《企業網D1Net》3月26日（北京 編譯）

云計算是重新思考企業安全和風險管理的一個獨特的機會。

云安全已經成為許多企業內存在分歧的話題。一些人認為，云計算作為一種業務需要，必須跟上競爭對手的腳步，或成為改造“舊世界”IT的工具。而其它人卻看到了云計算艱巨而危險的安全隱患。對于我來說，云計算是重新思考，重新設計，以及實施信息安全和風險管理，以推動業務敏捷性的一個機會。

云計算為信息管理系統提供了一個獨特的變化，即自動化的采用。雖然大多數人將自動化看做是云計算成本節約和效率的基石，但是如果不是更多的話，自動化對于信息安全和風險管理是同樣寶貴的。縱觀當今的安全問題，到處充斥的是那些主要由人工操作和斷開連接的方法。

1、業務系統的推出，更新速度要快于安全團隊進行識別，分析和跟蹤的速度。

2、贊助商在設計，開發和運行過程中隱式的接受了很多風險，但只有當迫于安全和風險管理時這些風險才會得到緩解。

3、安全政策主要通過手工執行審計和流程來強制施行。

4、將當今的信息安全和風險管理問題擴展到云計算速度，這是站不住腳的，但是在沒有重整企業姿態的情況下這樣做會給企業帶來更大的風險。

一個成功的方式，結合了重構現有的信息安全和在云計算速度和規模操作自動化上的風險管理實踐。該自動化包括四個主要組成部分：

1、一個可靠地部署虛擬系統，以數據驅動進行設計的執行引擎

2、以生命周期為中心的系統管理和操作工具

3、確定關鍵問題和風險的自動感知和掃描系統

4、能驅動計劃性、自動化回應和通知的政策評估引擎

這一強大的自動化和重構信息安全概念的結合，創建了一個環境，在這一環境中云系統的安全要求得到了編碼，并以規范性和積極的方式強制執行。

在采用例行安全系統和業務應用程序掃描的一個企業的例子中可以看出。這些掃描的挑戰首先是確定要掃描的系統。這往往是最耗時的過程，但也是取得成功的關鍵因素。一旦確定，系統安排掃描，然后進行掃描，最后進行結果分析。然后，安全團隊與項目/開發/業務團隊就問題進行溝通，并洽談整治時間表，風險接受，以及延期問題。

IT安全團隊通常對整個掃描過程進行管理，較安全性來說在官僚機構上會花費更多的時間。由于開銷問題，這些掃描通常在生產或接近生產系統時執行。當企業中的每個應用程序或服務器每年都進行掃描時，該掃描過程即被認為是成功的。

在以云為中心的運營中，系統可能會連續運行數小時或數天，這意味著現有的流程可能會完全錯過這一系統。然而這個差距可能通過放慢云部署，以適應現有的流程來得到緩解，這是一個對云安全掃描過程進行校正的更好的策略。

例如，在敏捷的云運營中，一個云管理平臺能夠意識到每一個業務和開發團隊所創建的系統。通過自動化和政策，每個系統在啟動和重新啟動時進行掃描。結果可自動發送至系統擁有者和信息安全中心。更重要的是，掃描系統可以在系統開發的早期階段運行，這個時候能夠更容易，更便宜，更快速地對系統進行更改。進一步的改進是能夠自動分離結果到那些可以立即采取行動的系統所有者手中，以及那些需要安全專家進行進一步分析的企業中。

通過基于云計算來調整安全掃描程序，企業能夠在云中心環境中采取更敏捷的策略，移至更頻繁的掃描，以及進行更早、更便宜的整治。然而，在沒有云管理平臺提供堅實基礎的情況下是不會獲得這樣的收益的。

通過豐富的自動化來部署云管理平臺政策的基礎設施，可以確信，他們已經建立了治理、合規以及可配置的、自動化的以及強制執行的安全。這樣做，能夠保證企業可以在云計算速度和敏捷性的基礎上進行操作，懂得信息安全一直是旅程的一部分。