从身份验证角度谈云服务

很多IT人员都认为公共云服务不安全，无法确保关键程序工作负载和数据的安全。但是医疗信息供应商Schumacher集团首席信息官Doug Menefee却不这么认为。

“使用云服务确实存在风险，但是任何事情都是有风险的，我们必须将商业利益与这些风险进行权衡。”Menefee确实也说到做到，现在Schumache集团的业务数据有85%位于公共云服务内部。

Menefee并不认为自己是云服务倡导者，他表示他只是接受云服务这种形式，并愿意做成本效益和风险分析。

可以肯定的是，将重要数据交给云服务并不是没有做安全考虑，例如，该公司重新改进了身份管理程序。“我们需要考虑如何在公司程序和云服务中的程序间部署身份管理和安全措施。”

从身份验证说起

IDC公司安全产品研究副总裁Charles Kolodgy表示，的确，重新调整身份管理通常都是选择云服务的企业的起点，企业需要考虑身份验证、管理控制、数据的位置以及可能访问数据的人等问题。 “这些与企业平时的安全考虑很类似，差别在于企业不再持有基础设置，并且也无法完全进入后台，所以才需要重新调整，以确保安全性，”他补充道。

ServiceMesh 和Symplified两家公司就为需要加强云安全的企业提供了统一访问权限管理的产品。ServiceMesh提供的Agility Access由云管理、安全工具和模块以及服务管理等组成。而Symplified提供的Trust Cloud是基于EC2的统一访问权限管理和联盟平台，整合并保护软件和基础设施云服务、EC2和web 2.0应用程序。

云服务的好处

除了技术支持以外，云服务模式还为Schumacher公司的运营资源带来新的思维方式，Menefee表示。

“大型云服务供应商都有专门的团队和部门专职负责保护客户的重要信息，并不断寻求改善安全、监测、入侵控制的方法。作为中型企业，我们并没有专职的部门负责安全。在云服务供应商的帮助下，企业安全更有保障，”他表示，即使发生安全泄漏事故，这些团队也能够比内部人员作出更快的反应。

当然，将企业数据交给云服务供应商后，要求云服务供应商提供企业所需要的安全保障是完全合理的，但是，“不要因为将数据交给云服务供应商就忽略了企业的安全目标或要求，”Forrester研究所分析师Chenxi Wang表示。

云服务供应商在安全保障方面可能会有所出入，企业必须严格要求云服务供应商按照合约履行安全职责，“如果云服务供应商告诉你，你所要求是不可能实现的，你就可以告诉他们，那我们去找另一家云服务供应商。”

美国的Schwan食品公司在规划虚拟灾难恢复架构时就运用了这个策略，该公司的高级IT运营经理Cory Miller表示，“我们告诉供应商，‘你们必须使用我们的工具，将这些工具扩展到你们的环境’。”你甚至可以让企业的安全工具供应商与云服务供应商签订协议。

Schwan食品公司用于保护其虚拟基础设施的虚拟防火墙来自Reflex系统公司，该系统公司就与美国计算机科学公司以及Savvis公司（云服务供应商）合作，旨在“当在私有云和公共云间传输时确保安全保障和管理的统一性”。

当Schwan公司试图将云服务向外扩展时，许多云供应商都跃跃欲试，但是到实际部署阶段，并不是所有供应商都能够接受Schwan的要求，技术整合是这些供应商面对的难题。

“我们告诉这些供应商，如果你不能提供这些功能或者服务，我们可以去找另外的供应商，”Miller表示。

即使是小型公司也会从长计议。如果企业现在建立了私有云，并希望将来扩展到公共云服务，那么了解云服务供应商能够或者不能够支持的安全工具将会影响企业的技术选择。“企业肯定不希望自己设计的私有云与外部公共云在管理或加密程序方面有如此大差异，这样的话，根本无法体会到云服务带来的优势。”

严格要求云服务供应商

随着云服务不断成熟，供应商们都在努力开发能够帮助企业扩展要求的工具和服务。

其中一个工具就是Adaptivity的Blueprint4IT，企业能够用这个IT设计软件来创建IT安全规划图，并考虑了这些因素：访问权限政策、传输中和静态数据的安全性，确保数据从内部网络向云服务安全传送所需要的硬件和软件组件。

“确定企业的要求，创建规划图，然后将规划图交给云服务供应商，要求供应商按要求部署云服务，”Adaptivity创始人兼首席执行官Tony Bishop表示。或者企业可以试用Blueprint4IT来评估云服务供应商并帮助企业对安全架构成熟度评分。

有志者事竟成

企业选择云服务时需要记住的是，“在云服务中，并不是每个应用程序都能确保安全，但与此同时，云服务并不是不能确保任何程序的安全，”Gartner公司副总裁John Pescatore表示。

即使是金融机构、政府机构或者持有高度机密数据（如支付款信息或者医疗信息）的其他公司都能够在云服务中找到必要的安全保护。

Pescatore表示，还有一种方法就是在云服务中使用假冒数据，而不是真正的重要数据，“应用程序可以交给云服务处理，但是像支付款信息或者个人信息等重要数据还是应该保存在内部网络。”

显然，企业在考虑选择试用公共云服务时，有很多问题需要考虑。他们必须将风险和效益综合进行考虑，并将重点放在数据和必须的控制上，从而作出正确的选择。  

【编辑推荐】

1. 身份认证与安全一线牵
2. IPv6身份验证和安全性