用好云需先把安全策略定好

采用云计算只是时间早晚的问题,而不是采用与否的问题。现在你要做的就是为云计算的安全未雨绸缪。制定好安全策略,把该和供应商落实的早落在纸面上是明智的。

——罗杰·格兰姆斯

如果有人说“云计算”只是一个流行词汇,会随着时间的推移渐渐淡出历史舞台而最终注定失败的话,请不要相信这些鬼话。

目前的真实情况是,云计算已真切地出现在你的面前,公司和政府都竞相加入云计算大军,因为由此节省的支出相当惊人。但如果你不努力对其实施安全保护的话,恐怕你就会在不远的未来掉队了。

成为一个电脑安全领域的专家是世界上最困难的工作之一。在计算机世界里,技术更新的速度使你不得不每两年就要学习并掌握一项新兴的技术,而且依据你最新成果来评估你所取得的成绩,没人关心你是否曾经是宏病毒领域的“达人”,亦或你是否可以反汇编VB Script蠕虫。现在你的老板最关心的就是在云计算到来的时候,你能否抵御黑客,为云计算做好安全防护。

从纯安全性的角度上看,如果你希望云计算的安全可以得到更好的定义,从而使你能帮助你的老板做出更好的决策,那么,接着做梦吧。像之前的即时通信软件和社交网站一样,云计算发展的速度会比你看到的更快,很可能在你还没有准备好的情况下(还未得到准确定义的时候)就已经达到了一定高度。在我们仍然在讨论云计算的定义以及如何保证其安全性等问题的时候,它已逐渐被采用了。

因此,还是赶快开始和IT前沿厂商谈论如何在你的公司部署云计算吧。需要多长时间部署?哪些应用程序首先开始,电子邮件、文档处理还是其他部分?公司是否既需要内部云,也需要外部云?

在所有与此相关的决策中,第一步要做的就应该是开发你公司关于云计算的安全策略。云计算提供商会多久备份一次你的数据?而恢复数据又需要多长时间?你的数据到底被存储在何处:国内还是国外?你的数据是否和其他人的数据放在一起?是不是在同一个数据库中,或者同一个服务器亦或是同一个磁盘中?云提供商为云打补丁的周期是多长?提供商是否在开发过程中使用了SDL(安全开发生命周期)过程?云提供商所提供的意外响应计划是什么?你的云提供商会将所有变动都记录为日志形式吗?最重要的是,你如何才能独立辨别你的提供商所说的话是否可信?

你要尽可能地从云提供商那里询问到更多,让它们给你最好的管理建议,并在与提供商的协议上写清你的公司能接受的以及不能接受的都是什么。这样,在云计算不断向前推进的同时,无论有什么变动,那些关键事项已在协议上了。

当你的老板向你询问企业是否需要采用云计算的时候,你想要怎么回应呢?采用云计算,只是时间问题,而不是采用与否的问题。而现在你要做的,就是开始为云计算的安全未雨绸缪。