Interop會議的參加者本周四聽說，如果你認(rèn)為滿足安全審計要求是很難的，如果你要把你的數(shù)據(jù)放在云計算中，你要設(shè)法通過這種審計。

　　Savvis負(fù)責(zé)安全服務(wù)的副總裁Chris Richter領(lǐng)導(dǎo)一個云計算安全小組。他說，審計人員的任務(wù)是讓企業(yè)保持一個定義良好的標(biāo)準(zhǔn)。這些安全標(biāo)準(zhǔn)不僅僅是為云計算環(huán)境存在的。因此，審計人員要慎之又慎。他們需要非常嚴(yán)格，因為對于審計沒有明確的政策。

　　這些規(guī)則應(yīng)該與時俱進(jìn)。但是，這些規(guī)則目前還不存在。因此，企業(yè)需要謹(jǐn)慎對待他們要提交給云計算的數(shù)據(jù)類型，要保證數(shù)據(jù)符合遵守法規(guī)的標(biāo)準(zhǔn)，例如，保證在這些標(biāo)準(zhǔn)中能夠可驗證地處理HIPAA、PCI和Sarbanes-Oxley等法規(guī)要求的事情。

　　Richter說，審計人員要看到云計算的內(nèi)部情況。這是許多云計算提供商不允許的。許多云計算提供商對于自己的物理架構(gòu)、政策、安全、虛擬局域網(wǎng)架構(gòu)和其它重要的因素都是保密的。如果你看不到數(shù)據(jù)是如何流動的，虛擬局域網(wǎng)是如何分段的，看不到你的數(shù)據(jù)是如何與其他人的數(shù)據(jù)分開的，你就不要允許做這個事情。

　　Richter說，使這個問題變得復(fù)雜的是身份識別和訪問管理是如何處理的，這樣，非授權(quán)用戶就不能進(jìn)入企業(yè)云計算中。他說，我還不知道任何人在云計算中實現(xiàn)了真正有效的身份識別和訪問管理。

　　這就是說，他認(rèn)為對于最敏感的信息使用專有云計算是可能的。他說，我知道最強(qiáng)大的專有的云計算。我有信心把我的最有價值的數(shù)據(jù)放在那里。這樣做的部分原因是企業(yè)在專用云計算中能夠保留對數(shù)據(jù)、應(yīng)用程序和基礎(chǔ)設(shè)施的控制水平。你可以更相信你做的事情。

　　無論一項云計算是否得到企業(yè)的信任和是否能夠得到審計人員的批準(zhǔn)，保護(hù)數(shù)據(jù)的責(zé)任仍在企業(yè)身上。外部應(yīng)用程序、平臺或者基礎(chǔ)設(shè)施并不能把責(zé)任外包出去。

　　如果一個云計算提供商被人們普遍認(rèn)為是遵守安全標(biāo)準(zhǔn)的，這并不意味著使用這個云計算服務(wù)的個別企業(yè)也會符合標(biāo)準(zhǔn)。正式你的最終用戶要為遵守法規(guī)負(fù)責(zé)，而不是服務(wù)提供商承擔(dān)責(zé)任。

　　Richter為計劃使用某種形式的云計算的企業(yè)制定了8個步驟，讓他們按照這些步驟從專有的傳統(tǒng)的基礎(chǔ)設(shè)施安全地過渡到云計算：

　　1.評估你的應(yīng)用程序。有些應(yīng)用程序與你的企業(yè)系統(tǒng)關(guān)系非常密切，不適用于云計算。

　　2.分類數(shù)據(jù)。確定什么是敏感的數(shù)據(jù)，什么不是敏感的數(shù)據(jù)。這個結(jié)果可以決定你選擇什么類型的云計算。

　　3.確定最適合你的云計算類型：軟件即服務(wù)、平臺即服務(wù)還是基礎(chǔ)設(shè)施即服務(wù)。

　　4.選擇交付方式。專有的云計算、自己管理的云計算、管理的或者外部的云計算、公共云計算、企業(yè)從高云計算、混合云計算。

　　5.指定平臺架構(gòu)。這應(yīng)該包括計算、存儲、備份、網(wǎng)絡(luò)路由、虛擬化與專用硬件等技術(shù)規(guī)范。

　　6.指定安全控制。這應(yīng)該包括防火墻、入侵檢測/預(yù)防系統(tǒng)、記錄管理、應(yīng)用程序保護(hù)、數(shù)據(jù)損失保護(hù)、身份和訪問控制、加密與安全漏洞掃描等。

　　7.政策要求。查看云計算提供商的政策，保證他們的政策符合你的要求。“相信我，每一個提供商的政策都是有很大區(qū)別的。”

　　8.查看服務(wù)提供商本身。服務(wù)提供商在地理上是不是分散的？用戶能自動配置嗎？服務(wù)提供商是否有足夠的容量滿足突然增長的需求？他們是否能夠監(jiān)視所有的用戶通訊以避免一個用戶不慎對云計算實施拒絕服務(wù)攻擊？服務(wù)級協(xié)議是什么？這個提供商的財務(wù)狀況穩(wěn)定嗎？