摘要：无论您是一个依靠Google Docs进行文件共享的小企业，抑或向云中迁移全球ERP系统的大公司，您应该要求供应商基于Web提供的应用程序和服务，遵从一些常见的安全和法规要求。这些要求涉及到谁可以访问您的应用程序和数据，以及登录他们的系统;数据存储于何处，是否是专用的，而不是共享的硬件。

　　您的云需求取决于您的企业标准和您的合规需求，您迁移至云的工作负载的数量和类型，以及您是如何划分您的工作人员和您的供应商之间的管理和安全责任。取决于您是否使用软件作为服务(SaaS)、基础设施作为服务(IaaS)或平台作为服务(PaaS)，云产品安全性的要求也各不相同。但您至少应该在您的云安全计划中考虑以下的每一个问题。
　　
　　确保云安全云服务提供商须解决六个问题
　　
　　1、谁的身份认证/访问控制？
　　
　　证明用户是谁，控制他们可以看到的数据，他们可以执行的功能，都是基于根据他们的身份，几乎每个接受采访的云用户都将其作为首要任务。身份验证是最具挑战的，当你将用户信息和控制权限保留在于防火墙内如ActiveDirectory这样的库中，而服务器和应用程序放在云中。
　　
　　理想的方案是“联合”的身份管理准入制度，池认证信息全从您的企业的系统中来，内部的和外部的。这允许任何用户的即时认证，只要他提供正确的凭据，如密码或密码和令牌。它还提供了单点登录，使用户能够在企业内部和在云中，用一个单一的用户名和密码，访问他们的应用程序和数据。顶级SaaS提供商，凭其基础设施足以提供单一登录的服务，让大客户本身作为标识提供方(IdentityProviders)，许多规模较小的服务提供商和他们的客户缺乏这些能力，ForresterResearch分析师EveMaler说。
　　
　　不过，由于联合身份管理成本昂贵实施繁琐，许多组织采用“同步”的做法，即在不同的应用程序维护用户的身份验证信息的不同副本，Maler说。通过散布在多个地点和公司的用户凭据数据，这可能危及安全。它还会在雇员访问内部系统和访问基于云的应用撤回之间的造成延迟，酿成安全隐患。
　　
　　另一种身份验证的选择，是云服务提供商直接连接到公司存储的用户信息，Maler说，“也许是比同步更安全”，但仅适用于你只有一个相对简单的系统。这是医疗保健供应商HCRManorCare采取的路线。HCR信息安全总监ThomasVines说，在过去7年，他已经习惯了该公司的电子病历系统放在云上，这“很舒服”。Vines说，他允许从Zscaler(Zscaler也检查网站是否有恶意软件，控制用户可以访问哪些网站)一个基于云的安全服务来访问他的ActiveDirectory，以确定对哪些用户进行身份验证并给予他们什么级别的访问权限。
　　
　　IaaS的实施，在客户购买云中使用服务器的情况下，服务提供商简单的链接到LDAP目录可能就足够了，NetIQ公司云产品管理的主管TomCecere说。他表示，这是因为通常管理角色数量有限。例如，一个角色可能包括用户可以创建新的服务器，第二个角色可能涵盖了更广泛的设置，可以扩展服务器的能力，第三个角色则可能包括可以使用服务器较大的一群人。
　　
　　许多供应商，包括Symplified、Okta和PingIdentity，提供Maler所说的“联合的简化方式”的单点登录，通过将用户的访问请求重定向到一个基于云的身份验证过程中，支持所有客户使用的基于云的服务。
　　
　　下一个挑战是，确保用户只可以访问他们被授权的应用、数据或功能。并不是所有的组织都指定相同的访问水平，Maler说，提供客户需要的水平的细节更为关键。
　　
　　2、位置是否安全？
　　
　　云计算允许数据在用户不知情的情况下被转移到最具成本效益的位置。但是，为安全保障起见，客户应该知道他们的数据的位置。IT基础设施和金融信息安全服务提供商WilshireAssociates副总裁GaryLandau，希望云供应商提供冗余站点的复制，“但我也想知道，(数据)将会到哪儿，因为我不希望我的数据被迁移”至一个缺乏强有力的法律保障的国家。
　　
　　关注文件安全性的云客户，可以使用像WatchDox这样的SaaS工具，授权谁可以查看其基于云的文件和跟踪谁访问这些文件。据国防制造CVG战略顾问业务发展副总裁KevinGholston表示，比起繁琐的数字版权管理软件，WatchDox更容易使用。
　　
　　制药公司AMAGPharmaceuticals执行董事，NathanMcBride说，AMAG制药24小时依赖于云服务提供商的主机上的所有敏感应用和8TB的数据，包括制造工艺和质量控制的相关信息。他为Google企业应用套件GoogleApps使用CloudLock(原Aprigo)限制用户访问文档，当用户离开公司，使用CloudLock将文件所有权转移给另一名雇员。这样避免了手工找到每个文件并改变访问权限的需要。
　　
　　3、如何进行审计？
　　
　　证明您的应用程序和数据满足企业、行业和政府标准需要审计和报告。Vines对每一个HCR关键应用提供商做了一个季度审计，涵盖了从软件更新到用户帐户合法性，其控制要遵循HIPAA和Sarbanes-Oxley(萨班斯·奥克斯利)。他说，多年的经验和审计与安全组之间“手牵手”的合作意味着审计只需要一个职员一个季度的时间。“一旦我们介入，这是有据可查的，并且不是临时性的，”他说，他的团队针对突出问题积极开发脚本和流程。
　　
　　AMAG的McBride使用的每个云供应商都必须严格遵循FDA的数据安全要求，其中要求对供应商的设备和流程进行多日的现场审计。
