云计算是是一个很抽象的概念,一种难以名状的东西,尽管如此,我们仍然要使用到它,因为云计算可以增加商业价值,而忽略云计算的企业也会失去竞争优势。所以,我们需要了解如何安全地将这一新兴技术融入到业务流程中。
云能给我们带来什么?
我们将云计算定义为第三方提供的任意架构或服务,且它要支持或传输业务流程。为了最大化商业价值,云计算还应该提供点播可扩展性和改进的商业持续性。举例包括:
1. 供应商开发并托管Web服务,并将这些服务整合到内部开发的系统中,但是用户是通过Web进行访问。
2. 供应商通过内部人员对服务器托管的应用进行开发和管理。
3. 将完整的系统转移到供应商托管的网页。
随着云计算技术日趋成熟,供应商提供的服务也会随之得到改进。不过,最基本的前提是它能为大企业带来灵活性,为中小企业带来机会。
主要问题在于风险
从安全角度来看,评估和管理与云服务相关的风险就是对现有的风险管理进程进行调整。因此,并不需要花费大量的精力。
如果你手头没有风险管理架构,那么必须要先创建一个。保护企业的数据起始就是依据业务需求权衡风险。与企业管理者,审计员合作的时候,有必要使用那些旨在识别,减轻和报告风险的正式流程来平衡风险。如果你手头有成文的架构,则可以直接对其进行扩展。
图一展示了许多企业的风险界线的简单模式。IT专业人员设计并部署了内部方案后,安全分析师会对其进行风险评估。不过,托管的风险界线止步于周边防火墙。非正式的流程用来模拟连接云服务供应商时产生的风险。
图一:内部风险界线
如图二所示,通往安全云一体化的路径风险界线的扩展。其目标并非是将云视为“外部之物”。相反,它是另一个附加于企业之上的增值型组件。扩展风险管理边界以便包围所有服务就一个能满足业务需求的整体规划。
图二:扩展的风险边界