首席信息官(CIO)和首席信息安全官(CISO)們承受著壓力，要重新設(shè)計(jì)他們的信息安全策略以適應(yīng)新的商業(yè)模式：虛擬云計(jì)算環(huán)境。在該環(huán)境中，資源被共享且可轉(zhuǎn)移。

　　這些技術(shù)主管正在設(shè)置新策略，并投資新技術(shù)以考慮公共和私有云的彈性、自服務(wù)供給和共享數(shù)據(jù)的基礎(chǔ)設(shè)施。隨著用戶開(kāi)發(fā)了用于防火墻之外(甚至在防火墻內(nèi))的第三方服務(wù)，以實(shí)共享環(huán)境中的協(xié)作，用于身份管理的新的策略和系統(tǒng)正在設(shè)計(jì)中。此外，需要確定數(shù)據(jù)安全和隱私監(jiān)測(cè)的新界限，牢記遷移到一個(gè)虛擬云環(huán)境將如何影響合規(guī)性。

　　馬薩諸塞州沃爾瑟姆的Raytheon公司的公共領(lǐng)域并沒(méi)有冒險(xiǎn)使用云。為實(shí)現(xiàn)成本節(jié)約，這家國(guó)防設(shè)備制造商正在開(kāi)發(fā)共享的、私有的"云類(lèi)型服務(wù)",如果它和它的合作伙伴可以就美國(guó)空軍、陸軍和海軍喜歡的新的程序和產(chǎn)品進(jìn)行測(cè)試、構(gòu)建和協(xié)作，那么該服務(wù)可以實(shí)現(xiàn)。

　　Raytheon公司的副CISO兼IT服務(wù)總監(jiān)Michael Daly說(shuō)："[在虛擬云計(jì)算環(huán)境中的]安全問(wèn)題和控制更復(fù)雜。不僅僅是管理簡(jiǎn)單的變更控制，還需要經(jīng)歷許多信任和祈禱：'嘿，防火墻控制隨著[數(shù)據(jù)或服務(wù)]遷移了嗎?當(dāng)生成和刪除這些虛擬機(jī)時(shí)，負(fù)責(zé)加密的[安全]密鑰得到維護(hù)了嗎?'"

　　當(dāng)談到共享環(huán)境的安全時(shí)，和許多其它的IT主管一樣，在這一點(diǎn)上Daly的問(wèn)題比答案多：隨著項(xiàng)目的啟動(dòng)和關(guān)閉，公司如何知道誰(shuí)需要訪問(wèn)哪些信息?用戶是否有權(quán)訪問(wèn)它?在私有云上參與開(kāi)發(fā)的各方如何就取消用戶配置達(dá)成一致?這種情況超越了云模型。他說(shuō)，在業(yè)務(wù)模式轉(zhuǎn)向業(yè)務(wù)共享資源，以在協(xié)作環(huán)境中開(kāi)發(fā)產(chǎn)品和服務(wù)方面，云說(shuō)到底是一個(gè)副產(chǎn)品或一種手段。

　　內(nèi)部和外部身份管理

　　企業(yè)用戶繞過(guò)IT部門(mén)登錄以訪問(wèn)虛擬云計(jì)算服務(wù)。因此，問(wèn)題變成，誰(shuí)有權(quán)撥入和撥出云服務(wù)?

　　紐約人壽投資管理公司位于馬薩諸塞州的紐約人壽退休計(jì)劃服務(wù)(RPS)部門(mén)的IT團(tuán)隊(duì)已經(jīng)選擇了阻止訪問(wèn)第三方虛擬云計(jì)算服務(wù)，并在從自己的網(wǎng)絡(luò)轉(zhuǎn)移信息的風(fēng)險(xiǎn)方面教育用戶。

　　紐約人壽RPS的管理董事兼首席信息官Neal Ramasamy說(shuō)："我知道，[對(duì)用戶來(lái)說(shuō)],移動(dòng)到云服務(wù)非常容易，但隨之帶來(lái)了很大的風(fēng)險(xiǎn)。我和請(qǐng)求者一起坐下來(lái)，以了解為什么他們要訪問(wèn)第三方云。考慮我們的公司戰(zhàn)略，我的目標(biāo)是不要有四家不同的[云供應(yīng)商],而是挑選一家。"

　　當(dāng)Raytheon公司的IT部門(mén)標(biāo)記第三方的云服務(wù)請(qǐng)求時(shí)，Daly和他的團(tuán)隊(duì)解釋為什么把文檔上傳到Google Apps不是好主意。他們?nèi)缓笙驑I(yè)務(wù)用戶展示其他的安全選項(xiàng)，如公司批準(zhǔn)的EMC公司的Documentum系統(tǒng)。

　　Daly說(shuō)："我們要遵守ITAR [武器貿(mào)易條例中的國(guó)際交通]和其他法規(guī)，因此我們可以看到正上傳文檔和、信息和其他的東西到Google的人的位置，并且我們需要向人們展示正確的做法。"

