怎樣做到讓云計算“盡在掌控”？

申請免費試用、咨詢電話：400-8352-114

在我們與企業(yè)技術(shù)專家交流的過程中發(fā)現(xiàn)，雖然他們將隱私性和安全性列為他們最關(guān)注的兩個管理難題，但是可用性、性能管理、可訪問性、審查以及監(jiān)控也都是需要考慮的方面，尤其是那些需要遵守Payment Card Industry標(biāo)準(zhǔn)或者Health Insurance Portability and Accountability Act法案的企業(yè)機構(gòu)。

在我們最近進(jìn)行的一次有關(guān)云計算的調(diào)查中，一位受訪者表示：“在我看來，云計算對網(wǎng)絡(luò)連接有很大依賴性，而且還可能導(dǎo)致企業(yè)信息的泄露或被盜取。從PCI遵從的角度來說，云計算可能會成為人們的一個噩夢?！?/P>

而且，云計算可以幫助用戶快速而無縫地擴展的同時，還可以節(jié)約維護(hù)服務(wù)器相關(guān)的成本和開支，這些特點非常具有吸引力，讓人們相信這種模式仍將繼續(xù)贏得企業(yè)管理者的青睞。而且，云計算的擁護(hù)者——包括那些希望從這個市場中獲益的大廠商——在提倡云計算優(yōu)點的同時卻忽略了它的一些缺陷，例如服務(wù)中斷和監(jiān)控挑戰(zhàn)。

那么，信息安全專家如何自己的監(jiān)控需求和企業(yè)領(lǐng)導(dǎo)者降低成本的要求之前取得一個平衡呢？我們的建議是：CIO們必須和法律顧問還有數(shù)據(jù)所有者坐在一起討論這個問題。將這些難題和盤托出是打消質(zhì)疑的唯一方法，正如我們對456位企業(yè)技術(shù)專家所做調(diào)查的結(jié)果一樣，有18%的受訪者表示他們正在使用云服務(wù)，34%的人表示對云服務(wù)不感興趣。有超過半數(shù)的受訪者表示他們有關(guān)云計算最關(guān)心的分別是安全、性能、監(jiān)控、廠商鎖定和技術(shù)支持。

從前對于“軟件即服務(wù)”（SaaS）我們也聽到過類似的擔(dān)心。如果你不對數(shù)據(jù)進(jìn)行控制——或者在有些情況下甚至不知道數(shù)據(jù)保存在什么地方——那么你就無法管理這些數(shù)據(jù)，當(dāng)然你就不能向監(jiān)察人員保證數(shù)據(jù)是受到保護(hù)防止未經(jīng)認(rèn)證的訪問。但是比SaaS更復(fù)雜的是，云計算的分布式特點還可能引發(fā)隱私權(quán)和法規(guī)遵從等問題。不管你是訂購像Amazon EC2這樣租賃資源的云計算基礎(chǔ)架構(gòu)模式，還是像Salesforce或者PeopleSoft提供的應(yīng)用平臺模式，都可能遇到上述問題，數(shù)據(jù)管理和法規(guī)遵從這樣的監(jiān)管問題仍然存在。法庭和行業(yè)組織最終將幫助制定指導(dǎo)方針，但是就目前來說，我們還得靠自己。

托管模式隱患重重

在托管模式下，廠商對外租賃機架空間、能源和網(wǎng)絡(luò)互連性，IT部門可以隨意接入他們需要的設(shè)備。托管廠商應(yīng)該具有對你的硬件可審查控制的訪問路徑，從而降低數(shù)據(jù)在本地被盜取的風(fēng)險。

在一個基礎(chǔ)架構(gòu)云環(huán)境中，情況則完全不同。你可以根據(jù)你的需要將數(shù)據(jù)和處理能力從一個站點遷移到另一個站點，這根據(jù)物理訪問控制等級的不同而有所不同。一些基礎(chǔ)架構(gòu)云提供商的底層虛擬化系統(tǒng)可能無法對確保共享一個hypervisor的虛擬機獨立且不易受到攻擊提供強有力保證。云提供商在提供計算服務(wù)的時候很少向用戶提供他們底層架構(gòu)和技術(shù)的可見性。你無法審查你看不到的，而這正是許多法規(guī)相關(guān)行業(yè)的黑暗面所在。

