在当前的经济形势下,许多组织面临着成本削减和效率压力,这迫使它们去考虑云资源。虽然云服务有许多特性,如灵活性、低入门成本以及快的市场进入率,这些特性能很好的支持各种业务,但是在考虑转向云时,合规将会是一个难题。因此,云带来的好处与保持合规之间就存在着分歧。
导致这种冲突的一个原因是“云”的定义,即“云”是无处不在,随时随地可接入的。但需要注意的是,即使云服务能在任何地方被访问,但是它并不是无处不在的。事实上,Forrester Research公司最近发现许多基础设施即服务(IaaS)云仍在使用传统的IT外包模式:它们从位于特定地域的特定数据中心提供服务。虽然确实存在真正的全球云(如Google),但在软件即服务(SaaS)方面,许多供应商最终仍选择使用本地云来提供全球化服务。
那么,为什么云服务的提供方式这么重要呢?有几个原因,首先规章制度会影响云的运作,使用本地化云服务的用户会发现他们的目标与当地的法律法规相冲突。此外,也只有全球云才能提供真正的地理多样性和高可用性。这意味着如果云操作被限制在一个或几个地点,地域多样性和高可用性都将不复存在。
最重要的是,位置很重要;如果你不知道云服务供应商的数据中心在哪里,或者说你的数据在哪里,那你将无法去评估你的数据是否受当地法律法规的约束,而且这些法律法规很有可能与你的数据隐私合规目标相冲突。除了HIPAA方面的新HITECH法案,美国境内已经很少有法律法规提到对服务提供商的要求。这意味着如果违反了法律法规,那么上法庭的将不是服务提供商。所以,如果你不知道你的数据在哪里存放,那么是时候去找出来了。
在云计算的经济学当中数据和应用是与基础设施相分离的。也正是这样一种概念使得企业在获得巨大的运营和业务效率的同时,出现了安全和合规性的问题。与其坐等云计算行业对法律合规性提供支持,安全专家们不如把眼光放的比他们的供应商更远些,通过寻找补偿控制措施来帮助云合规。下面有一些补偿控制措施供参考:
- 尽可能频繁地清理或匿名化私有数据:并非所有的数据都需要以明文的形式存储在云中。清理或匿名化私有数据也许是实现隐私控制最经济的方式;因此请把这个方法作为第一选择。
- 使用独立于云的加密手段:在实施基于IaaS的HIPAA时,加密技术可以用于保护云之外的数据和应用程序。客户对密钥妥善保管,使用可以对虚拟机或数据进行云内加密的新兴技术可以大大增强数据保护力度。
- 为更高机密数据支付更多费用:如果供应商当前并没有提供特殊的控制措施来满足法律法规方面的要求,那么我们需要与他们共同努力来尽可能的获得这些控制措施。有时仅仅需要多支付一些费用就可以满足这些需要。可以向供应商指出实施这些附加的控制措施可以使他们从其他客户手中获得额外的收入,以及增加他们在市场中的竞争力。
- 使用托管的私有云:托管的私有云是一套专用的云基础设施;换句话说,它是一种实用定价模式,通过标准的Internet协议来访问,并且能自动分配由第三方托管的工作负载。由于基础设施是专供你的组织使用,所以你可以选择推行严格的安全和私密政策,甚至可以让审核人员对其进行合规审查。托管的私有云在建设前期的投入会比公共云大很多,但随之而来的是低的运营成本以及更好的控制。
无论通过何种方法去控制,安全专家们最终应当承担起对云合规的责任。从长远来看,合规性和高效性将成为云服务行业的评判标准,并且很有可能成为企业采用的推动力。为什么?因为云服务可以将合规支持的成本平摊给多个客户,同时可以利用这部分额外的投入来提供更高效的服务。