自思科CEO钱伯斯在RSA大会上对云计算表示担忧之后,业界对于云计算的安全争论可谓达到了一个高潮。对于云计算而言,安全的法律含义是很广泛 的,这并不是能够简单回答的问题。
举例来说,属于Sarbanes-Oxley法案的企业在使用云计算服务的时候就必须确保他们的供应商符合SOX(萨班斯法案),企业需要可以核查 他们的供应商是否符合规定,并将相关规定写入合同中,这样就能保证供应商符合要求。不过即使供应商没能符合要求,供应商也不需要直接面对监管者,相关责任 还是将由企业承担。
这意味着,企业必须应对大量而复杂的数据安全问题(如个人信用卡数据和社会安全号码等),即使这些数据被存放在服务供应商的云计算服务中,企业也必 须承担数据机密性的责任。
如果法案规定了数据必须存放的位置的话,情况将变得更加复杂。云供应商可能在任何地方部署其云计算,如果法案规定数据必须存储在政府能够进行合法审 查的服务器上的话,就会让企业很难处理。
这些也许只是云服务所需要承担的一小部分法律后果,但这些问题有时候很难解决,因此企业可能会决定他们使用自己可以控制的本地基础设施来保护数据, 从而避免将数据存储在云服务带来的风险。
云服务供应商最终将发现云服务开始被大家所抛弃,预计云服务供应商将会开发专门为满足特定法案法规要求的云服务。我们期待经过深思熟虑后,新的云服 务安全规范早日出现。