“云計(jì)算”既可能是一個(gè)被炒作過(guò)頭的、注定讓人費(fèi)解的術(shù)語(yǔ)，也可能是未來(lái)信息技術(shù)最美妙的前景，這完全取決于您談話的對(duì)象。盡管當(dāng)前對(duì)于“云”這個(gè)概念確實(shí)存在著太多的炒作，我們?nèi)匀粓?jiān)信時(shí)間會(huì)證明這些宣傳的價(jià)值。那些被委以制訂IT策略或保護(hù)本機(jī)構(gòu)的信息資產(chǎn)這類重任的人員，有責(zé)任對(duì)云計(jì)算采取謹(jǐn)慎使用的態(tài)度。不過(guò)這個(gè)云技術(shù)和其商業(yè)模式的春秋時(shí)代，也為您開(kāi)啟了一扇至關(guān)重要的機(jī)會(huì)之門，供您制訂從“可信云”中獲取最大利益的策略。

要理解為什么云計(jì)算是一個(gè)既意義重大，又混亂不堪的趨勢(shì)，我們必須對(duì)云計(jì)算的定義有一個(gè)最基本的了解。從最高層的意義上講，云計(jì)算代表了從以基本建設(shè)費(fèi)用購(gòu)買軟硬件進(jìn)行過(guò)渡計(jì)算，到按照需求以營(yíng)業(yè)預(yù)算來(lái)“租用”工具式服務(wù)這一不可阻擋的轉(zhuǎn)變。云計(jì)算的內(nèi)涵在于，多余的計(jì)算資源能夠進(jìn)行動(dòng)態(tài)分配，因此企業(yè)可以通過(guò)只購(gòu)買那些需要的計(jì)算服務(wù)來(lái)杜絕浪費(fèi)。這種動(dòng)態(tài)作用提供了全新概念的業(yè)務(wù)靈活性，因?yàn)殡S著時(shí)間的推移，企業(yè)將能夠把“即時(shí)生產(chǎn)”的概念應(yīng)用于計(jì)算工作。事實(shí)上這還算不上一套理論，但一些只能在傳統(tǒng)計(jì)算方面進(jìn)行有限投入的中小型企業(yè)已經(jīng)積極采用了云計(jì)算，并且對(duì)于較大的企業(yè)形成了競(jìng)爭(zhēng)壓力，迫使他們同樣采取云計(jì)算方法。

國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制訂了一套廣泛采用的術(shù)語(yǔ)用于描述云計(jì)算的各方面內(nèi)容。 NIST針對(duì)“云”定義了三大交付模式，稱為S-P-I模式:

軟件即服務(wù)(SaaS)，即將整個(gè)商業(yè)應(yīng)用作為一項(xiàng)服務(wù)來(lái)提供;

平臺(tái)即服務(wù)(PaaS)，允許在云中進(jìn)行快速應(yīng)用開(kāi)發(fā);

架構(gòu)即服務(wù)(IaaS)，即將簡(jiǎn)單操作系統(tǒng)(OS)和儲(chǔ)存功能作為一項(xiàng)服務(wù)來(lái)提供。

NIST進(jìn)一步定義了云計(jì)算的四大配置:

公共云，即面向廣泛客戶群的互聯(lián)網(wǎng)接入服務(wù);

私有云，針對(duì)單個(gè)機(jī)構(gòu)進(jìn)行配置;

社區(qū)云，針對(duì)供應(yīng)鏈這類有限數(shù)量的，彼此相關(guān)的組織設(shè)計(jì);

混合云，以上三種配置模式的任意組合。

為了將云計(jì)算作為一種低成本工具來(lái)提供，云服務(wù)供應(yīng)商必須掌握一些管理方面的問(wèn)題以形成規(guī)模經(jīng)濟(jì)。諸如虛擬化這類技術(shù)可以用來(lái)獲取一切可能的CPU周期和空余磁盤(pán)空間。此外還設(shè)計(jì)了一些新的管理工具來(lái)實(shí)現(xiàn)客戶供應(yīng)和資源分配的自動(dòng)化。為了創(chuàng)建高效的規(guī)模經(jīng)濟(jì)，將不可避免地導(dǎo)致許多客戶的數(shù)據(jù)和其他資產(chǎn)在共享的硬件平臺(tái)上相互混雜，而這些數(shù)據(jù)和資產(chǎn)只是用一些新的，往往未經(jīng)驗(yàn)證的邏輯控制方法進(jìn)行區(qū)分。另一個(gè)主要的，可能也是最為深遠(yuǎn)的影響是，實(shí)現(xiàn)這種經(jīng)濟(jì)效益的新技術(shù)架構(gòu)本身就是一種新的應(yīng)用開(kāi)發(fā)平臺(tái)。在計(jì)算中很少出現(xiàn)重大的平臺(tái)轉(zhuǎn)換。軟件在云中得到革新，而新的軟件則革新了商業(yè)運(yùn)作方式。

