当前，云安全已经成为信息安全界的热门话题。随着云安全形势的发展，云安全的内涵在不断演变，新技术、新方案不断被整合入云安全的打概念之中。

无论是依靠Google Docs进行文件共享的小企业还是将其全球ERP系统转移至云计算的大企业，他们都应使供应商通过网络提供应用和服务满足其一般性安全和法规的要求。这些要求涉及到谁可以访问到企业应用程序、数据及其主管系统，数据的储存位置以及这些数据是否是专用，而不是在硬件上共享。供应商同样应确保用户了解其数据访问人的详细记录，以便用户满足企业及其监管标准，并验证数据是否正确加密，这是企业防火墙外更为重要的一个因素。

企业对云的需求取决于其企业标准和法规要求、转移至云计算所用工作负荷的总额和类型、如何划分员工和供应商之间的管理和安全职责。安全需求同样取决于企业是否使用了SaaS、IaaS或PaaS产品，但他们至少应考虑在其云安全规划中的以下问题。

谁拥有认证或访问的控制权?

能够证明用户的身份认证、控制其访问过的数据和执行的职能都取决于他们的身份和角色，具备能力几乎是每位云用户的当务之急。当企业在防火墙内使用会控制其云服务器和应用程序的像Active Directory 那样的储存库来维护用户信息和控制装置时，身份验证可能最具挑战性。

据业内分析师表示，最理想的解决方案是拥有一项“联合”的身份管理准入制度来集中所有部门系统内外的认证信息，以便及时验证任何出示正确凭据的用户，如密码或验证码。它同样也在企业内或运系统中提供了单一登录，让用户输入单一的用户名和密码就能访问其所有应用程序和数据。虽然SaaS上游供应商拥有基础设施，为大量自身拥有配置来充当“身份供应者”的客户提供了单一登录，但很多规模较小的服务供应商及其客户都缺乏这些供应能力。

然而，由于联合的身份管理可能成本太高或较难实施，因此很多企业倾向于“同步化”的方法，能使不同的应用程序维护用户验证信息的不同副本。这样通过在多个地点和企业间传播用户凭证数据可能会危及安全，此外，员工在退出内部系统和云应用程序之间的退出时间中延迟，从而造成潜在的安全缺口。

另一种验证选项是支持云供应商直接连接到企业的用户信息存储库，这可能比同步化更为安全，但只有在这些企业拥有一个相对简单的系统收集时才会有效。这也是医疗保健供应商HCR采取的方式，其信息安全总监Thomas Vines表示，他在过去七年都使用了一个基于云的应用程序来管理企业的电子病历系统，并声称这种方法很适合该系统。Vines允许一家来自Zscaler的云安全服务商接入其Active Directory的实施，以确定哪些用户需要认证以及给予他们什么级别的访问权。

NetIQ的云产品管理总监Tom Cecere指出，在一项IaaS的实施中，通过服务供应商简单地链接到LDAP目录，客户就能购买云服务器的使用权。这是因为通常只有数量有限的管理角色，例如，一个角色是可能包括创建新服务器的用户，另一个可能会涵盖广泛的能扩大服务器能力的设置，也可能包含仍使用服务器的较大企业群。

许多像Symplified、Okta和Ping Identity这样的供应商会通过一种“简化的联合方式”提供单一登录，这种联合方式将重新定位用户的访问需求，以支持所有云服务的云验证程序。

另一项挑战就是要确保用户只能访问其应用程序，或是在他们被授权的应用程序中的数据和功能。

不是所有的企业都要求在规格化的访问过程中拥有相同的间隔水平，但供应商提供的细节水平十分重要，而不是只依赖于通过激励访问来获得最大利润的供应商提供的相当“粗糙”的管理控制。Aveksa就是一家能提供更细化的访问控制、销售其软件给云供应商和云客户的供应商。

储存地点是否安全?

云计算在用户不知情的情况下将数据转移到最具成本效益的位置。但为了确保安全，客户应该清楚其数据的存储地点。金融服务供应商Wilshire Associates的IT基础设施和信息安全副总裁Gary Landau希望供应商能提供冗余网站的拷贝，但他也想知道其数据的储存位置，因为他不希望这些数据被转移到一个缺乏强有力的法律保障的国家。

担心文件安全的云客户可以使用像WatchDox那样的SaaS工具，让他们能控制其云文件的访问者及访问记录。据国防制造咨询公司CVG Strategy的业务拓展副总裁Kevin Gholston表示，WatchDox更易于使用，并且比数字版权管理软件更加简单。

据AMAG的IT常务董事Nathan McBride 指出，AMAG制药依赖运供应商来管理其所有24项敏感型应用程序以及包括制造程序和质量控制相关信息的8TB以下的数据。他将CloudLock用于Google Apps来限制授权用户访问文件以及在员工辞职后将文件过户到另一个员工。这就消除了寻找每个文件和改变访问者权限的人工操作。

何时进行审计?

