如何平衡企业安全控制和访问权限

尽管随着云计算的不断发展，一个老问题已然始终存在：企业的IT部门需要保留其对于数据的控制及对访问权限的控制。这是非常合理的。毕竟，如果客户的数据被泄漏或者违反了相关的法律法规，企业的IT部门必须对其承担责任。所以，企业IT部门必须制定到位的机制，以便加强对企业的数据本身和访问权限进行安全控制。

服务供应商可能会提供相关的设计服务，以便提供给企业相应的控制，但服务供应商并没有责任必须遵守并实施的相关的政策或提供有效性的报告。

认证、授权和计费服务(AAA)经常被企业引用，主要是缘于对云服务的关注。他们需要保证有适当的数据处理程序，或其他的解决问题的方式，以使得他们在享用云服务的时候也有必要的控制权。

涉及到云的一个主要问题是，其不适合于静态安全政策。例如，云计算的一个普遍使用的例子是云计算的爆破，超出的流量定向到云资源。而硬性的政策则规定了什么样的数据可以迁移到云中，在什么容量阈值，并在很短的时间内，进行数据的任何修改都需要考虑。

在完成上述这些的同时还必须确保数据在运输过程中的安全性，在已经很忙的前提下进行最小的管理。企业IT部门需要考虑AAA问题，并确保始终对于数据有控制权，在任何时候都能够将政策扩展到云中，以确保数据底安全，无论这是什么样的政策。应用程序交付控制，使得企业能够控制所有进出应用程序的流量，使他们能够输入AAA服务到云中。

访问权限控制的本质就必须包括身份管理。如果访问数据和服务没有经过授权也能访问，也就失去了控制权。如果说客户数据是一家企业的血液命脉，那么标识存储就是其心脏瓣膜，以便控制数据何时何地由谁来移动。

两种新兴的架构

目前，身份识别和访问控制两种结构均开始出现。两者都有一个共同的前提：本地身份信息存储，而数据和服务是远程的。

在第一个架构中，供应商通常是一个SaaS解决方案提供商，以经纪人的身份在企业内部设备中部署虚拟设备。这在本质上是数据中心和SaaS之间的LDAP/AD整合。

在第二个架构中，战略控制层作为云服务代理，使用标准协议如SAML，提供环境之间的整合。这使得在云服务的认证和授权得到控制。

应用程序模型是基于代理的服务扩展。关于此模型存在着一些主要的关注问题，即外部实体在数据中心内拥有控制权。但是，在一般情况下，这种模式似乎享有市场认可，尤其是在一个缺乏标准的方法的情况下。

另一种选择是基于标准的模型，使用相同的经纪模式。但在这里，代理是在企业IT部门而非供应商的控制下。其依赖于相同的抽象原则，我们已经开始认识到虚拟化和SDN有利于在网络和数据中心的敏捷性。它在资源和用户之间设置一个控制层，以便不仅在访问控制和身份管理更灵活，而且可以利用这些资源作出路由决策。

企业IT的内部控制层不太可能消失。企业IT控制(管理)是一个合法的而且相当必要的。在未来，企业可以灵活运用多种云环境，以卓越的应变能力，平衡业务连续性和数据的弹性、以及价格，这通常被称为“超云'，这可能是非常复杂的。随着云计算的广泛使用变得更复杂，控制和访问将变得更加重要，因此，云计算将是一种资产，而不是一个挑战。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友