云计算、虚拟商业服务或其它任何可以称之为第三方关键供应服务，现在都位于可以为业务提供帮助的工具列表中。它们让小型企业可以为客户提供以前只有大型企业才能做到的服务。并且让公司相信在需要的时间就可以获得足够的资源。这样的灵活性还有许多问题，需要企业慎重考虑。

　　功能强大的云

　　企业正在寻找方法，可以在保证预算不超支的情况下，满足客户日益提高的需求，这让它们与云的接触越来越频繁。云服务提供商通常通过使用虚拟化技术对符合成本效益功能强大的服务进行分割。

　　与传统方式的基础设施相比，虚拟化部署带来了一些优势。对于云服务提供商来说：

　　1.硬件集中让云服务提供商可以通过共享平台为不同公司提供主机服务。它还可以实现按需对操作和通讯过程中的资源进行调整。换句话说，就是在服务意外增加的时间可以扩大客户专用虚拟系统的数量。

　　2.云服务提供商们可以部署任何应用，而不用担心底层硬件的限制。

　　3.云服务提供商的客户可以预期获得更多的运行时间和更短的中断恢复时间。这归功于虚拟化技术带来的好处，其中包括了通过预先配置的镜象部署和冗余的虚拟系统。

　　但是，虚拟化的管理不善也是一个潜在的安全漏洞。

　　虚拟化在安全方面面临的挑战

　　虚拟化在安全方面的固有漏洞让它变得非常有吸引力：能够迅速找到任何类型的服务器。这一弱点为系统工程师提供了紧跟客户要求部署应用或者数据库服务器的机会。但这并不总是意味着是一件好事。

　　在传统系统里，系统工程师需要先申请一个新的硬件平台，才能部署新的或升级的服务。这一申请过程必然需要至少一名经理的审核。在管理严格的公司中，它甚至可能导致对硬件、工程师计划替代的环境以及预期的服务进行多方面审核。由于这样的审核，信息技术团队能在系统购买和部署之前对设计中出现的安全问题进行处理。

　　虚拟化让工程师能够很容易绕过管理人员的控制。由于部署一台新服务器的时间，并不需要额外硬件，工程师就可以在没有经过架构与安全团队审核的情况下，部署关键应用，收集敏感数据。这可能导致存储在网络上的数据安全等级下降或者安全配置系统中出现漏洞。

　　所有实施虚拟化的公司都面临着这样的挑战。但是，对公司负责维护的数据进行内部审核并调整处理过程，有助于防止安全管理出现失误。当虚拟化在云中应用时，管理调整是在内部工作人员日常审核之后的事情。

　　对于云服务提供商虚拟化来说，一种相关的额外风险是价格的竞争力，是否能够吸引新客户，并保证现有客户群的稳定。即使一家云服务提供商决定要对包括安全审核在内的处理过程进行调整，业务活动带来的压力也可能导致在虚拟化实施过程中管理模式的调整被推迟。

　　迎接挑战

　　我不主张回避云环境。相反，我鼓励企业对是否迁移任何业务到云中以增加商业价值还是继续运行自己的数据中心进行评估。但是，由于对于任何业务活动来说，共享的机密数据都是非常重要的，企业在考虑使用云服务提供商之前，应该对业务信任链进行有效的管理。确保客户期望的虚拟或硬件技术必须明确包括在协议中，这包括了：

　　1.云服务提供商对记录使用和审核变更管理模式的承诺；

　　2.在系统设计步骤中，允许公司客户将新系统实施审核作为管理调整过程的一部分；

　　3.公司客户拥有使用自己的审核人员对云服务提供商的记录使用和虚拟文件系统配置情况进行控制的权利；

　　4.并且云服务提供商必须明确声明，决不允许客户在没有审核服务器配置和网络布局的前提下部署没有获得许可的系统。

　　结论

　　云计算和虚拟化都是有利于商业的技术，只会变得更加普及。对于安全专业人士来说，唯一的选择就是适应策略和模式的变化。即使你还不希望云服务提供商进入自己的领地，这也不是一个坏主意。在引进到数据中心之前，你可能也需要对自己公司管理虚拟化潜在混乱的能力进行审核。