Unisys公司首席安全架構(gòu)師Christopher Hoff指出，以前SaaS新興廠商不得不建造他們自己的數(shù)據(jù)中心，而現(xiàn)在他們可以利用像Amazon Web Services這樣的基礎(chǔ)架構(gòu)云服務(wù)。他們不僅可以提供底層核心計算資源，而且還有像防范拒絕服務(wù)、掃描監(jiān)控、基礎(chǔ)防火墻和多租戶個例這樣的增值安全功能，這在以前都是普通SaaS廠商無法提供的。

外包商也外包

現(xiàn)在，可能所有類型的服務(wù)提供商都可以將處理能力加載到云環(huán)境中，有時候連數(shù)據(jù)所有者都不知曉。

IT咨詢公司IP Architects總裁John Pironti表示：“監(jiān)控就是知道數(shù)據(jù)在哪以及數(shù)據(jù)是如何分類的。外包廠商也可以將數(shù)據(jù)處理外包出去，所以現(xiàn)在你必須了解數(shù)據(jù)最終被保存在哪?！?/P>

Pironti提到了一家公司，他們將數(shù)據(jù)處理工作外包給一家印度公司，然后這家公司通過審慎調(diào)查來確保外包方達(dá)到安全標(biāo)準(zhǔn)。然而，這家印度外包公司卻將數(shù)據(jù)處理工作轉(zhuǎn)交給了在中國的合作廠商。Pironti所說的這家公司直到一次對網(wǎng)絡(luò)連接的例行審查過程中才知道自己的數(shù)據(jù)已經(jīng)被遷移到了中國。這家印度公司自己的所做正是原始用戶的行為——將處理工作外包以節(jié)約成本。

那么這就意味著用來約束原始托管服務(wù)的數(shù)據(jù)所有權(quán)相關(guān)法律和責(zé)任都不再適用了嗎？這取決你提出這個問題的對象是誰，對象不同，你得到的答案也不同。 Pironti指出，任何一家將數(shù)據(jù)處理外包出去的廠商都曾經(jīng)遇到過類似的監(jiān)管問題，而且都遵循一個原則：不管你將數(shù)據(jù)處理外包給獨立軟件提供商、 SaaS提供商、還是云提供商，一定要在合同中明確有關(guān)控制隱私權(quán)和安全性的界定和責(zé)任。這時候你就需要向法律顧問需求幫助，因為不同國家、甚至是美國的不同州有關(guān)隱私權(quán)相關(guān)法律規(guī)定都是不同的。

加州公用事業(yè)委員會首席信息官Carolyn Lawson表示，云服務(wù)中涉及的數(shù)據(jù)類型可能在法律法規(guī)方面有著巨大差別。她指出，美國第九巡回上訴法院法規(guī)要求，在《存儲信息保護(hù)法》的約束下，電子郵件/SMS托管服務(wù)提供商不能將信息轉(zhuǎn)交給付費卻未經(jīng)授權(quán)的公司。換句話說，如果你與一家云服務(wù)提供商簽訂合同，讓這家公司來管理你們員工的電子郵件，那么這家提供商可能無法根據(jù)你的需求來提供信息的副本，甚至你支付費用也是不行的。這可能會嚴(yán)重阻礙電子發(fā)現(xiàn)或者內(nèi)部審查。

云初創(chuàng)公司Elastra首席軟件架構(gòu)師Stuart Charlton還指出，那些與歐盟企業(yè)合作的公司應(yīng)該確保歐盟公民的隱私數(shù)據(jù)不會被保存在相關(guān)法律不那么嚴(yán)苛的國家——例如美國的大多數(shù)州。因為歐盟針對公民隱私權(quán)制定了嚴(yán)格的法律，所以，在加州政府機構(gòu)考慮采用云計算之前，他們必須確保隱私數(shù)據(jù)仍然是保存在州邊境內(nèi)，或者咨詢律師將數(shù)據(jù)托管在其他州或者國家是否是可以接受的。

無國界的云

你可能會認(rèn)為，外包數(shù)據(jù)——不太像是使用Amazon的EC2或者微軟的Azure——是不需要考慮安全問題的。但是，在上面我們提到的那家發(fā)現(xiàn)數(shù)據(jù)被轉(zhuǎn)移到了中國的公司，他們可能會在無意之間丟掉了一位用戶。

