若你拥有自己的数据中心，那么你可以在服务器之间运行诸多安全设备和进行各种安全操作，如扫描网关、日志采集与监控或是进行入侵检测与攻击预防等工作，还可以架设某种防火墙等等……

　　而当你不再直接控制基础设施时，又该如何保证其安全性呢?对所有内部部署的安全功能你又将如何进行测定呢?

　　云安全选择

　　通过两种方式可以来解决上述问题。例如，若是你的基础架构运行在亚马逊的AWS上面，你可以访问AWS APIs对其进行远程监控，或让一个安全托管服务提供商(MSSP)来代替你进行相关维护。(如果你卸载云当中的某些基础架构，那么也就意味着服务管理提供商也会卸载诸多相关安全功能。)

　　微软的Azure的情况也是类似的。你(或者MSSP)可以远程监控你的基础架构或选择使用Azure的安全解决方案。以此类推，其它云服务提供商所提供的选择项目也是大同小异。

　　还有一种更为浅显的方法，就是尽可能地复制你数据中心自己的安全配置。你可以在适当的云基础设施上进行虚拟安全设备软件实例化设置。包括飞塔、戴尔SonicWALL和思科在内的大量安全厂商可提供这类虚拟设备。

　　不过，你不能进入云服务供应商的抽象层，也不能左右他们进行设备的安全检查，但这在你自己的数据中心中是可以绕过的。

　　这意味着你必须审核且信赖你的云供应商。你要相信你的云供应商能够从外部来保护你的服务器(和其他云客户)。通过ISO 27001、PCI-DSS标准和年度SOC1审核结果等认证来考察、确认他们所做的事是否正确。

　　那么云安全的实践工作又是怎样的呢?或许北卡罗来纳州的退休服务专家——退休交流中心可以帮你了解相关内容，该公司最近已将基础设施迁移到了云端。

　　安全托管服务的应用

　　退休交流中心拥有超过3.8亿美元的管理资产，并且其他公司在遭受大规模安全攻击时，他们早已获得了相关消息，并进行了防范。该公司CIO麦克·古德爆料了一个消息，他们是通过使用安全托管服务提供商所提供的Alert Logic来监测其云基础设施的。

　　过去，古德的工作人员往往是通过监测他们自己的数据中心日志来达到防范安全的目的，可他们也承认这不是一个非常有效的方法。“这并不是说我们不够勤奋。”他说。随着设备与应用逐渐迁移到云端，尽管退休交流中心的日志仍然由内部人员来监测，但同时也经由Alert Logic来监控。“在Alert Logic监控我们日志的同时，我们还具备SOC2这么个家伙。”古德解释道。

　　将他们的基础设施迁移到云端的一个额外好处就是他不需要再将一部分安全预算用于安全顾问的外聘上。“我们曾雇佣这些顾问来进行网络入侵演习，这个项目非常昂贵，花了不少钱。”他说。

　　古德讲道，在Alert Logic监控日志的同时，还可提供基于云的网络威胁入侵检测管理系统，这是一个非常有效的防御方法，在可疑的网络活动变得更为严重之前，我们就可以提早采取行动。例如，Alert Logic曾经发出过一则警告，它检测到佛罗里达州的服务器正在进行ping操作。“我们意识到正有人通过一个稳定的频率尝试链接我们，所以我们在防火墙那里将其封锁住了。”古德说。

　　佛雷斯特研究所的安全分析师——埃德·费拉拉说，对云安全来说由MSSP提供服务是一个好主意，而远远不是一个挑战。这是因为许多公司，尤其是一些较小的公司没有足够的能力和带宽来支持这类安全需求。“这种典型规模的企业对于日志监控工作并不在行。”他说，“许多公司在30天之后才滚动自己的日志，实际上这已经失效了，根本无法进行取证。”

　　当然，MSSP还提供了其它一系列安全服务，比日志监控提高了更多的安全性。例如Solutionary和SilverSky公司，Alert Logic就能满足这类规模较小的企业安全需求，但一些MSSP操控了全球多个网络运营中心，也为超大型国际企业提供安全保障。

　　也许最重要的问题是云安全措施是否与本地数据中心的安全防范一样好。费拉拉指出，“云安全关键的实际问题是——你不拥有抽象层-虚拟机管理等相关设备的管理权限。”这意味着你必须要信任云提供商，并考量他们的信誉以及核实相关认证。

　　“当然，如果你选择一个像惠普、IBM、微软和Rackspace这样信誉度高且资金雄厚的云供应商，那么对于确保你的架构安全是非常有利的。”他补充道。

　　正确的数据中心设计与架构也不见得比云计算的一砖一瓦更安全。实际上，云计算反而更具有优势。“你有机会获得更为完善的云架构设计(安全)因为其在云端更易于重新配置，完善设计。”他说。

　　责任编辑：余芯