在认证应用程序和数据都满足企业后，行业及法规都要求进行审计和做出报告。Vines会对HCR的每个重要应用供应商实行季度审核，涵盖了从软件更新到用户账户的有效性，以及符合HIPAA和Sarbanes-Oxley的要求。McBride表示，在审计和安全方面进行的多年经验和亲密合作，意味着审计只需要一名员工四分之一的日常时间，一旦进入审计程序，一切都是有据可查并且不是特定的，其团队开发的程序前瞻性地突出了问题。

每个McBride使用的云供应商都必须满足严格的FDA数据安全标准，其中就要求对其供应商的设备和操作流程进行多种现场审核。

美国Hospital Association承载了云计算中从CRM系统薪资单到移动应用的一切数据，其IT技术方案及运营总监Karthik Chakkarapani表示，虽然SAS 70标准被频繁地作为安全保证，但它只列出了供应商的适当控制，而不是怎样实施这些控制措施。SaaS IT管理供应商Service Now的IT安全总监Jason Lau提出了更加严格的ISO 27001标准。

云存储商EMC的首席官以及CSA(云安全联盟)战略委员会主席Marlin Pohlman建议使用SOC 2和SSAE No. 16来代替SAS 70标准，同时CSA也提出了一套在其Cloud Controls Matrix中的安全准则，并期望在第四季度推出云供应商完成的STAR(安全、信任及担保注册表)，以对用户进行云问卷调查。Zscaler的CEO和CSA的共同创始人Jay Chaudhry认为，这将给用户一份供应商要求遵循，并能对比云安全实践的格式。

Chakkarapani建议，在任何情况下，该问卷都应涉及哪个系统储存哪些数据、数据的储存和加密方式、读取和输入该数据的确切路径等细节问题。此外，还应找出哪个管理员能访问其系统以及这些访问权的控制方式是什么。

单一登录的性能消除了多个用户名和密码造成的混乱，同样也通过捕捉用户的行为来提供更多完整的审核，不管该用户登录的是哪个系统以及使用的是哪个凭证。

nCircle的首席技术官Tim Keanini表示，像Core Security Technologies和nCircle这样的供应商允许用户进行漏洞扫描，很多企业都希望在内部进行相同的扫描，并为其自身做出云供应商相关的相同报告。但McBride指出，有些人认为，通过模仿攻击，测试本身就能中断供应商的服务，也有人认为漏洞扫描不够完整和正确。一个可靠的方法就是减少与供应商的关系。Pohlman推荐了由美国国家标准与技术研究所开发的Security Content Automation Protocol，作为一种减少干扰的方式来评价供应商。

数据是否储存于专用硬件上?

很多云供应商吹捧其“多用户”架构，多样的客户数据和应用程序在该架构中共享同样的服务器或储存器，以此作为一种具有成本效益及可扩展服务的方式，但有时客户需要确保其数据在自己的平台上，并安全地保持独立性。

Heartland Payment Systems的CTO Kris Herrin坚决要求供应商让他自己选择哪些应用程序放到专用的设备上，哪些可以放进共享系统里。Herrin会将诸如运行于服务器上的应用程序放到专用设备上，他希望这些程序格外地安全，因为即使Heartland的规范，IaaS供应商也会管理监控程序。

谁来看管储存库?

Service Now公司的Lau表示，客户往往希望确切地了解涉及到的所有下游第三方供应商。一家SaaS供应商可能看起来是大型企业，但实际上只是一家使用另外托管设备的小型家庭经营型商店。

Lau建议通过了解供应商所处的办公园类型、其安全团队的规模以及该供应商是否专注于安全项目等详细问题来寻找真正具有一定规模的企业。询问其安全策略和标准，如果该企业无法提供，那么他们可能就没有一份云方案。

数据如何进行加密?

数据加密或掩饰是任何安全策略的核心部分，但加密需求的类型以及其实施方式可以根据客户如何使用云系统不断变化。

Herrin计划通过在供应商拥有的服务器上托管其应用程序，但由自己的员工管理这种方式来避免数据中心和硬件业务，而信息加密至关重要。他使用Voltage Security的应用程序将客户的信用卡号码部分译成密码。该方法让他取得云系统的成本效益，不必担心每一步是否符合Payment Card Industry保护客户信用卡号码的标准。因为所有这些号码都是不可读的，该程序不受PCI要求的限制。

纽约Visiting Nurse Service的首席信息安全官Larry Whiteside坚决要求对用户和应用程序之间移动的数据进行1024比特的加密及相关加密证书。假设其他安全措施正常运行，如数据模糊处理和单独使用SQL实例或物理器械，暂时不采用数据加密是可取的，但对企业并不强制实行。

避免令人不满的意外的一种方式是确保IaaS供应商对服务器和储存器的报价及时，以便在不放缓应用程序的情况下处理所需的加密水平。Pohlman建议咨询FIPS(联邦信息处理标准)的140-3指导，以确定每个企业和司法管辖区要求的加密水平。Vines表示，用户还应确保供应商的灾难恢复计划能保护加密数据和访问数据所需的解密密钥。

所有的防范措施一旦实施，安全的关键在于人。一些用户认为云供应商比他们自己还能更好地保存数据，因为供应商拥有更多的保存资本，但同时也存在更多风险。

McBride指出，他宁愿依赖一家可以完全保护其数据安全的供应商，而不是信任一名可以做很多种不同工作，除数据安全之外的员工。

(责任编辑：闫小琪)