　　Raytheon正轉(zhuǎn)移到私有云，為此建立了聯(lián)邦身份管理系統(tǒng)。這意味著，Raytheon公司將驗(yàn)證它自己的員工，但加入開(kāi)發(fā)項(xiàng)目的公司將負(fù)責(zé)它們自己的身份驗(yàn)證。

　　這聽(tīng)起來(lái)簡(jiǎn)單，但事實(shí)并非如此。Daly說(shuō)："我們必須在我們之間達(dá)成法律協(xié)議，并且讓我們的[云]開(kāi)發(fā)伙伴說(shuō)：'好吧，如果我們要檢查身份，你將以同樣的方式檢查身份',因?yàn)椴⒉豢偸侨绱恕?

　　遏制風(fēng)險(xiǎn)是在私有云背后的想法，但即使在一個(gè)私有云社區(qū)，企業(yè)也需要處理用戶的隔離、權(quán)限劃分、登錄和取消配置。Daly說(shuō)："你真的需要知道你最終的邊界，以最小化風(fēng)險(xiǎn)。我們并不需要地球上的每個(gè)人都有機(jī)會(huì)參加我們計(jì)劃的云服務(wù)，因此物理安全和更多傳統(tǒng)的IT安全防火墻規(guī)則是非常重要的。"

　　然而，這些預(yù)防措施也并不沒(méi)有合規(guī)。Gartner公司的研究副總裁Chris Wolf說(shuō)："廠商談跟隨用戶[通過(guò)聯(lián)邦身份]的跟隨我(follow-me)數(shù)據(jù)，采用加密技術(shù)將數(shù)據(jù)分散到不同的地方，但CIO們需要思考的是在云中的跟隨我的規(guī)定。有時(shí)敏感數(shù)據(jù)不能跨越邊界。"

　　位于馬薩諸塞州薩德伯里的SystemExperts公司的副總裁Richard E. Mackey說(shuō)，企業(yè)開(kāi)始考慮部署圍繞云服務(wù)的安全性實(shí)踐之前，它應(yīng)該問(wèn)"外包應(yīng)用程序用作什么?"和"誰(shuí)將要使用它?"他說(shuō)："當(dāng)有人稱(chēng)之為云計(jì)算時(shí)，許多變量決定你的安全性是完全不同的，這取決于您要部署在哪一種模式上：私有云、軟件即服務(wù)(Software as a Service)、基礎(chǔ)設(shè)施即服務(wù)(Infrastructure as a Service)還是平臺(tái)即服務(wù)(Platform as a Service)。

　　受惠于云提供商的安全實(shí)踐

　　選擇一家云提供商類(lèi)似于與其結(jié)婚，因?yàn)榭蛻羰褂锰峁┥檀_定的系統(tǒng)和安全政策。

　　企業(yè)如何監(jiān)控用戶對(duì)虛擬云計(jì)算服務(wù)的訪問(wèn)，取決于云提供商為其提供的接口。Mackey說(shuō)："一個(gè)請(qǐng)求回來(lái)并擊中你的網(wǎng)絡(luò)之前，[云提供商] 如何確保用戶是真正的用戶?另一種情況是，一些服務(wù)允許您使用您的谷歌或Facebook帳戶登錄。這樣不直接經(jīng)過(guò)[活動(dòng)目錄](méi),除非你這樣設(shè)計(jì)它。"

　　紐約人壽RPS的Ramasamy可以考慮為像電子郵件和Web服務(wù)這樣的非關(guān)鍵服務(wù)尋找云供應(yīng)商，他說(shuō)，但他想知道云提供商是否將為公司搭建一個(gè)私有云，在私有云中，沒(méi)有其他人能夠進(jìn)入該環(huán)境。如果環(huán)境被共享，資源如何被共享，且誰(shuí)可能靠近相鄰的資源集?提供商通過(guò)了什么安全審計(jì)，遵循國(guó)際安全委托授權(quán)的哪一部分?

　　Raytheon公司的Daly說(shuō)，合同談判期間的靈活性意愿將成為他的公司選擇云供應(yīng)商的一個(gè)決定性的因素。他說(shuō)："我不希望必須告訴[業(yè)務(wù)部門(mén)],他們不能外包的東西，因?yàn)槿绻覀冞@樣做，我們將失去保護(hù)，所以我要確保如果我們需要，我們可以[與提供商一起]改變我們的密碼復(fù)雜性，或把我們密碼改到356位。當(dāng)你轉(zhuǎn)向云安全時(shí)，靈活性將是合同管理的一個(gè)巨大的元素。"

　　還有一點(diǎn)要說(shuō)明的：如果一個(gè)企業(yè)要其數(shù)據(jù)安全托管于別人，它需要有一種方式可以測(cè)量該環(huán)境安全性能。Daly說(shuō)："如果供應(yīng)商不讓你這樣做，你可能不希望與他們達(dá)成協(xié)定。"