盡管很難反駁這種云計(jì)算的趨勢(shì)，我們?nèi)杂欣碛蓪?duì)移植云計(jì)算的時(shí)機(jī)選擇提出質(zhì)疑，尤其是針對(duì)一些非常敏感的信息和關(guān)鍵任務(wù)過(guò)程。這往往意味著某個(gè)機(jī)構(gòu)在風(fēng)險(xiǎn)管理實(shí)踐的指導(dǎo)下，按照一套獨(dú)特的標(biāo)準(zhǔn)在一段時(shí)期內(nèi)作出一系列的決策。然而還有一種情況是，外部因素促使一個(gè)機(jī)構(gòu)作出這類決策。比如某個(gè)生意伙伴要求云計(jì)算。毫無(wú)疑問(wèn)的是，某些時(shí)候一些軟件公司會(huì)促使或者強(qiáng)烈建議他們的客戶支持云服務(wù)這一更為經(jīng)濟(jì)的平臺(tái)。新的創(chuàng)新應(yīng)用將只存在于云中。基于以上原因，首席信息安全官們應(yīng)當(dāng)努力了解這些問(wèn)題以及這些問(wèn)題同他們工作之間的聯(lián)系。首席信息安全官們不僅能夠制訂確保云應(yīng)用的策略，更重要的是，他們能夠真正地影響到云計(jì)算產(chǎn)業(yè)的走向和云服務(wù)供應(yīng)商所提供的各種功能。僅僅坐等云技術(shù)的成熟是遠(yuǎn)遠(yuǎn)不夠的。同我們交流過(guò)的許多首席信息安全官都在花時(shí)間讓云服務(wù)供應(yīng)商熟悉他們的企業(yè)級(jí)要求，如服務(wù)水平協(xié)議(SLAs)，法規(guī)遵守問(wèn)題，特定地區(qū)的監(jiān)管問(wèn)題等。云服務(wù)供應(yīng)商們現(xiàn)在就把企業(yè)功能集成到服務(wù)中，比到企業(yè)完成轉(zhuǎn)變以后再去修改這些服務(wù)要容易的多。

以下信息資源能夠協(xié)助您確定云計(jì)算策略。歐洲網(wǎng)絡(luò)及信息安全局(ENISA)制定了“云計(jì)算風(fēng)險(xiǎn)評(píng)估”規(guī)范，耶律哥論壇有“云立方計(jì)算模式”，而云安全聯(lián)盟(CSA)發(fā)布了“云計(jì)算重點(diǎn)關(guān)注區(qū)域安全指導(dǎo)”，涵蓋13個(gè)關(guān)注的領(lǐng)域。幾乎所有的案例中都包括以下關(guān)鍵問(wèn)題:

法規(guī)遵守:云服務(wù)供應(yīng)商保證使客戶遵守各種規(guī)定和標(biāo)準(zhǔn)，如PCI/DSS、HIPAA、違約情況通報(bào)方面的法規(guī)以及歐盟數(shù)據(jù)保密法令等等。

數(shù)據(jù)管制:確�？蛻魯�(shù)據(jù)有適當(dāng)?shù)募夹g(shù)防護(hù)措施，得到合法的保護(hù)，并能夠按照客戶要求供客戶使用或返還給客戶。

可移植性及互用性:確�？蛻魧�(duì)包括私有云在內(nèi)的任何云的投入均能移植到其他云并能與其他云實(shí)現(xiàn)最大程度的互用，以保護(hù)客戶的投入并確保關(guān)鍵服務(wù)的可用性。

身份和接入管理:允許客戶在SaaS服務(wù)供應(yīng)商中的成熟的IAM框架與其他云服務(wù)之間作出平衡，以便在遵守法規(guī)的同時(shí)保持廣泛的系統(tǒng)和應(yīng)用控制功能。

針對(duì)各個(gè)云服務(wù)供應(yīng)商的獨(dú)立認(rèn)證是顯示企業(yè)遵守各種安全要求的必然結(jié)果。各種機(jī)構(gòu)永遠(yuǎn)都有必要針對(duì)云服務(wù)供應(yīng)商規(guī)定適當(dāng)?shù)男袨闇?zhǔn)則并進(jìn)行嚴(yán)格的供應(yīng)商管理。不過(guò)要以適當(dāng)頻率的、極其仔細(xì)的審計(jì)措施來(lái)完全消減所有風(fēng)險(xiǎn)并不現(xiàn)實(shí)，供應(yīng)商也沒(méi)有能力接待所有客戶審計(jì)員。適當(dāng)?shù)恼J(rèn)證能夠從某種程度上保證云服務(wù)供應(yīng)商方面能夠有一個(gè)合理的安全基線，同時(shí)反映客戶必須證明其遵守的各種規(guī)定。從云服務(wù)供應(yīng)商的角度來(lái)看，在數(shù)量較少，但較為嚴(yán)格的認(rèn)證上進(jìn)行投資，比響應(yīng)大量的審計(jì)要求要?jiǎng)澦阋恍�。如果某個(gè)機(jī)構(gòu)確實(shí)需要進(jìn)行審計(jì)，則專門對(duì)經(jīng)過(guò)認(rèn)證的供應(yīng)商進(jìn)行審計(jì)會(huì)更加高效和簡(jiǎn)潔，因?yàn)檫@往往能夠縮小審計(jì)的范圍。許多首席信息安全官都越來(lái)越關(guān)注一些設(shè)立上述認(rèn)證的標(biāo)準(zhǔn)機(jī)構(gòu)，他們認(rèn)為這些機(jī)構(gòu)目前過(guò)度為以供應(yīng)商為中心。

今天，首席信息安全官們不但有機(jī)會(huì)去調(diào)整那些適用于云服務(wù)供應(yīng)商的標(biāo)準(zhǔn)和認(rèn)證，還確保這些標(biāo)準(zhǔn)和認(rèn)證的特點(diǎn)能夠滿足他們各自工作的要求。事實(shí)上云服務(wù)供應(yīng)商也希望去了解商業(yè)和法規(guī)遵守方面的需求。無(wú)論是構(gòu)建私有云、嘗試使用公共云、甚至是將公共云用于生產(chǎn)應(yīng)用，首席信息安全官們都不會(huì)再有如此好的機(jī)會(huì)傳達(dá)他們的需求并將安全嵌入到云服務(wù)中了。