打造云计算的最佳环境

　　云计算是一个新兴的IT部署和交付模式，用来通过网络实时提供产品、服务和解决方案。人们日常所说的云计算，实际上是指这种部署和交付模式的基础架构平台;而云服务则更延伸一步，是指通过云计算平台提供应用和解决方案的服务过程。但是，多数人存在一个认识的误区，认为建设云计算的服务器和存储平台是云计算的唯一工作重点。事实上，建设云计算平台只是提供云计算服务的第一步。而目前很多厂商都有意无意的忽略了建设云计算平台之后的一系列重要环节。因此，当谈到“云”这个概念的时候，首先需要区分云计算平台和云计算服务。

　　当前，对于很多用户来说搭建云计算平台的工作相对简单。国内有一些企业的部分业务已经运行在企业内部的私有云计算平台上。但是，对于提供公共的云服务这个目标而言，建设云计算平台还仅仅只是第一步。IDC认为，除了能够让云计算平台提供强大的基础架构平台外，提供云服务还需要具备以下8个条件：

　　1.云计算的供应商具备向公共提供服务的能力，即成为第三方提供商，而不仅仅是内部的私有云；

　　2.提供通过互联网的接入方式，这是供应商提供公共云服务的必要条件；

　　3.云计算供应商对云计算中心进行IT管理，最终用户不需要介入；

　　4.对于云计算提供的应用，用户能够自行配置。随着用户对云计算需求的变化，系统可以为用户提供自动扩展能力；

　　5.云计算运营商需要具备清晰明确的费用收取模式，这也是公共云区别于私有云的重要特征之一；

　　6.基于浏览器的用户界面，与私有云不同，为公众提供的云服务必须基于统一的用户界面；

　　7.基于Web服务的API，提供标准的开发接口。提供云服务的供应商不可能为用户准备好每一种应用软件。因此，为用户和第三方软件厂商提供标准的开发接口也是提供云服务必须达到的目标;；

　　8.云计算平台的资源共享，即提供虚拟化、动态的平台。

　　用云计算环境的外部网络可以获得异地存储备份的优点，但同时也带来了一些危险：各种病毒、垃圾邮件、恶意软件和身份窃贼是你可能面临的一部分威胁。

　　据谷歌公司负责GoogleApps的安全主管EranFeigenbaum声称，与外面的服务提供商共享数据面临危险，不过同时也能获得安全方面的一些好处。虽然许多公司现在允许云计算服务提供商访问自己的数据，“但仅仅共享文档、而不是共享整个基础架构是一大好处。”

　　OpSource公司的首席执行官TrebRyan补充说：“你没必要弄清楚多个安全区域，因为只有一条正面连接。”这家公司为软件即服务(SaaS)和互联网公司提供数据管理及数据传输备份服务。下面，我们就来看看，如何来确保云计算环境的安全。

　　一、关注打开的东西

　　云计算服务提供商Salesforce在其信任站点上警告不要打开可疑的电子邮件。这一个道理似乎很浅显，但还是有许多人没有遵照这个建议。还要关注可疑链接。

　　Balding建议，应当向提供商询问事件响应机制。他表示，万一有人企图入侵，提供商应当能够给予帮助。你还要问一下提供商会不会为你的机器制作镜像，还是这项工作必须由你自己来完成。

　　CraigBalding是一家《财富》500强公司的技术安全负责人，开设了介绍云计算安全的博客。他建议，如果你打开文件，就要确保网络访问已经过加密。他特别指出，亚马逊并不针对其Web服务业务提供数据加密服务。Salesforce.com在其信任站点上建议采用像RSA令牌或智能卡这些双因子验证技术。

　　二、保护云API密钥

　　Balding提醒，你需要确保自己的云API(应用编程接口)密钥安全。他说：“要是有人弄到了你的访问密钥，就能访问你的一切数据。要求提供商为你提供多把密钥，用于保护不同风险类别的各组数据。”

　　他还建议，应当把生产数据放在一个帐户中、把开发数据放在另一个帐户中。他表示，这样就可以减小有人闯入不太安全的开发机器所带来的风险。

　　三、使用多少付多少

　　Balding建议，为了避免竞争对手积欠账款，需要多少云服务、就付多少费用。他说：“如果使用量急剧增加，设定阈值就很有必要。”

　　四、复制数据

　　谷歌公司的Feigenbaum强调了跨多个数据中心进行数据复制的重要性。比方说，万一东北部出现了灾难，仍可以从其他地区访问数据。Feigenbaum说：“要是东北部发生了灾难，比如说暴风雪，从而导致停电，仍可以从另一个数据中心访问你的数据，没有人知道这幕后的一切。”

　　五、增强端点可靠性

　　Feigenbaum说：“云计算概念就是把尽量少的数据放在端点设备上。要保护端点设备的安全很难――无异于把安全从专家的手里交到用户的手里。”美国联邦调查局(FBI)声称，买来后头12个月里，失窃的笔记本电脑多达10%。虽然USB密钥使用方便，但它们很容易丢失。

　　六、确保数据交易符合相应的法规和认证

　　OpSource公司的Ryan建议，涉及信用卡的交易应当符合支付卡行业(PCI)数据安全标准。他解释：“如果我们的系统不符合PCI标准，系统会出问题，互联网数据也就没有安全交易可言。”

　　Ryan表示，在企业环境下，企业应当遵守SaaS70这项安全协议。与此同时，如果医疗数据在云计算环境里面传输，医疗保健公司要遵守《健康保险可携性及责任性法案》(HIPAA)的有关法规。

　　七、了解安全漏洞管理

　　Trustwave公司的Krause表示，提供商需要能够管理某部分数据影响众多客户的安全漏洞。Krause说：“一个漏洞就有可能导致众多客户的关键资产暴露无遗。云计算提供商必须能证明，自己认识到云计算环境的安全漏洞;自己并没有等别人来指出哪里有安全漏洞。”

　　八、维护取证日志和网络日志

　　Krause表示，提供商需要随时知道自己客户的数据放在哪里。他说：“要有办法来追踪审计跟踪记录，要任何时候都知道数据放在哪里。”他说，取证日志和网络日志可以完成这项任务。Balding建议：“开启日志功能，那样就能了解人们在如何使用你放在云计算环境中的服务。那样，你可能会发现一些攻击。如果不开启日志功能，就发现不了任何恶意内容或黑客企图。”

　　另外要与IT部门联系，查看一下公司其他部门是不是已经购买使用云计算服务，因为要是它们已经购买使用这项服务，可能会出现安全隐患。Balding表示，要与财务部门商议，看看公司里面还有谁购买了这项服务。他表示，如果同一信息在云计算环境中出现两次，这会危及公司。

　　计算服务不仅仅是建设IT基础架构那么简单。如果一个企业或组织计划建设云计算平台来提供公共的商业云服务，除了考虑自身的IT基础架构建设外，还应着重考虑相关的一系列配套措施。建议企业通过与有经验的IT咨询服务提供商进行合作，对云计算项目进行整体的规划，考虑云计算中心的管理和盈利模式，将未来的运营纳入到整体规划中，才可以促进云服务业务充分发展，使得企业能够真正通过云服务赢得利润。