雖然云計算的應(yīng)用越來越普遍，但人們并不總是信任云計算。很多企業(yè)的安全和風(fēng)險管理領(lǐng)導(dǎo)者對于將關(guān)鍵數(shù)據(jù)和基礎(chǔ)設(shè)施委托給第三方云計算提供商曾經(jīng)感到擔(dān)憂。

這是可以理解的，源于其網(wǎng)絡(luò)管理的歷史，企業(yè)的IT團隊對于管理IT基礎(chǔ)設(shè)施的資源非常熟悉，從他們所在的建筑物到電力和冷卻供應(yīng)，再到服務(wù)器，以及存儲和網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

但是，當企業(yè)將責(zé)任委托給云計算提供商時，想達到這種熟悉程度是不可能的，并且這可能會阻止組織獲得最佳的云計算效率和安全性。顯然，企業(yè)需要改變思維方式。

在名為“CISO 劇本：如何在云中保留正確的控制”的調(diào)查報告中，Gartner公司做出了這樣的比喻：在自己的數(shù)據(jù)中心運營業(yè)務(wù)就像自己駕駛汽車，而遷移到云端有點像在飛機上飛行。那么人們可能無法對飛機的機組人員的旅程進行控制，這可能會導(dǎo)致焦慮。然而，這種焦慮是不合理的，因為就像人們?nèi)粘z查汽車測量、輪胎、玻璃清洗液一樣，每次飛行前都會嚴格檢查飛機。

總而言之，這意味著遷移到云端需要一個新的前景，企業(yè)需要了解如何控制其數(shù)據(jù)，并更好地了解云計算服務(wù)提供商做什么，以便企業(yè)放棄底層平臺的所有權(quán)。

在當今的背景下，客戶仍然擁有他們的數(shù)據(jù)，但與云計算提供商分享管理權(quán)。“控制”的概念已從基于物理位置的所有權(quán)轉(zhuǎn)變?yōu)閷α鞒痰目刂啤Ｒ虼耍畔踩惋L(fēng)險管理領(lǐng)導(dǎo)者需要采用間接控制的新方法來實現(xiàn)效率和安全，最重要的是讓人高枕無憂。考慮到這一點，人們將嘗試定義如何對云計算進行正確的控制。

設(shè)計正確的身份和訪問管理策略

安全團隊和開發(fā)人員可以發(fā)現(xiàn)難以掌握基于云計算的控制概念。但實際上，放棄其廣域網(wǎng)中光纖和銅纜的所有權(quán)也是類似的情況：電信運營商擁有物理基礎(chǔ)設(shè)施，但數(shù)據(jù)仍由客戶擁有和控制。這一切都與描述安全責(zé)任有關(guān)。一旦定義了切換點，企業(yè)就會知道除此之外，其云計算服務(wù)提供商負責(zé)安全性。

企業(yè)的責(zé)任在于設(shè)計一個身份訪問管理策略，該策略不僅涵蓋云平臺，還涵蓋云平臺向外界呈現(xiàn)的應(yīng)用程序和服務(wù)。訪問權(quán)應(yīng)基于以“最低權(quán)限”為基礎(chǔ)授予用戶權(quán)限，而不是給予所有人更多的權(quán)限。這可以提高審計能力，并降低未經(jīng)授權(quán)更改平臺的風(fēng)險。

最重要的是，企業(yè)應(yīng)該與云計算提供商合作，以確保對更高程度的邏輯隔離進行加密。空閑和傳輸中的數(shù)據(jù)加密通常被視為在公共云平臺上另一種保護和隔離數(shù)據(jù)的方式。雖然任何人都不可能闖入公共云數(shù)據(jù)中心，并物理竊取包含數(shù)據(jù)的磁盤驅(qū)動器，但強烈建議企業(yè)考慮使用空閑數(shù)據(jù)加密。

加強監(jiān)督并重新調(diào)整審計目標

隨著監(jiān)管環(huán)境越來越復(fù)雜，越來越多地要求使用云計算的組織展示其強大的治理。企業(yè)已將某些控制權(quán)委托給其云計算服務(wù)供應(yīng)商，這一事實意味著企業(yè)必須證明治理程序已到位并且正在遵循。

為此，企業(yè)應(yīng)該尋求與提供安全性和合規(guī)性監(jiān)控和報告的云計算服務(wù)提供商合作。并且采用必要的方法和合規(guī)性證明，可確保企業(yè)云計算工作負載能夠滿足審核時間的要求。

比較企業(yè)的安全需求，并根據(jù)SLA衡量云計算服務(wù)商的性能

另一個需要密切關(guān)注的是合同條款，它約束了云計算服務(wù)商在保護客戶數(shù)據(jù)和隱私方面的作用。與超大規(guī)模云計算提供商簽訂的合同往往絕大多數(shù)都會保護這些云計算服務(wù)商，但是可以與一些云計算服務(wù)商合作，就更有利于客戶的條款達成協(xié)議。

最終的影響和建議是圍繞云計算服務(wù)提供商合同和服務(wù)等級協(xié)議(SLA)。許多云計算服務(wù)商，特別是超大規(guī)模的提供商，在其SLA上可能非常嚴格，并且在被要求更改它們時可能非常不靈活。了解云計算服務(wù)提供商在合規(guī)性的不同方面的立場非常重要。但他們能夠分享認證和證明嗎?他們的SLA對可用性等主題有多大的靈活性?如果SLA不提供服務(wù)，他們會支付服務(wù)信用嗎?在開始使用云計算服務(wù)提供商的服務(wù)之前，這些是企業(yè)需要獲得這些問題的答案。在此提出的另一條建議是將外部托管數(shù)據(jù)的安全要求與風(fēng)險偏好背景下的云計算服務(wù)提供商功能進行比較。

總而言之，隨著安全風(fēng)險和合規(guī)性法規(guī)的不斷增加，以及云計算服務(wù)的采用，理解云計算安全方面的共同責(zé)任非常重要。在云中放棄和保留控制之間取得適當?shù)钠胶猓瑢⑹蛊髽I(yè)能夠安全地利用云計算服務(wù)的諸多優(yōu)勢。控制云計算并不意味著企業(yè)應(yīng)該管理云計算的每一個方面，但要確保知道應(yīng)該負責(zé)什么職責(zé)，并獲得正確的控制。