云計算改變了企業應用信息系統、以及如何達到安全風險管理和合規遵從的方式。

　　當信息安全規劃經理辨認那些會影響企業安全策略的關鍵主題時，云計算無可爭議地從中脫穎而出。

　　困難的經濟環境確實有助于讓云計算變得更有說服性。因為按需的資源是動態可擴展的和靈活的，這對于大型和小型的企業來說極具吸引力，且無疑會繼續改變我們應用信息系統的方式。

　　對于每個努力保護組織的網絡用戶和數據的人來說，遷移到云計算會引起巨大的變化和挑戰。合規要求最有可能會妨礙企業遷移它所有的數據和操作到云上，所以，事實上這個轉變是額外的安全挑戰，位于保護現有的網絡基礎設施之上。遷移到云上，要求數據和應用放置在已完善建有邊界防御和物理訪問控制的區域之外。隨著不受到HR控制的用戶數量的增加，如供應商、客戶和合作伙伴，都會通過基于Web的協作工具來訪問你的數據。IT管理員已經疲于確保訪問公司網絡的移動用戶的安全，而云計算又是一個完全不同的規模。

　　對于我來說，關鍵的安全挑戰之一，是如何對位于企業防火墻之外的員工、客戶和合作伙伴進行有效地管理和執行訪問控制。云計算把我們都變成遠程的工作者，且按定義來說，云應用和數據都位于企業之外。這意味這你不能再依賴多層認證、防火墻和其它邊界防護來為你完成工作。

　　從戰略角度來看，管理這些挑戰需要很多行動。必須評審和加強HR的安全策略以便他們來執行健全的用戶管理生命周期。詳細的身份和訪問管理策略也必須到位，一個能充分利用聯合的身份管理，一個能讓用戶跨自治的安全域安全地訪問數據或系統的安排。我建議在你的企業應用內啟用單點登錄（SSO），并利用這個架構來簡化云提供商服務的集成和實施。

　　云計算同樣要求更加可靠的因特網連接，所以即使是微小的操作也會需要建立某種形式的冗余性，來確保數據和應用一直都可用。無論如何炒作，云服務仍然是十分不成熟的，有一些或其它形式的運行中斷狀況發生。有些可能很容易破產，它是一個處于脆弱的經濟環境中的新興行業。多個服務提供商會提供你更好的網絡多樣性和業務連續性，所以任何基于云的項目應該采用廠商中立的應用和數據架構。這包括以獨立于云方式的備份，和一個獨立的機器鏡像。你需要盡可能地讓這個轉變是簡單的，或者有應變計劃可以將操作回撤到內部運行的云環境。盡管云計算可能會減少一定的連續性問題，但它永遠不會消除行之有效的業務連續性計劃的需要。

　　在不久的將來，基于云的服務和云計算技術會經歷激增且長時期的攻擊，因為對于黑客和網絡恐怖分子來說，它們是具有吸引力的目標。因此，建立一個數據加密策略并實施技術來支持它，是最佳的主動防護措施。被加密的數據本質上是受到保護的，這也是為什么這么多法律和合規強制實行這個實踐。加密也允許你區分角色和數據，當加密密鑰控制訪問你的數據時。

　　不斷地，你會看到很多新的基于云的服務上線，許多為企業帶來了可觀的經濟回報。一些無疑會改變長期建立的風險與回報關系。而且當評估轉變為基于云服務的投資回報率（ROI）時，你會需要評審組織的業務策略和對于風險的態度。云計算正在改變信息系統，所以要確認考慮到，如何在任何新的業務流程中融入安全，從而使基礎設施、數據和用戶繼續受到防護。

　　三個主要的風險管理挑戰

        盡管云計算可能支配IT策略向前發展，安全經理還是需要關注其它領域。當然，和云計算緊密相連的是虛擬化技術。這個行業仍然奮力為虛擬化環境定義安全最佳實踐，因為應用和數據從單獨的服務器遷移到在線的網絡上。跟蹤事態發展在安全控制方面的發展是重要的，以及對這些系統的威脅。

        智能手機是網絡環境外安全經理仍在致力于完全控制的另一方面，我們開始看到對移動設備有效的攻擊，并且它們會變得更加流行。不會消耗完電池或CPU的安全軟件會成為必不可少的部分。

        最后隨著VoIP使用的增長，有組織的罪犯們會發起許多攻擊。系統管理員需要更加關注VoIP隧道的安全，使用加密而不是修補服務的質量。

　　是的，安全是一份永遠不會結束的工作。

原文鏈接：http://www.searchsecurity.com.cn/showcontent_49175.htm