　　
　　经常被引用作为安全保证的SAS70标准，仅仅列出供应商的控制已经就绪，而不是如何实施这些管制措施。美国医院协会技术解决方案和运营IT主管KarthikChakkarapani说，他们通过移动应用程序使用云中的CRM系统，一切的工资单和数据都从中产生。SaaSIT管理厂商ServiceNow的IT安全主管JasonLau提出，以ISO27001作为更严格的替代规则。
　　
　　存储厂商EMC首席治理官、云安全联盟(CSA)战略委员会主席MarlinPohlman建议，使用的SOC2和鉴证业务(SSAE)第16号，而不是通过SAS70标准。CSA的安全修正案在其云控制矩阵(CloudControlsMatrix)中也提出了一个安全原则，让云供应商为其“安全、信任与保证注册项目”(SecurityTrustandAssuranceRegistry，简称“STAR”)，在第四季度完成用户的安全问卷。这将为用户提供一个供应商应遵循的安全准则的可行范本，Zscaler首席执行官、CSA联合创始人JayChaudhry说。
　　
　　Chakkarapani建议，在任何情况下，要提出详细的问题，诸如系统和数据存储于何处，数据是如何存储和加密，数据的读取和写入的确切路径。此外，还要确认管理员可以访问您的哪些系统，以及如何控制他们的访问。
　　
　　根据NetIQ公司的Cecere表示，单一标志能力消除了多个用户名和密码的混乱，同时也可以捕捉用户的所有操作而不管他们登录系统所使用的凭据，提供更完整的审计。
　　
　　像Core Security Technologies和nCircle公司这样的供应商，他们允许用户进行漏洞扫描。许多企业都希望做和内部操作一样的扫描，看到云提供商出具的报告，如同查看自有数据一样，nCircle首席技术官TimKeanini说。但有些人认为，通过模仿攻击，测试本身可以中断供应商的服务。也有人说扫描是不完整的和不准确的，McBride说，“一个肯定带来(与供应商)关系凹痕的方式”。Pohlman建议以侵扰程度较低的方法来评估提供商，通过由美国国家标准与技术研究所(NationalInstituteofStandardsandTechnology)开发的安全内容自动化协议(SecurityContentAutomationProtocol)。
　　
　　4、我的数据是否在专用硬件上？
　　
　　许多云供应商兜售他们的“多用户”架构，这个架构中多个客户的数据和应用程序共享相同的服务器或存储，以此作为解决成本、可扩展服务的方式。但客户有时需要确保其数据在自己的专属平台上，与其他客户的数据安全隔绝。
　　
　　Heartland Payment Systems公司首席技术官Kris Herrin说，他坚持认为，供应商应让他选择将哪些应用程序部署在专用的硬件上，哪些可以共享系统。Herrin为诸如在虚拟服务器上运行的应用程序选择专用的选项。他希望额外的安全，因为即使依照Heartland的规则，管理的超级监督者(hypervisor)是IaaS供应商，而不是自己公司的工程师。
　　
　　5、谁在看管商店？
　　
　　ServiceNow的Lau表示，客户往往“要明确地知道所有下游涉及的第三方厂商”。
　　
　　“SaaS提供商可能看起来像一个大公司，但它只是使用另一个托管设施的一个小商店？”他说。
　　
　　Lau建议搞清楚供应商公司的详细情况，比如办公园区所在地，其安全团队的规模，安全是否作为他们的全职工作。“索要他们的安全政策和标准的副本，”他说。“如果他们不能提供，他们可能不具有安全方案。”
　　
　　6、数据如何加密？
　　
　　数据加密或伪装，是任何安全政策的核心部分。但必要的加密类型，及其如何应用，取决于不同的客户如何使用云。
　　
　　加密是Herrin的“脱离数据中心和硬件业务”计划的核心，该计划使用云服务提供商提供应用程序，但由他的工作人员来管理。他用电压安全配合应用程序加密的方法，客户在零售商处刷卡时，分割处理客户的信用卡各部分号码。该方法使他获得云成本的节省，而不必担心每一步是否符合保护客户的信用卡号码的支付卡行业标准。因为完整的信用卡号码是不可读的，他说，过程是不符合PCI要求。
　　
　　信息安全主管、纽约Visiting Nurse Service首席信息安全官Larry WhitesideJr.，坚持为在用户和云应用程序之间流动的数据、以及相关的加密证书，采用1024位加密。在静止的数据加密是可取的，但对一个组织不是强制性的，假设它的其他安全控制措施到位，如数据混淆和使用单独的SQL实例甚至物理机。
　　
　　避免不愉快的意外发生的一种方式，是确保您的IaaS供应商，针对服务器和存储设备的报价，处理所需的加密级别不会降低应用程序的的速度。Pohlman建议咨询FIPS(联邦信息处理标准)140-3指南，以确定每个组织和司法管辖区所需的加密级别。您还应该确保提供商的灾难恢复计划保护的不仅是加密的数据，还包括使用数据所必需的解密密钥，Vines建议。
　　
　　一旦已采取一切预防措施，安全的关键在于人。有些用户觉得，比起他们能做到的，云供应商可以保持更好的数据安全，因为他们拥有更多的金钱和股份。
　　
　　相比信任自己的员工，“他们可能会做15种不同的东西”，除了安全，McBride说，他对依靠云供应商更有信心——“其工作依赖于”确保客户的数据安全。
　　
　　责任编辑：Alice