在大多數情況下，云計算中的安全控制與其他所有IT環境中的安全控制并沒有什么不同之處。但是，由于云計算服務模式方面(即，用于實現云計算服務的運行模式和技術)的原因，云計算的風險是不同于傳統安全服務的風險的。云計算中的安全性要求使用一組不同的工具來徹底地監控和跟蹤企業的安全態勢。

在云計算服務模式中，供應商和客戶的安全責任是相當不同的。例如，Amazon彈性云計算(Amazon EC2)基礎設施即服務產品最多只對管理程序的安全性承擔責任，這就意味著Amazon可以只負責諸如物理安全、環境安全以及底層平臺虛擬安全這樣的安全控制?？蛻舯仨殲榕cIT系統相關的安全控制負責，其中包括了操作系統、應用程序及數據。

對于Salesforce.com的客戶資源管理軟件即服務產品來說，就大大不同了。因為Salesforce.com提供了整個“棧”，所以供應商不僅要為物理與環境安全控制負責，而且要為解決基礎設施、應用程序和數據的安全控制問題負責。

對于如何分解承擔信息安全的責任，幾乎每一家云計算供應商都有著不同的看法和做法。這也就難怪企業經常很難管理云計算服務的安全性了，因為他們的云計算服務來自于不同的供應商，而這些供應商們所制定的規則和責任條款也是大為不同。這就是云計算管理平臺出現的原因。

云計算管理平臺的功能

云計算管理平臺是一個基于網絡的簡單直觀用戶界面(或者在某些情況下，它是移動設備的一個應用程序)，它可以讓企業的IT團隊和信息安全團隊快速地訪問和查看云計算資源。一個IT管理員能夠登錄界面并查看該企業云計算使用情況的快照，其中包括所部署的實例、正在運行的應用程序以及已使用的網絡帶寬。

例如，使用Amazon網絡服務管理平臺，用戶可以通過一個基于網絡的用戶界面訪問和管理他們的AWS使用情況。管理平臺能夠讓用戶在AWS云計算中以一種輕松的方式來快速部署和管理應用程序，而無需放棄對底層云計算資源的控制。它還能夠自動處理容量管理、負載平衡、自動規模調整以及應用程序健康狀況監控等細節性事務。

因為大多數這些云計算管理平臺都在管理云計算運行的同時提供了大量的數據和信息，所以IT管理團隊與安全團隊實現云計算管理平臺的共享使用是公司的一個雙贏策略。云計算管理平臺能夠讓管理團隊和安全團隊使用與云計算安全管理任務相關的數據，例如定義特定的健康、風險以及容量閾值;警告類型和通知;以及許多其他的配置設置(例如，根據關鍵業務應用程序的需要在不同層次(如網絡層、操作系統層或應用程序層)修改文件系統或系統參數以調整業務活動的優先級)。可以直接使用這一數據而獲知目前云計算的安全態勢，并支持正在進行的滿足合規性要求的工作。

很多云計算管理平臺提供了一定程度安全細節信息，它可擴展至每一個實例。例如，VMware公司的vCenter提供了現成的模板以確保對安全最佳實踐、安全標準、系統加固指南以及監管要求的持續性支持。

云計算管理平臺：是自己構建還是去采購?

如今，大多數的管理平臺都是由云計算供應商他們自己提供的，因此都受限于各自供應商所提供的服務。但是，現在也逐漸出現了越來越多的第三方云計算管理工具供應商，如RightScale、enStratus、Nimbula等以及其他正在開始涉足云計算管理領域的傳統系統管理與數據中心監控供應商。

少部分的云計算管理供應商提供了內置的安全功能。Nimbula提供的工具可用于跨內部資源池(包括了虛擬化計算資源、網絡資源、存儲資源以及如Amazon EC2這樣的公共云計算資源)的云計算構建、管理、規模調整以及安全性保障等應用。

潛在云計算管理平臺購買者應尋找的功能實際上取決于購買者本身以及他們主要業務在市場細分中的位置。一個企業應當在選擇供應商之前就設計好自己的云計算架構需求。這就能夠避免產生多個云計算孤島以及相關的集成與復雜性方面挑戰。在選擇產品之前，他們應當確認他們知道他們主要的通用標準(例如對公共云計算和/或私有云計算的異質性和支持)和安全標準。

提供這些服務的供應商數量在不斷地增長中，但是還沒有一個供應商能夠為每一家企業的不同云計算安全管理需求提供一個完整的產品。為了滿足他們的云計算管理和安全管理需求，企業可能需要整合多個工具或者對他們所選擇的產品進行定制改造。我們還需要指出的是，構建一個企業自己的云計算管理平臺也不容易;它要求為相關技能和資源做出大筆的投資，因為云計算技術還是一個新興技術，在短期內還可能有進一步的發展，所以購買一個供應商產品的決定很可能會演變成為一個考驗時間意識和成本意識的決策行為。

管理和設計一個云計算管理平臺

在云計算管理平臺上使用與安全相關的數據，并將其整合至現有的安全管理工具和更大的安全管理方案中將是一個資源密集型的任務。要做到這一點，企業必須開發出一個框架或架構來定義一套標準，以便于指導云計算管理平臺和所有支持整合工作的部署、運行和操作。

更具體地說，實施云計算管理平臺的企業應當采用一套方法來制定一個以風險和機會為重點的、可反映關鍵業務首創精神的安全與信息保障體系。例如，考慮使用Sherwood商業應用安全架構(SABSA)的框架，這是一套開發風險驅動型企業信息安全和信息保障架構并提供安全基礎設施服務的方法。

SABSA框架提供了一個6×6的矩陣(橫坐標的六項代表了什么、為什么、如何、誰、哪里和何時的5W1H，而縱坐標的六項分別代表了一個觀點，從“業務觀點”(上下文層)到“IT專家”或“商業觀點”(組件層))，其中每一個矩陣單元則代表了安全架構中的一個組件，整個矩陣描述了企業的完整安全架構。

在安全管理中的重要一員就是“大數據”，獲得大量不同的數據，使用有意義的模式來關聯、分析和挖掘這些數據，或者甚至是識別高級的持續性威脅或APT式攻擊。雖然大數據是一個令人興奮的機遇，但是它仍然是一個新興事物。然而，企業應當考慮在今后三到五年時間里他們可能會尋找和實施哪種與安全性相關的大數據分析項目，并確保他們有一個規劃以便于整合企業所選擇的任一種云計算管理平臺。

結論

在一天結束的時候，云計算管理平臺應當能夠提供一系列確?？焖佟⒎奖愫椭庇^訪問信息的功能，并向企業業主、首席信息官和首席信息安全官提供有價值的數據，從而使他們能夠迅速做出業務決策和風險平衡指令。這個管理平臺應當有一個可定制的、具有豐富圖形的工具板，它能確保對業務和技術觀點進行量身定制以提高組織內部合適人員的洞察力。它還應當能夠在驗證攻擊和業務風險的基礎上提供一個關于公司整體安全態勢的論述，而它的地理與網絡視圖則能讓用戶維持對其組織責任和合規性狀態的認識。