云计算指南：管理、架构、安全、网络与服务(5)

云计算指南：管理、架构、安全、网络与服务

因此，我们不妨牢记下面这些关键因素：

——备份如何进行？有些云服务提供商进行备份，不过更有可能是你想自己进行备份。亚马逊EC2的许多客户还使用亚马逊的简单存储服务（Simple Storage Service，S3）或弹性块存储（Elastic Block Storage）用于存储备份文件。 ——备份经得住测试吗？如果服务无法使用，你能访问备份数据吗？

——备份数据将放在哪里？它也许放在云存储系统上、由提供商来托管，或者转到你自己的基础架构。不管怎样，你还是要知道备份数据在存储和传输中，数据得到了怎样的保护。

管理与监测

许多公司的信息安全团队平时经常监测安全漏洞邮件列表、给系统打补丁、改写代码以解决缺陷。在云中，他们相信提供商事先至少对一些方面进行了调查。 很少有提供商让客户可以核实自己采取的安全做法，不过有些提供商变得更愿意配合。公司在使用Joyent或亚马逊的EC3等云系统时，可以在操作系统、数 据库和应用程序等层面采取安全措施，但他们仍依赖各自的提供商确保网络、存储和虚拟基础架构的安全性。

尽管云服务用户并不控制实际的打补丁和漏洞监测工作，但他们仍有责任管理自己的风险。所以他们要评估哪些资产需要保护、如何防护这些资产，包括在云 基础架构上添加安全措施。即使那样，支付卡行业（PCI）标准等行业法规仍可能会让人措手不及，因为PCI委员会方面没有明确规定如何对云服务提供商进行 分类。这可能意味着，不同审计人员对待云服务提供商的标准会略有不同。 云服务客户必须要求保证自己可监测谁在访问自己的数据。如果公司要求提供详细的审计跟踪记录，应当采用数据加密；或者只把所处理数据不是特别敏感的应用程序交给云服务提供商。

这个方面可能会迅速得到改进。谷歌近期表示，Google Apps的安全流程已通过了SAS 70 Type II审计标准。预计会听到更多的提供商宣称自己的安全标准，因为安全仍是导致公司不敢把应用程序转移到云中的一大障碍因素。

当然，内部信息安全团队不应该坐等提供商来加强安全。从桌面应用程序到服务器托 管的各个应用领域，云计算都会变得越来越诱人。需要更高安全级别的应用程序，比如与《健康保险可携性及责任性法案》（HIPAA）或PCI相关的应用程 序，可能在云中更难得到保证，因而放在公司内部比较妥当。社区应用程序和内容网站比较适合放在云中。公司的技术团队必须确定把什么数据放在云中不会有问 题，但他们也要明白：云最终会是整个基础架构的一部分；还得要自己弄清楚如何把企业系统与云基础架构安全连接起来。

四、网络篇