应用程序库软件一直以来都是大部分企业的主要应用。这类软件允许管理员跟踪企业所正在使用的应用程序,以确保软件的使用许可和安全合规性问题。但是,这种应用程序库跟踪的方法对于云计算是存在问题的,也就是说它并不适合跟踪云计算应用程序。
首先,对于云计算应用程序来说,应用程序库跟踪的概念似乎有些过时了。毕竟,云计算应用程序通常都是基于订阅模式的。这意味着,确保使用许可合规性的概念已成为过时的概念。但是,这并不是说不需要进行库跟踪了。云计算简单地改变了编制和管理库的方法,以及编制云计算软件库的原因。
盘点云计算应用程序:安全性
当谈及云计算应用程序盘点时,我们所关注的重点已从确保使用许可合规性转移至控制成本和确保安全性。
安全性是编制基于云计算应用程序库中最常被忽略的原因之一。对于管理员来说,在验证应用程序是安全之前就知道用户们正在使用哪些应用程序是至关重要的,因此需要编制一个云计算应用程序库。然而,云计算应用程序库的安全性内涵要比这深入得多。
一些基于云计算的应用程序在配置安全设置上提供了极其有限的方法,但另外一些应用程序所提供的方法则要丰富得多。拥有一个云计算应用程序库可以使我们识别出那些具有可配置安全选项的应用程序。然后,管理员就可以验证(如有必要就可重新配置)这些应用程序的安全设置。
对于那些有较高合规性要求的企业来说,拥有一个云计算应用程序库则显得尤其重要。例如,医疗保健机构就被HIPAA(医疗电子交换法案)要求确保以安全的方式来存储和访问受保护的电子健康数据。如果一个组织使用云计算应用程序来访问这样一个受保护的数据,那么该组织就必须负责确保所使用的云计算应用程序是符合HIPAA要求的。根据云计算应用程序的本质特点,该组织可能还必须在他们的合规性文档中明示使用了该应用程序。
云端应用程序库跟踪最佳实践
有时,云计算应用程序会对一个组织的安全性带来直接的威胁。在过去的几年中,就已出现过无数个跟踪在线活动或包含某种形式间谍软件的云计算应用程序例子了。对这些类型云计算应用程序的最好的保护应当是一个强有力的政策,由它来规定在云计算应用程序被使用之前它们必须得到IT部门的授权。当然,对于组织中个别部门已经使用了不同云计算应用程序的情况来说,这样的政策已基本不起任何的保护作用了。一个集中式的云计算应用程序库可以帮助我们确定目前正在使用的云计算应用程序。这样一来,企业就可以研究不同的应用程序以确定是否存在着任何严重的安全漏洞。
构建一个云计算应用程序库
似乎并不存在着这么一个专为编制云计算应用程序库报告而设计的应用程序。在这样的情况下,企业可能会考虑沿用他们现有使用许可软件的方式,这样他们就可以开始跟踪云计算应用程序的使用情况。虽然,这个方法一开始可能并不能让人满意,但是这终究还是一个办法。对云计算和内部部署两种情况使用一个单一的应用程序库应用程序就意味着在一个集中的位置存放所有的软件库数据。
在盘点云计算应用程序和内部部署应用程序之间还是存在着一些关键的差异点的,而这些差异点可能会影响到企业编制其软件库的方法。其中最显著的差异点就是应用程序库软件将无法自动检测到云计算应用程序。当然只要应用程序库软件允许手工输入应用程序数据,那这就不成为一个问题。
但是,市场上的一些软件库应用程序是专为已安装软件而设计的,它们会周期性地扫描各网络端点,因此也就不支持手工输入数据了。对于那些希望编制云计算应用程序库产品的拥有者来说,这可能是一个大问题,因为云计算应用程序实际上并不会被安装到网络端点上。
管理员可能会面临的另一个挑战是,传统软件库应用程序是专为自动跟踪软件使用情况和编制使用许可数量而设计的。但是,这样的一个应用程序是没有办法知道有多少用户正在使用云计算应用程序或者是否所有的云计算应用程序都被计入。再次强调,应由管理员来对该信息进行手工维护。
实际工作中的应用程序库
就目前而言,维护一个云计算应用程序库在很大程度上是一个手工的过程。即便如此,花费相当资源来编制和维护这样一个应用程序库也是非常值得的,因为这个库能够帮助我们管理应用程序的安全控制。
例如,我们可以使用这个库来确保不使用未经授权的云计算应用程序。很多软件库应用程序允许管理员编制一个“禁用软件”列表。在云计算应用程序的情况下,这个列表可能会包含那些已知有间谍软件的应用程序或具有违反企业安全策略已登记在册漏洞的应用程序。可能很难记住所有被禁的应用程序,但是一个好的软件库应用程序应该可以对正在使用的云计算应用程序和被禁的云计算应用程序列表进行比较,并针对任何的违反情况向管理员提出警告。
此外,我们还可以通过跟踪使用率的方法来使用这个库以提高安全性。大多数企业都使用一个单独的工具来跟踪用户访问的网站。我们可以互相参考互联网使用报告和云计算应用程序库报告,以确定哪些云计算应用程序的使用率较高。从安全性的角度来看,这是非常重要的,因为如此多的云计算应用程序都把数据保存在云计算服务器中。如果数据表明,任意一个特定的云计算应用程序不再被使用,那么企业的应用程序支持团队就可以提取这个应用程序的数据并取消云计算订购,从而降低数据意外泄漏或因受攻击而泄漏的机会。
结论
云计算应用程序的分散性就决定了应用程序订购是非常容易失控的。当订购一个新的云计算应用程序时,最好应对谁要求订购、谁需要访问以及订购的目的等信息进行详细地记录。有了这样的信息就会非常易于进行周期性的云计算应用程序库审核,从而确保企业所订购的云计算应用程序仍在被使用。
更重要的是,可以使用云计算应用程序库来确保企业的数据仍然是安全的。拥有一个集中式的云计算应用程序库可允许IT人员进行定期检查,以确保云计算应用程序可继续被安全地配置和使用。
作者简介
Brien M. Posey, MCSE曾为他对Windows 2000 Server和IIS的贡献而被授予微软最有价值专业人士。他担任一家全国性连锁医院的CEO,并曾为Fort Knox负责IT安全工作。