数据遵从与云发生冲突怎么办?

Forrester近期发表了一篇题为《遵从性与云:购买者须知》的精彩报告。该报告由Chenxi Wang博士撰写,对数据遵从性要求与云计算现实世界之间的冲突所带来的挑战进行了分析。

正如文中所说的,大多数数据遵从性法律法规在制定时,是以可靠的第三方控制保存数据的基础设施,以及掌握存储位置控制权作为前提的。实际上,没有一项法律法规意识到,服务的提供者可能会代表责任机构掌握数据。因此,大多数遵从性的情景都将所有的责任交给云计算环境的用户来承担,尽管事实上数据的主要控制权并不在用户手中。

这份报告提到的几件事给我留下了深刻的印象:

1.了解一家IaaS提供者数据中心的位置(以此了解数据存储的位置)比了解SaaS提供者数据中心的位置更为容易。谷歌在分析报告中被确定为不能肯定地说出数据保存在何处,或其位置大概在哪个区域。显然,任何有关位置的不透明性都给用户了解他们是否遵从法律法规造成了真正的问题。

2.只有一项法律被确定为明确规定服务提供者的责任:即"HITECH for HIPAA"法规。其他所有的法律法规都把所有责任留给了用户。在笔者所在的云计算咨询公司HyperStratus,我们将这种情况称为"非对称风险"。虽然事实上遵从性是一种共同承担的责任,但大部分或全部风险却落在了用户身上。

3.那些鼓吹云提供者承担采取法律遵从性措施责任的人忽视了一种显而易见的困难,即云提供者并不知道什么数据保存在他们的基础设施中,因此不可能知道什么法律条件适用于这些数据。对于像亚马逊这样的公司,某人只要拥有信用卡和账户ID就可以开始执行基于云的应用,这一事实意味着它无法验证(或者甚至了解)应用的遵从性要求。需要重申的是,不经过讨论,云的提供者无法知道应该为遵从性采取什么措施,因此坚持认为云的提供者挺身而出承担满足遵从性要求可能是不现实的。

4.基于云的PCI实际并不存在。报告指出,达到PCI遵从性似乎在经济上对于云的提供者没有吸引力,因此多数云的提供者不愿为此操心。报告提出的标准建议是,将应用部署在云环境中,并向另一家专业从事PCI遵从性的服务提供者发出面向PCI的请求。

在建议方面,这份报告提出了两类遵从性措施:

1.评估:一种办法是,通过讨论云提供者的遵从性措施来评估他们的遵从性情况。笔者认为,这可能对于所有用户并不实际,因为希望坐下来讨论所执行措施的客户会很容易令云提供者无法招架。在任何情况下,一种需要大量互动的模型并不适于希望提供低成本、低接触服务的许多云的提供者。开发一种可以自动化远程评估的、标准化的云审计描述的项目正在准备之中。这更适合目前云计算的发展方向,并具有标准化的描述可以作为服务提供工作流的一部分,从而评估和指导来自一个基于规则引擎的资源配置决定。

2.补偿:另一个办法是,执行补偿控制来减少云提供者方面的不足。报告中确定了5种控制措施:(1)净化或匿名化数据;(2)加密数据;(3)寻找获得可靠安全认证的云提供者;(4)付更多的钱来鼓励云提供者提供必要的遵从性措施;(5)使用托管专有云。

前三个措施是非常好的建议,不管云提供者是否采取了其他遵从性措施,这三个措施都应该加以考虑。即使云提供者的措施失败或不符合要求,这三个措施仍能提供保护。不管是否涉及到云提供者,这三项措施都是最佳实践。第4个和第5个措施也是有意义的,但在一个云提供者通过关注标准化、自动化服务来赢利的世界中可能是无法实现的。它们值得去为之努力,但是如果它们被证明在某个环境中不可行,请不要感到吃惊。

在展望未来时,这份报告预测,云的提供者将在遵从性支持和效率方面表现出差异,并在这方面展开竞争。其中的原因包含以下三点,(1)他们可以平摊费用;(2)他们实现过程的自动化,并因此可以在遵从性控制方面非常高效率地运行;(3)他们必须如此,因为法律法规要求很重要,并将在未来变得更加重要。

笔者同意这些看法,但有以下条件:即遵从性将非常重要,但是成为真正赢家的服务提供者将是那些找到如何按前面提到的自动化审计机制将自动化的内部控制与自动化相结合方法的人。由手工互动、审计、长长的检查清单等构成的当前遵从性评估模型,只在旧的、非云的世界才有意义。对于未来的云世界,速度和灵活性至关重要,把冗长、劳动力密集型的(更不要说昂贵的)手工审计机制放到这个过程中从长期看是不可维持的。仅实现运营自动化是不够的,所有周围的互动也都需要实现自动化。