全球托管供应商Terremark的安全架构师Chris Day就公司如何将法规遵从融入自身的企业云计算、电子云计算（e-cloud）以及相关服务等问题与TechTarget记者进行了探讨。具备通过像联邦信息安全管理法案（Federal Information Security Management Act ，缩写为FISMA）这样繁琐审计的能力，对Terremark的政府用户而言是必要的，不过服务供应商觉得对此投资是值得的。对此，Chris Day就如何简化流程问题回答了TechTarget记者的提问。

　　TechTarget：使用云计算平台的前提会是它必须已经通过了审计？

　　Chris Day：从开始设计，我们就服从审计要求，因为我们清楚我们的目标是可以支持民政机构。为此，我们必须确保有能力通过中级FISMA，事实上我们也在向高级FISMA努力。

　　你不能在已经设计出产品后再回头说，“让我们来通过FISMA审核吧！”如果你没有为此做好准备，事实上要想通过审核是不可能的。我想你可能已经见过一些符合要求的供应商了。整个“企业云计算”的概念就在于拥有企业级的服务级别协议（SLA）、企业级的任务支持、企业级的关键业务支持。对此我们清楚必须要支持PCI，我们也清楚必须要支持其它的框架。这已经不是什么大秘密了。

　　我仍旧对一些号称专家和权威人士感到吃惊——他们并没有实际运作任何云计算架构的经历，他们置身事外，大谈特谈云计算并混淆云计算的实质。

　　TechTarget：为什么它不是大秘密？云计算安全一直以来都是市场的焦点。

　　Chris Day：实际上，云计算就只是一个IT服务的平台。你可以获得所有这些很炫的新特性——弹性扩展、自助式服务等等——但从安全角度来看，它根本没有改变什么。不论你在企业组织中采用什么样的控制框架，你是否是一家规范化的商业机构或是政府机构，不论你是否希望认真对待信息安全，你都必须要进行审核。

　　如今，其他的问题又浮出水面，特别是平台即服务（IaaS）在取证与及时响应方面。机器在何处可以快速地分配，你就可以用它来做坏事，然后快速地去分配（de-provision），这样证据就消失了。如何从法律的角度处理这类问题是件很棘手的事情。

　　TechTarget：在现在恶劣的环境下，你又将如何设计安全？

　　Chris Day：眼下我们所做的，比方说我们设计和构建云计算基础设施，就是在包装各种各样的安全服务。我们希望有能力成倍提高成熟度，从信息安全的角度，一个企业自身环境下的任何关键平台可能都需要这样的安全保障。

　　TechTarget：规范化的用户又该如何使用云计算？

　　Chris Day：这里有一整套的产品设计审核过程，我们有属于自己的一套基线文档，如果有人找到我们说：“如果有我需要的产品的话，我就部署到你们的环境下。”这里有一套打包文档需要填写。如果是部署新系统，为了让用户系统运作，我们可能必须培训员工——然后为了网络运作中心（network operations center，缩写NOC）和安全运作中心（security operations center，缩写SOC）的员工，我们会支持有关需求把新系统集成到仪表盘上。

　　有时人们如何思考是很好笑的，“这就是云计算，它就是出路。”它是所谓的产品集，它又不是。它是一个必须具备支持灵活性能的平台。

　　实际上，我们有一位客户运行了后台使用主机的云计算环境。他采用了托管空间，我们要跨越连接主机到他自身的云计算环境。

　　Terremark安全专家：如何应对平台安全审计（下）