云盤算是是一個很抽象的概念，一種難以名狀的東西，盡管如此，我們?nèi)匀灰獞�用到它，因為云盤算可以增加商業(yè)價值，而疏忽云盤算的企業(yè)也會失去競爭優(yōu)勢。所以，我們需要懂得如何安全地將這一新興技巧融入到業(yè)務流程中。

云能給我們帶來什么？

我們將云盤算定義為第三方供給的任意架構(gòu)或服務，且它要支撐或傳輸業(yè)務流程。為了最大化商業(yè)價值，云盤算還應當供給點播可擴大性和改良的商業(yè)持續(xù)性。舉例包含：

1. 供給商開發(fā)并托管Web服務，并將這些服務整合到內(nèi)部開發(fā)的系統(tǒng)中，但是用戶是通過Web進行訪問。

2. 供給商通過內(nèi)部人員對服務器托管的利用進行開發(fā)和管理。

3. 將完整的系統(tǒng)轉(zhuǎn)移到供給商托管的網(wǎng)頁。

隨著云盤算技巧日趨成熟，供給商供給的服務也會隨之得到改良。不過，最基礎(chǔ)的前提是它能為大企業(yè)帶來機動性，為中小企業(yè)帶來機會。

重要問題在于風險

從安全角度來看，評估和管理與云服務相干的風險就是對現(xiàn)有的風險管理過程進行調(diào)劑。因此，并不需要花費大批的精力。

如果你手頭沒有風險管理架構(gòu)，那么必需要先創(chuàng)立一個。保護企業(yè)的數(shù)據(jù)起始就是根據(jù)業(yè)務需求衡量風險。與企業(yè)管理者，審計員合作的時候，有必要應用那些旨在辨認，減輕和報告風險的正式流程來平衡風險。如果你手頭有成文的架構(gòu)，則可以直接對其進行擴大。

圖一展現(xiàn)了許多企業(yè)的風險界限的簡略模式。IT專業(yè)人員設(shè)計并安排了內(nèi)部計劃后，安全分析師會對其進行風險評估。不過，托管的風險界限止步于周邊防火墻。非正式的流程用來模仿連接云服務供給商時產(chǎn)生的風險。

圖一：內(nèi)部風險界限

如圖二所示，通往安全云一體化的路徑風險界限的擴大。其目標并非是將云視為“外部之物”。相反，它是另一個附加于企業(yè)之上的增值型組件。擴大風險管理邊界以便包圍所有服務就一個能滿足業(yè)務需求的整體計劃。

圖二：擴大的風險邊界

差距

擴大風險邊界并不是提出雷同的問題。整合云需要額外的考慮以應對供給商。以下是我們在評估一個云服務供給商時可能面臨的挑釁：

1. 供給商是否具備一個外部實體可證實其有效應對安全問題的才能（SAS70,ISO 27001等）？擁有哪些內(nèi)部控件？供給商如何比較我們的內(nèi)部控件?差距在哪里，這種差距是否合理？

2. 涉及哪些數(shù)據(jù)？我們的企業(yè)供給的數(shù)據(jù)過剩實際所需嗎？供給商所需的最小數(shù)據(jù)要素是什么，為什么是這些要素？

3. 供給商是否明白我們的安全期望?這些期望是否納入了合同中？如果供給商沒有遵照合同中的安全條款，將有什么制裁措施?合同是否容許我們履行自己的周期性審計（有關(guān)數(shù)據(jù)保護方面的評估審計）？這些都是要考慮的基礎(chǔ)問題。我們是假設(shè)你已經(jīng)在傳輸過程中保護好數(shù)據(jù)。如果沒有，或許在擴大到云之前還有更大的問題需要解決。

結(jié)語

不要談“云”色變，它并不是我們的敵人。問題并不是我們是否要整合云服務。真正的問題是如何管理好相干風險。是否每個供給商都值得信任？答案當然是否定的。但是，選擇一個云服務供給商就如同選擇一個內(nèi)部軟件，硬件或服務供給商。要懂得自己的需求，表達出自己對安全性能的期望，然后對供給商的產(chǎn)品進行評估。和服務商保持良好的溝通，共同改良控件。