随着企业网络和政府网络的日益“外围化”，针对关键的业务服务实施云技术已是大势所趋。现在，几乎全部的流量是通过端口 80 来传输的。我们的服务外围正延伸到每一种可能的虚拟设备和小型设备。这种迁移趋势正在改变着我们的安全模式。

简单来讲，“云”是指通过远程站点提供的服务以及运行这些服务的基础设施。无论是公共云、私有云、混合云还是社区云，我们与之交互的设备（终端、服务器、存储设备、路由器、安全系统）的物理位置都发生了改变。如果我们的安全环境需要与不属于我们的设备进行交互，风险管理难题将无从破解。

IT“云”化改变传统安全模式

云计算的标志性特征（多用户、自行管理及随时随地的按需访问，可广泛地支持任何启用 Web 的标准设备）使IT安全专业人员几乎难以履行职责。当业务部门使用企业信用卡在五分钟内完成云存储应用注册时，他们甚至可能还未了解到公司所使用的云服务提供商的完整名单。

云服务的整合模式有助于拓展我们的现有保护技术：电子邮件可以包含HTML元素和URL链接，类似Gmail和Yahoo这类网站也是邮件门户。任何数据丢失报告功能必须包含这两个有用的媒介。如果准予未经授权的用户通过不当使用的合法访问控制访问敏感数据，则对所有这些方面的保护都将失效。保护必须是全面的，并且能够充分发挥如今使用的各项技术的优势。

风险管理专业人员在研究管理云通信风险时需要考虑哪些因素呢？这些因素包括以下四方面。

一是合规性。合规工作很复杂，其成本也相当高，这有多方面的原因。有关云计算管理的法律在不断发展；数据可以快速轻松地跨越政治边界流动；如果Web服务用户不能以物理方式访问保存数据的系统，则电子发现（eDiscovery）会受阻。当相关法规要求提供电子邮件或其他数据时，如果涉及云服务，IT管理员可能无法生成数据。出现这种问题的原因在于云服务提供商合同并不总是规定了数据可移植性，使用云产品也并不总是能够轻松提取数据。

政府机构相互共享的数据量不确定，提供云服务的企业与政府合作满足数据请求的量也不确定。从小型、中型到全球性企业，都已支持Internet。所有这些动态问题和挑战使了解和实施云服务合规战略变得困难重重，而且几乎可以肯定您每年不得不审查和更新条款与条件。

二是身份信息和访问管理。在将关键数据移至云环境之前，您需要确保控制框架在云中不会失效。在您的企业网络中使用的身份验证服务可能未使用 Internet 路由协议，而其他身份验证因素可能与云有关。您的团队可能缺乏必要的技能来有效、安全地使用安全声明标记语言 (SAML) 以及如今许多云资源中既有的其他措施。您可能需要支持Open ID（超越您的物理外围整合您的身份信息）以及从集中位置管理第三方的凭据代理，同时依靠服务提供商来正确管理基于角色的资源访问。当员工离职时，可以通过既定的人力资源流程，轻松撤消其网络访问权限。然而，访问常常会延伸到包含公司敏感数据的外部网站，如Salesforce.com。您需要具备法律和技术方面的能力来评估和不断审核这些问题。

三是可用性。如果您不能控制运行时间和可用性，则很难避免、检测和管理故障。然而，利用云服务可提高您的服务弹性。您将需要设计合同机制，以进一步提升SLA和资源的有效性。

四是事件响应。如果您无法预启动和中断可能受到损害的服务器的网络连接，您将会失去用于管理事件爆发、破坏和数据渗出事件方面的一些功能选项。云服务提供商必须在缓解风险和加快事件响应方面起重要作用。

上述问题对管理云计算引发的风险以及充分利用其所带来的机遇和潜在优势至关重要。