Terremark安全专家：如何应对平台安全审计（上）

　　TechTarget：那么Terremark的云计算是拥有不同的实际安全等级，还是说对所有用户都有统一的安全基线呢？

　　Chris Day：用户都是同等对待的。这里有一条基线，举个例子，IDS（入侵检测系统）、被管理的防火墙、流量监控以及其他产品都会提供给所有人。不论用户是否支付了额外的附加服务。如果他们想要日记汇总，因为他们可能需要实现良好的安全监控或是他们需要实现PCI要求，那么可以选择购买这些功能。从报告的角度，这更接近你想要从SLA获得的交付产品。

　　当一位新客户选择电子云计算（e-cloud），其中的流程是很快速的，但不像vCloud Express那样快。顾客会选择并表示，这里的安全技术实现指南（Security Technical Implementation Guides，缩写STIGs）和ISOs（International Organization for Standardization）是他们想要的。我们会帮助他们导入这些，这样就可以显示在界面上了。

　　该流程中的一些环节要比其它同类流程容易的多。根据用户平台的复杂程度，它可以做需要的改变，但这要花费一些时间。我们正将ArcSight从用户站点移出并扩展到我们的vCloud Express上。

　　TechTarget：如何使得从事的审计变得轻松？

　　Chris Day：我们分配一些人力资源到该过程上。举个例子，我雇了一个员工，相当于全职的。他的工作就是与客户和审计人员打交道，让他们了解该过程。如果你接触过FISMA审计，你就会了解它不像PCI那样勾选项，这里有更多主观因素会起作用，这都取决于你的审计员。你必须要有经历过整个过程并有丰富经验的人员来从事该项工作。

　　另外，云计算是新生事物，虚拟化也是新生事物。我们做得第一个FISMA审计让审计员们费劲了心思。他们谈到“我们没有任何可以参考的资料”。所以我们和他们一同工作来开发工具，这些工具随后帮助他们加快了控制链并获得了认可，并在时间上大大简化了该过程。

　　我们开发了一些用户脚本，这些脚本允许我们检查和审核。我们有自己的审计书，它列出了以往出现的全部问题。一位新审计加入，他可以得到打包好的资料，这其中包括了以前审计人员所要的全部资料以及我们对此的认证。他们可以浏览这些后再决定想要检查些什么。但这需要花费一些时间，通常真正的FISMA审计，要花费30到60天。

　　TechTarget：云计算会实现安全上的理想状态吗？何处才能彻底地托管存储与计算，彻底实现透明与安全，以及用户的独立控制呢？

　　Chris Day：我不认为目前能实现你所描述的产品，到目前为止没有哪个系统会像那样。如果真是那样，那将意味着坏人是静止的，这种情况根本就不存在。云计算终究只是个平台——这里没有什么魔法存在。它仅仅是实现更快速更弹性化地提供IT系统的另一种方式。

　　人物简介　　

Chris Day负责管理Terremark的全球信息安全服务以及客户信息。Chris参与有关安全审计、弱点评估、计算机取证和安全系统设计等领域管理着众多咨询项目。他是在众多安全事件中处理系统入侵、知识产权窃取、电子骚扰和诈骗方面的专家。

Chris获得迈阿密大学（the University of Miami）物理数学的学士学位。