【51CTO.com归纳报导】谈及云安全，人们的论题大都集中于“云服务供货商应该怎样做”，由于数据与使用服务都由供货商供给。不过企业也有必要记住，作为云服务的用户，他们也承担着云安全的重要职责——有些情况下乃至是***的云安全职责。企业永久都不能忘掉，一旦发生安全事故，他们将面对***的应战，由于究竟企业才是担任搜集数据的实体。

其实，云安全理应是云服务供货商和企业的一起职责，不过当今职责的边界确实有些 “云遮雾罩”。职责边界的区分应直接取决于企业所挑选的云服务模型，它们既或许是软件即服务（SaaS），又或许是渠道即服务（PaaS），还或许是根底架构即服务（IaaS）。作为一种极点服务模型，SaaS被看作是安全“黑匣子”，在这种模型下，大大都的使用安全活动都无法被企业看到。IaaS则代表另一个极点，这时候，企业就成为了使用、数据以及其他等级根底设施的首要安全担任人。

在云核算模型下，企业应怎样进步云安全，以充分利用云核算来取得利益？ 做为云核算的安全专家，CA Technologies以为以下六种办法可以让企业走上通往“云安全”的大路：

1.内部私有云，奠定你的云核算根底

提高云安全的***个办法：了解自己。企业需求对现有的内部私有云环境，以及企业为此云环境所构建的安全体系和程序有深入的了解，并从中罗致经历。不要辩说明你的企业并没有树立私有云，事实上，不知不觉中，企业现已树立了内部云环境。在曩昔十年中，大中型企业都在设置云环境，尽管他们将其称之为“同享服务”而不是“云”。这些“同享服务”包含验证服务、装备服务、数据库服务、企业数据中心等，这些服务一般都以相对规范化的硬件和操作体系渠道为根底。

2.危险评价，商业安全的重要保证

提高云安全的第二种办法：对各种需求IT支撑的事务流程进行危险性和重要性的评价。 你或许很简单核算出选用云环境所节省的本钱，可是“危险/收益比”也相同不行忽视，你有必要首要了解这个比例关系中的危险要素。云服务供货商无法为企业完结危险剖析，由于这彻底取决于事务流程地点的商业环境。关于本钱较高的服务水平协议（SLA）使用，云核算无疑是***计划。作为危险评价的一部分，咱们还应考虑到潜在的监管影响，由于监管安排制止某些数据和服务出现在企业、州或国家之外的区域。

3.不同云模型，精准支撑不同事务

提高云安全的第三种办法：企业应了解不同的云形式 （公共云、私有云与混合云）以及不同的云类型（SaaS，PaaS，IaaS），由于它们之间的差异将对安全操控和安全职责发生直接影响。依据本身安排环境以及事务危险情况（见上文第2条的剖析），一切企业都应具有针对云的相应观点或战略。关于这个问题，欧洲网络与信息安全局（ENISA）最近出书的 《云核算－利益，危险，和信息安全主张》(Cloud Computing – Benefits, Risks, and Recommendations for Information Security)一书可以作为参阅，从中可以找到这个问题和其他云安全问题的支撑资源。在危险剖析的过程中，法令安排也应发挥重要作用，由于触及担保和债款的事务也是剖析的重要内容。

4.SOA体系结构，云环境的前期体会

提高云安全的第四个办法：将SOA（面向服务的架构）规划和安全准则使用于云环境。大都企业在几年前就已将SOA准则运用于使用开发流程 。其实，云环境不便是SOA的大规模扩展吗？面向服务的架构的下一个逻辑发展阶段便是云环境。企业可将SOA高度涣散的安全履行准则与集中式安全方针办理和决议计划拟定相结合，并直接运用于云环境。在将重心由SOA转向云环境时，企业无需重新拟定这些安全战略，只需将原有战略转移到云环境即可。

5.两层人物转化，添补云核算生态链

提高云安全的第五个办法：从云服务供货商的视点考虑问题。大都企业刚开始都会把自己看作云服务用户，可是不要忘掉，你的企业安排也是价值链的组成部分，你也需求向客户和合作伙伴供给服务。假如你可以完成危险与收益的平衡，然后完成云服务的利益***化，那么你也可以遵从这种思路，习惯自己在这个生态体系中的云服务供货商的人物。这样做也可以协助企业更好地了解云服务供货商的作业流程。

6.网络安全规范，设置本身“防火墙”

提高云安全的第六个办法：了解企业本身，并启用网络安全规范 －长期以来，网络安全工业一向致力于完成跨域体系的安全和高效办理，现在现已拟定了多项卓有成效的安全规范，并已将其用于、或行将用于保证云服务的安全。为了在云环境国际里高效作业，企业有必要选用这些规范，它们包含：SAML（安全断语符号言语），SPML（服务装备符号言语），XACML（可扩展拜访操控符号言语）和WS-Security（网络服务安全）。关于那些现已将浏览器会话与SAML结合的企业，下面这句话则是***鼓舞：你们现已把云安全IQ进步了！

为了进步云服务的安全性，企业有必要确保安全专家们是云服务的理性发起者，而非反对者或许置疑者，这是对企业最重要的要求之一。具有正确心态的事务驱动型技术人员可以成为“危险/收益”对话中的活跃力气，然后协助企业提高云安全。