系紧云计算的安全带

注意以下关键问题：

——如何进行备份？有些云供应商会进行数据备份，但多数情况下你得自己进行备份。很多亚马逊EC2的客户利用该公司的简单存储服务（Simple Storage Service）或弹性块存储服务（Elastic Block Storage）来存放备份文件。

——可以对备份进行测试吗？如果云服务发生故障无法使用时，企业能访问备份文件吗？

——备份文件放在何处？它既可以存放在供应商托管的云存储系统中，也可以转移到企业自己的基础设施里。无论如何，你得确保备份数据在储存和转移时受到严密保护。

管理和监控

企业的信息安全团队花费大量时间监控漏洞邮件列表，给系统打补丁，有时还要重写代码修补漏洞。在使用云服务时，他们相信云供应商也会尽力尽责地这么做。很少有厂商会向客户提供验证其安全措施的方法。在使用云系统（比如Joyent或亚马逊公司的EC2）时，企业可在操作系统、数据库和应用程序层上应用安全措施，但归根结底他们还是得依靠供应商来保证网络、存储和虚拟基础设施的安全。

虽然云服务的客户不能亲自给系统打补丁或者监控漏洞，但它们仍然要尽力自行管理风险。企业必须评估哪些资产需要得到保护，并摸索出保护这些资产的方法，比如说，在云基础设施周围设置分层安全防护措施。即便如此，支付卡行业（Payment Card Industry，PCI）数据安全标准之类的法规仍然可能出乎人们的意料之外：PCI委员会并未说明应该将云供应商划入哪个类别，因此不同的审计员可能会对同一个问题有着截然不同的处理方法。

客户必须要求云服务供应商提供监控功能，这样他们才能够监控访问数据的人员。如果企业需要详细的审计跟踪信息，它们得对数据进行加密，或者只将那些不接触敏感数据的应用程序设置在云服务中。

该领域可能很快就会出现巨大进展。2008年年底，谷歌宣布其应用程序通过了SAS 70 Type II的安全流程审查。我们希望能看到更多的供应商将安全标准作为卖点，因为正是由于安全问题，企业才对是否将应用程序转移到云服务中感到犹豫不决。

但是，企业内部信息安全团队不应该坐等供应商提高安全性。从桌面应用程序到服务器托管，云计算几乎在每个领域都越来越有吸引力。那些需要更高安全级别的应用程序（如与健康保险流通与责任法案（HIPAA）或PCI相关的应用程序）可能很难在云服务中进行验证，因此这些程序最好还是放在企业内部服务器上。社区应用程序和内容网站更适用于云服务。什么样的程序可以安心地将放在云服务中，这一点企业的IT部门必须心里有数。不过，云最终将成为基础设施的一部分，所以IT部门必须找到安全连接企业系统和云基础设施的方法。