虽然作为外包服务,云计算确实非常具有吸引力,但是对于企业和政府而言,云计算却是安全和法律雷区。云服务供应商经常对其数据中心和操作保密,并声称这样做能够提高数据安全性。
企业和行业分析师已经厌倦云计算供应商这种“不问不说”的态度,没有保密协议,也不回答问题,并且数据中心的位置和操作都被当作国家安全机密一样保密。而公共云服务供应商则认为他们的这种保密机制是适用于云模式的,并且所有云服务供应商都是这样做的。
供应商们经常拿出第70 号服务机构审计准则(简称SAS 70)审计证书来平息用户的顾虑,虽然有些供应商甚至都没有SAS 70证书。
“用户存储在谷歌云服务中的数据是安全的,” 谷歌产品营销经理Adam Swidler近日在Gartner安全会议上表示,他强调了谷歌的多租户分布式模式“将数据分散在很多硬盘”,这样在这个“硬化的Linux堆栈”中能对硬盘中的所有文件的所有片段进行快速更新,这个过程被称之为“模糊文件”。
Swidler承认对于云服务数据中心的位置的保密是因为“这存在安全风险问题”,不过,谷歌正在试图扩大云服务的透明度。
目前来看,谷歌即使公开部分信息或者依据保密协议公开信息都是不能满足每个人的要求的,Swindler表示,总会有些人想要更详细的信息。
数据中心的位置是合同协议(涉及大量立法和司法问题)中的大问题。例如,数据的位置在某些数据隐私法律(欧盟的法律)中属于重要问题。虽然用户通常都很关心他们的数据的物理位置,但是谷歌认为数据物理存储位置的观念有点过时,不过很多人都不同意这个观点。
用户想要知道云服务供应商的数据中心的位置,Pitney Bowes公司的OnDemand分公司(向企业和政府客户供应软件即服务应用程序,如城市地图服务)的总经理Kurt Jackson表示。
关于云计算透明度和保密的争论导致了一种文化冲突,即传统的处理数据外包和新型云计算方式之间的冲突。
Gartner 研究公司分析师John Pescatore表示,我们无法知道谷歌“将数据分散在很多地方”的技术是否能提高安全性,因为我们没办法对其进行评估。在Gartner安全会议中,他认为公共云服务供应商的SAS 70证书对于某些客户来说行得通,但并不是所有客户都信任SAS 70,从安全水平来看,这个证书是没有意义的,只是能够取悦审计官。
Pescatore认为,持有某种机密数据的企业不太可能会选择公共云计算服务,除非将来某一天,他们能够确定他们最爱使用的安全机制都在云环境中运行。
云计算对传统的审计和安全观念带来挑战,这可能是一种需要解决的全新的审计方式。
“如果你的服务供应商不向你提供有关安全进程和规划方面的信息,则你不能信任这个供应商,”Nemertes研究所分析师Andreas Antonopoulos表示。
“模糊安全”这种旧观念完全是误导,它是指采取完全保密的方式能够加强安全性,“这是行不通的,总是有人知道某些安全信息,”Antonpoulos表示。如果有人试图用这个旧思想来说服你的公司接受他们的产品,最好是掉头就走。
法律专家注意到,洛杉矶市公布了与谷歌关于迁移到谷歌电子邮件和协作服务(由美国计算机科学公司提供IT服务协助)的合同。Information Law Group公司的律师David Navetta最近完成了对洛杉矶市与谷歌和美国计算机科学公司的合同的分析,以确定谷歌与美国计算机科学公司对于潜在数据泄漏和损害赔偿各自承担的责任。
他指出,谷歌被定义为美国计算机科学公司“分包商”,对于数据泄漏或者丢失,美国计算机科学公司需要为谷歌的行为或者错误支付赔款,不过,他认为数据丢失这一说话应该进行更加详细的定义。
一般来说,对于评估和审批云服务合同的工作,总是会遇到相同的情况,即云服务供应商坚称他们没有时间谈论细节或者不想做出改变。
“通常他们会说,‘我们不会专为一位客户做这样的改变’,”Navetta表示,安全和法律通常是属于同一方面,而IT部门想要速战速决以节省开支。他表示云服务供应商通常不想让客户知道太多东西而让他们对局面失去控制。
毫不奇怪,大公司和政府机构会认为能够从云服务供应商获取更多让步,但并不是所有企业都对合同有所顾虑。
Merit医疗系统公司网络系统主管Lincoln Cannon表示他们公司在与谷歌Apps、Telania的eLeap销售培训,以及Amazon的新公司网站开发三者间的云计算服务合同谈判中都采取了几个步骤,他们将样本法律协议交给法律部门,来来回回进行修改,直到各方都满意为止。
并不是所有云服务供应商都反复讨论保密问题。
云基础设施服务供应商ReliaCloud有两个数据中心, 并约有100名云客户在使用其新的基于杀毒软件的环境,该环境建立在由Cloud.com设计的管理平台,首席技术官Jason Baker表示。
不过,该托管服务供应商的5000位客户中,大部分客户都选择继续使用该公司提供的更传统的基于专用服务器的数据存储方式。云计算的概念仍然很新,客户都在试图弄清楚云计算与传统数据存储的差异。但是Baker认为,共享租户且基于虚拟机的云服务所提供的高实用性是专用服务器所不能比的。
“这是更可靠的,”他表示,“如果你的应用程序在物理环境中运行,客户可能会遭遇停机。但是在云计算环境中,我们有很多虚拟机,即使一个物理节点故障,则会在云环境中的另一个节点继续进行。”另外,使用一些API(应用程序编程接口)能够允许客户的应用程序感应需要增加计算能力并立即执行。
与某些云供应商不同,Baker愿意告诉客户正在使用的安全防御措施,例如防火墙等。
对客户来说,目前的问题是云服务供应商将公开多少信息。