服务器在线 8月16日国际报道:云计算的概念看起来并不复杂,确实运营,配置和许可证授权流程的简化是云计算最令人瞩目的亮点。但是在涉及法规遵从的问题时,你会从云计算上发现更多你从未碰到过的问题,也需要采用更多前所未有的思维方式来解析云计算。
法规遵从涉及到很多方面,从沙宾法案和欧盟数据保护法这样的政府立法到用于支付卡规范的PCI DSS和保险数据的HIPAA这样的行业法规都涵盖在内。在企业内部范围内你可以进行控制,但是一旦数据被迁移到公有云基础架构平台,云应用软件套装或者类似于两者之间的应用环境时,就意味着企业用户将数据的部分控制权交给了云提供商。
目前有很多首席信息官和首席执行官都在关注这个问题。他们希望了解如何在保证自己在法规遵从的范围内正确的过渡到云计算。以下是来自分析师,厂商和咨询师对云上的法规遵从总结的四个小技巧。
1.了解云可能为你的IT工作负载所带来的新挑战
当你对云厂商进行评估时,首先要从关注用户验证和访问管理,数据保护和事故反馈的有效实践方法和战略开始做起。这些是法规遵从要求的基础。然后当你要遵守由预期的云提供商控制的特殊规定和要求时,你可能会面临一些以云为指向的挑战。
数据的位置就是其中的一项。举例来说,欧盟数据保护法案的目标就是将个人信息保留在欧盟的范围内。要遵守这项规定,云提供商必须将欧洲用户的数据保存在位于欧洲的服务器上。
多用户租赁和配置分离也会给企业用户带来挑战。公有云提供商使用多用户租赁设置来优化服务器工作负载并降低成本。但是多用户租赁意味着你将与其他企业共享服务器空间,因此你应该了解你的云提供商设置了什么安全措施来保护你的数据不受任何风险的威胁。根据数据关键程度的不同,你也可以采取加密手段。举例来说,HIPAA就要求所有的用户数据,无论是活动中的数据还是闲置的数据,都必须进行加密。
随着密码验证方式的复杂性和数量越来越大,用户配置分离所带来的挑战也越来越严峻。联合身份管理规程能让用户更加轻松的登录多个云,也使得配置分离变得更加不好控制。
验证管理和法规遵从工具提供商Centrify的首席执行官汤姆.库伯表示“当一名员工离开公司时,你需要做的就是按一个键就能让离职的员工与他们的Windows账户和任何内部的企业应用软件隔离,他们的移动电话上的企业信息业随之消失,他们被隔绝在了企业软件即服务应用软件的权限之外”。但目前的自动化配置分离还无法涵盖云和内部系统两个领域,库伯强调说。
2.追踪快速变化的各项标准
不管你喜不喜欢,你都得接受它。你对将什么应用软件迁移到云上和何时进行迁移的决定将从对新建或者修订标准(目前正在向云计算领域渗透)的洞悉中获得回报。
如今你可以根据SAS 70 Type II和ISO 27001认证来监管政府立法和行业规定所要求的金融和信息安全,但是这些措施并不能担保你的企业流程就一定能符合要求。
“诸如ISO27001和SAS 70这样的认证标准确实有一定帮助作用,但是他们具有时效性”Forrester Research公司的副总裁兼首席分析师乔纳森.潘尼表示“在涉及数据安全,认证管理,管理员权限控制等诸如此类的职能时就不是非常有针对性了。我们需要的是让用户对正在发生的一切有更好的可见性。目前这基本还是巨大的黑盒子”。
让用户有可见性是云安全联盟的主要目标,这家成立三年时间的组织在用户,新闻媒体和服务提供商中间快速得到了认可。云安全联盟的主要目标是开发标准化审核框架来推动用户和云厂商之间的沟通及交流。
