幾年前，波音公司的E.J. Jones就有了一個美好的設(shè)想。作為IT安全軟件專業(yè)的專家，他希望能夠不受影響而客觀公正地評審Amazon web服務(wù)與應(yīng)用（AWS）應(yīng)用程序的源代碼。這非常適合應(yīng)用程序和他的需要，而且費用并不高，也不會增加基礎(chǔ)設(shè)施團隊的負(fù)擔(dān)。

　　問題在于除了Jones一個人慎之又慎之外，他所供職的公司完全不把安全當(dāng)一回事。波音公司需要一個在組織內(nèi)部實現(xiàn)云計算的實施方案，Jones和IT安全部門就擔(dān)負(fù)起這一重任。

　　“我希望在云中發(fā)布波音公司的一個首批應(yīng)用?！盝ones說。小項目實施云計算的源動力就是便捷、廉價和快速，這已是老生常談了?！拔覀儧]有足夠的帶寬，所以我們就嘗試使用云計算?！彼f。

　　Boeing公司對云計算供應(yīng)商進(jìn)行評估

　　盡管技術(shù)上可行，但是將概念性的理論在波音公司的復(fù)雜組織架構(gòu)中進(jìn)行實施就成了一項不小的挑戰(zhàn)。Jones認(rèn)為，安全團隊希望為具有凝聚力和實用性的云開發(fā)一個程序和一個框架，但是他們遇到了許多法律、戰(zhàn)略和實際障礙。

　　Jones按計劃推進(jìn)，他們將開發(fā)一個軟件工具用于評估云計算供應(yīng)商能提供哪些功能以及不能提供哪些功能。安全團隊從云計算供應(yīng)商相關(guān)針對性的標(biāo)準(zhǔn)建議需求書（RFP）入手，這完全有別于波音公司以往對合同項目的常規(guī)做法。

　　“我們得到的回應(yīng)是可笑的。”Jones說。他指出，大多數(shù)RFP都始于一個業(yè)務(wù)需求，而不是一個安全協(xié)議，因此他的團隊提出了關(guān)于信息需求書（RFI）的105個問題文件。

　　但是之后得到的回應(yīng)（即便是那些來自于云供應(yīng)商和管理托管供應(yīng)商的回應(yīng)）也都是出自于那些不諳技術(shù)、缺乏足夠信息的銷售和市場人員之手。顯然，波音公司無法依靠廠商來得到對自身產(chǎn)品的功能需求。

　　Jones表示，有效的解決方法是由供應(yīng)商公正地完成一個打分評估表。波音公司設(shè)計了一個包括五部分內(nèi)容的核對表，并對每個供應(yīng)商進(jìn)行分級。其中包括諸如“該供應(yīng)商是否能夠告訴我們何時以及如何發(fā)生故障？”以及“他們是否能夠保證正常運行時間？”等這樣的問題。Jones說，這些通常也是云計算供應(yīng)商無法回答的問題。

　　他說，作為一個安全性從業(yè)人員，他無法僅僅“紙上談兵”來空談服務(wù)的安全性。他也驚訝于在實際工作中了解到的情況，即在合同中安全性往往是最后考慮的一項。

　　“作為一個信息安全從業(yè)人員，我之前并不是非常了解服務(wù)級別協(xié)議（SLA），我也不了解相關(guān)法律。”他說：“嗯，但是現(xiàn)在我比較了解了?！?/P>

　　在云中導(dǎo)航

　　Jones補充道，他工作的極大部分是為組織進(jìn)行導(dǎo)航。他回憶他向首席信息安全官（CISO）介紹時的情況，公司的重要律師在場，盡管Jones正在與律師團隊進(jìn)行廣泛的協(xié)商，律師也并不知道波音公司正在考慮對IT應(yīng)用程序使用外部服務(wù)資源。他對此感到極度的驚喜。Jones認(rèn)為，那是一個有趣的會議。

　　波音公司能夠為評估和選擇云計算供應(yīng)商創(chuàng)建一個模板。Jones表示，但是如果企業(yè)和供應(yīng)商能夠采用行業(yè)中較好的安全標(biāo)準(zhǔn)，那么許多難題都可迎刃而解。

　　供應(yīng)商需要為用戶提供周到的安全措施服務(wù)，Jones說。他還補充道，由于將傳統(tǒng)產(chǎn)品與云計算產(chǎn)品相混淆，IT服務(wù)業(yè)其他領(lǐng)域的問題正在以驚人的速度變得越來越嚴(yán)重。“由這一問題所引發(fā)的方式是驚人的?！?/P>

　　Jones目前正在將云安全聯(lián)盟的指南和建議融入到波音公司中的實際工作中。Jones認(rèn)為，聯(lián)盟的工作與自己的學(xué)習(xí)曲線相互平行，因此它成為了企業(yè)著手實施云計算所考慮的模型。他說，他的部門已經(jīng)對云供應(yīng)商們進(jìn)行了30次的評估，這里面沒有捷徑可以走?！皬陌踩慕嵌葋碚f，這的確需要大量的時間?！彼f。

　　在最后的分析中，Jones表示，顯然云計算是值得作出如此付出的。但是對于企業(yè)來說，要想真正安全地實施云計算，唯一可行的方法就是統(tǒng)一思想，做好宣傳和準(zhǔn)備工作，踏踏實實地執(zhí)行合適的安全（和法律），促使云供應(yīng)商公開明確有意義、普遍認(rèn)可的技術(shù)資料。

 1/2    1 2 下一頁 尾頁