云計算改變了企業(yè)應用信息系統(tǒng)、以及如何達到安全風險管理和合規(guī)遵從的方式。

　　當信息安全規(guī)劃經(jīng)理辨認那些會影響企業(yè)安全策略的關鍵主題時，云計算無可爭議地從中脫穎而出。

　　困難的經(jīng)濟環(huán)境確實有助于讓云計算變得更有說服性。因為按需的資源是動態(tài)可擴展的和靈活的，這對于大型和小型的企業(yè)來說極具吸引力，且無疑會繼續(xù)改變我們應用信息系統(tǒng)的方式。

　　對于每個努力保護組織的網(wǎng)絡用戶和數(shù)據(jù)的人來說，遷移到云計算會引起巨大的變化和挑戰(zhàn)。合規(guī)要求最有可能會妨礙企業(yè)遷移它所有的數(shù)據(jù)和操作到云上，所以，事實上這個轉變是額外的安全挑戰(zhàn)，位于保護現(xiàn)有的網(wǎng)絡基礎設施之上。遷移到云上，要求數(shù)據(jù)和應用放置在已完善建有邊界防御和物理訪問控制的區(qū)域之外。隨著不受到HR控制的用戶數(shù)量的增加，如供應商、客戶和合作伙伴，都會通過基于Web的協(xié)作工具來訪問你的數(shù)據(jù)。IT管理員已經(jīng)疲于確保訪問公司網(wǎng)絡的移動用戶的安全，而云計算又是一個完全不同的規(guī)模。

　　對于我來說，關鍵的安全挑戰(zhàn)之一，是如何對位于企業(yè)防火墻之外的員工、客戶和合作伙伴進行有效地管理和執(zhí)行訪問控制。云計算把我們都變成遠程的工作者，且按定義來說，云應用和數(shù)據(jù)都位于企業(yè)之外。這意味這你不能再依賴多層認證、防火墻和其它邊界防護來為你完成工作。

　　從戰(zhàn)略角度來看，管理這些挑戰(zhàn)需要很多行動。必須評審和加強HR的安全策略以便他們來執(zhí)行健全的用戶管理生命周期。詳細的身份和訪問管理策略也必須到位，一個能充分利用聯(lián)合的身份管理，一個能讓用戶跨自治的安全域安全地訪問數(shù)據(jù)或系統(tǒng)的安排。我建議在你的企業(yè)應用內啟用單點登錄（SSO），并利用這個架構來簡化云提供商服務的集成和實施。

　　云計算同樣要求更加可靠的因特網(wǎng)連接，所以即使是微小的操作也會需要建立某種形式的冗余性，來確保數(shù)據(jù)和應用一直都可用。無論如何炒作，云服務仍然是十分不成熟的，有一些或其它形式的運行中斷狀況發(fā)生。有些可能很容易破產(chǎn)，它是一個處于脆弱的經(jīng)濟環(huán)境中的新興行業(yè)。多個服務提供商會提供你更好的網(wǎng)絡多樣性和業(yè)務連續(xù)性，所以任何基于云的項目應該采用廠商中立的應用和數(shù)據(jù)架構。這包括以獨立于云方式的備份，和一個獨立的機器鏡像。你需要盡可能地讓這個轉變是簡單的，或者有應變計劃可以將操作回撤到內部運行的云環(huán)境。盡管云計算可能會減少一定的連續(xù)性問題，但它永遠不會消除行之有效的業(yè)務連續(xù)性計劃的需要。

　　在不久的將來，基于云的服務和云計算技術會經(jīng)歷激增且長時期的攻擊，因為對于黑客和網(wǎng)絡恐怖分子來說，它們是具有吸引力的目標。因此，建立一個數(shù)據(jù)加密策略并實施技術來支持它，是最佳的主動防護措施。被加密的數(shù)據(jù)本質上是受到保護的，這也是為什么這么多法律和合規(guī)強制實行這個實踐。加密也允許你區(qū)分角色和數(shù)據(jù)，當加密密鑰控制訪問你的數(shù)據(jù)時。

　　不斷地，你會看到很多新的基于云的服務上線，許多為企業(yè)帶來了可觀的經(jīng)濟回報。一些無疑會改變長期建立的風險與回報關系。而且當評估轉變?yōu)榛谠品盏耐顿Y回報率（ROI）時，你會需要評審組織的業(yè)務策略和對于風險的態(tài)度。云計算正在改變信息系統(tǒng)，所以要確認考慮到，如何在任何新的業(yè)務流程中融入安全，從而使基礎設施、數(shù)據(jù)和用戶繼續(xù)受到防護。

　　三個主要的風險管理挑戰(zhàn)

        盡管云計算可能支配IT策略向前發(fā)展，安全經(jīng)理還是需要關注其它領域。當然，和云計算緊密相連的是虛擬化技術。這個行業(yè)仍然奮力為虛擬化環(huán)境定義安全最佳實踐，因為應用和數(shù)據(jù)從單獨的服務器遷移到在線的網(wǎng)絡上。跟蹤事態(tài)發(fā)展在安全控制方面的發(fā)展是重要的，以及對這些系統(tǒng)的威脅。

        智能手機是網(wǎng)絡環(huán)境外安全經(jīng)理仍在致力于完全控制的另一方面，我們開始看到對移動設備有效的攻擊，并且它們會變得更加流行。不會消耗完電池或CPU的安全軟件會成為必不可少的部分。

        最后隨著VoIP使用的增長，有組織的罪犯們會發(fā)起許多攻擊。系統(tǒng)管理員需要更加關注VoIP隧道的安全，使用加密而不是修補服務的質量。

　　是的，安全是一份永遠不會結束的工作。

原文鏈接：http://www.searchsecurity.com.cn/showcontent_49175.htm