举例来说,目前市场上的政府,风险和法规遵从标准化套装或者软件产品具备四大要素:即Cloud Trust Protocol, Cloud Audit, Consensus Assessments Initiative和Cloud Controls Matrix。Cloud Controls Matrix包括一个对他们的IT控制领域的主要标准规定基本要求的电子表格,比如“人力资源–员工雇佣终止”有哪些规定,Consensus Assessments Initiative提供的是用户和审计人员询问云提供商特殊问题的详细调查问卷。
云安全联盟和其他组织的努力外加那些行业协会和政府机构在未来几年内一定会制定出大量的行业标准。云安全联盟与国际标准化组织,国际电信联盟以及NIST都结成了正式的联盟关系,这样他们的研究成果就能被这些机构作为行业的标准规范来使用。2010年Forrester Research的调研报告称,截止2010年底有48加行业组织正在从事与安全相关的标准的制定。
3.关注服务水平协议
无论你的企业规模和状况如何,都不要设想云提供商的标准术语和条款能满足你的全部要求。通过审核云提供商的合同能彰显你的智慧。
这是来自从事云法规遵从和安全事务的国际律师事务所Hogan Lovells的律师迈克尔.莱特纳的建议。经常帮助客户协调和谈判服务水平协议的莱特纳认为应该从自身的风险收益分析去评估厂商的标准化合同是否足以满足企业法规遵从的需求。如果不能,需要判断自身的需求并和厂家协商来提高服务的级别。
你的企业规模是你谈判的砝码,但是小规模的企业也能找到平衡点。如果这些企业对与那些希望能拓展市场的云提供商来说代表着新兴行业的话。在任何情况下都不怕惧怕协商。
莱特纳表示“有太多的公司事先就假设他们打交道的大型厂商是不会跟他们协商的。但事实上你会发现厂商会很乐意就提高服务级别做出一些让步和例外”。
如果你是刚刚接触云的新军,你可能会发现从尝试或者非关键数据上开始着手是树立信心的好办法,莱特纳表示。
但是尽职的调研工作并不是是一项全面服务水平协议的全部。RSA负责云计算企业战略的总监Nirav Mehta表示,你依然需要密切与供应商的合作。“你可以用用一份完美的服务水平协议,但是厂商的云出现问题的时候,会对企业的持续性造成什么样的影响呢?”Mehta认为有朝一日我们会看到使用多种云来备份担保这种最佳战略实施的那一天。
4.让安全优先
为了最好的了解潜在的风险和企业的回报,你应该尽可能的寻找机会与安全团队加强沟通与交流,Forrester研究公司的咨询师佩妮表示。
佩妮认为“安全和法规遵从事宜需要得到正确的诠释。企业高管必须了解安全的重要性,并且衡量风险的级别来制定出用来缓解这些风险所需要的预算”。
迁移到云上通过安全委员会将风险评估职能正式化这种更加持久的方式将安全域企业目标结合在了一起。安全委员会能帮助企业评估风险并给出符合企业战略的预算提议。
你还应该密切关注来自在云领域中快速成长的不同安全服务和厂商合作关系的安全创新成果。亚马逊的合作伙伴Dome9公司解决了特殊的云技术问题–关闭安全壳(SSH)和其他云服务器端口(当他们不使用的时候),这样已经登录云的攻击者就无法进入。
Dome9公司的营销副总裁Dave Meizlik表示“在企业内部,安全壳和云服务器端口等设备的缺省设置都是开启,但是在云上的时候,如果这些设备不使用的时候应该将其关闭,你不能每次都依靠云提供商来处置你的服务器”。
云计算可能会带来一些风险,但是随着安全创新的不断进步,这些风险可能会逐渐减少。Forrester公司的佩妮表示“即使是今天,云服务的安全已经不是像诸如智能手机或者社交媒体蔓延这些其他的IT趋势那样是令企业安全团队最担心的问题。对于云的普及来说,最终安全问题将随着时间的推移得到解决”。