active Directory來接口數據庫、文件系統或驅動器，只有來自云端的特定的人才能夠訪問這些數據。同時，我還希望云供應商能夠提供一個針對所有云客戶的目錄分區，按照云客戶/細分部門/應用/用戶這種順序來說明哪些人可以訪問不同的應用程序數據庫、文件系統、磁盤或者固態硬盤驅動器。這種鎖定的訪問方式可以阻止未授權用戶或者管理員不當的存取或訪問數據。

***，我正在尋找一個地方來保存數據分段和元數據。這樣是為了讓客戶公司可以向云中存儲或者摘錄這些數據分段或應用程序。我建議使用LDAP目錄或Active Directory來存儲云中客戶的元數據。云客戶可以在某些原因下，利用這種靈活性來提取某些應用程序，并且改進這些數據。云客戶也可以由于云供應商的不足將這些數據分片和應用程序從云中刪除。這個目錄元數據的層次結構有一個給定的網絡分段，來定義虛擬防火墻、交換機、路由器和負載平衡器的元數據段。分段數據的子數據將成為每個數據段支撐的應用程序的元數據。

總結一下，云計算只能包含使用共同標準的外包企業的應用和基礎設施。存儲的敏感數據需要使用共同的加密算法、協議，并且他們的周圍有一個加密的數據保護邊界。對于存儲在數據庫或文件系統中的數據來說，加密算法需要有一個更新的途徑。敏感數據同樣也需要一個全局的云供應商LDAP目錄或Active Directory目錄，此目錄定義了客戶端/系統/應用/用戶這四項內容，以此來定義誰可以訪問存儲在數據庫、文件系統、磁盤或固態硬盤中的應用數據。***，該目錄還需涵蓋包含云計算元數據的層次結構，使用戶可以輕松的往云中添加應用數據或從云中刪除數據。