例如，Elastra是一家云計算管理廠商。他們的用戶Christian James是一家基于SaaS模式提供POS應(yīng)用的零售商。Christian James的產(chǎn)品PayGo SaaS可以被托管在你位于Amazon EC2云中的服務(wù)器，使用信用卡處理設(shè)備Authorize.Net來處理賒帳購買業(yè)務(wù)。這三家公司也許或者不會對你整個PCI遵從有影響。 Christian James公司新聞發(fā)言人表示，現(xiàn)在公司采取措施來確保他們的軟件是符合PCI規(guī)定的，但是他們對托管在Amazon EC2中的應(yīng)用流程并不確定。

MedCommons是一家專門提供保存和管理患者醫(yī)療數(shù)據(jù)相關(guān)軟件的廠商，他們也遇到了類似的問題。MedCommons直接將他們的產(chǎn)品作為一項基于Amazon EC2的SaaS產(chǎn)品提供給用戶。該公司首席科學(xué)家Adrian Gropper指出，作為SaaS許可的一部分，用戶必須簽訂Amazon的用戶協(xié)議和MedCommons的用戶協(xié)議。

不管你是要遵守PCI還是HIPAA，你都需要詳細(xì)了解數(shù)據(jù)保存在什么地方以及誰對這些數(shù)據(jù)負(fù)責(zé)，而且這些答案都是要寫到合同中的。

不要嫌麻煩，向政府機構(gòu)或者行業(yè)組織尋求相關(guān)幫助。不過他們有時候與技術(shù)發(fā)展并不是與時俱進(jìn)的。

PCI安全標(biāo)準(zhǔn)委員會技術(shù)總監(jiān)Troy Leach解釋說，該委員會的宗旨是：“PCI安全標(biāo)準(zhǔn)委員會將保持一種技術(shù)中立的態(tài)度，指明與信用卡持有人數(shù)據(jù)環(huán)境相關(guān)的風(fēng)險。我們正在不斷檢查PCI 數(shù)據(jù)安全標(biāo)準(zhǔn)1.2版本相關(guān)規(guī)定是否降低了潛在風(fēng)險和減少與虛擬組件有關(guān)的漏洞。委員會希望在新的一年讓這一話題更加明確化。”

外包商也外包

現(xiàn)在，可能所有類型的服務(wù)提供商都可以將處理能力加載到云環(huán)境中，有時候連數(shù)據(jù)所有者都不知曉。

IT咨詢公司IP Architects總裁John Pironti表示：“監(jiān)控就是知道數(shù)據(jù)在哪以及數(shù)據(jù)是如何分類的。外包廠商也可以將數(shù)據(jù)處理外包出去，所以現(xiàn)在你必須了解數(shù)據(jù)最終被保存在哪?！?/P>

Pironti提到了一家公司，他們將數(shù)據(jù)處理工作外包給一家印度公司，然后這家公司通過審慎調(diào)查來確保外包方達(dá)到安全標(biāo)準(zhǔn)。然而，這家印度外包公司卻將數(shù)據(jù)處理工作轉(zhuǎn)交給了在中國的合作廠商。Pironti所說的這家公司直到一次對網(wǎng)絡(luò)連接的例行審查過程中才知道自己的數(shù)據(jù)已經(jīng)被遷移到了中國。這家印度公司自己的所做正是原始用戶的行為——將處理工作外包以節(jié)約成本。

那么這就意味著用來約束原始托管服務(wù)的數(shù)據(jù)所有權(quán)相關(guān)法律和責(zé)任都不再適用了嗎？這取決你提出這個問題的對象是誰，對象不同，你得到的答案也不同。 Pironti指出，任何一家將數(shù)據(jù)處理外包出去的廠商都曾經(jīng)遇到過類似的監(jiān)管問題，而且都遵循一個原則：不管你將數(shù)據(jù)處理外包給獨立軟件提供商、 SaaS提供商、還是云提供商，一定要在合同中明確有關(guān)控制隱私權(quán)和安全性的界定和責(zé)任。這時候你就需要向法律顧問需求幫助，因為不同國家、甚至是美國的不同州有關(guān)隱私權(quán)相關(guān)法律規(guī)定都是不同的。

加州公用事業(yè)委員會首席信息官Carolyn Lawson表示，云服務(wù)中涉及的數(shù)據(jù)類型可能在法律法規(guī)方面有著巨大差別。她指出，美國第九巡回上訴法院法規(guī)要求，在《存儲信息保護(hù)法》的約束下，電子郵件/SMS托管服務(wù)提供商不能將信息轉(zhuǎn)交給付費卻未經(jīng)授權(quán)的公司。換句話說，如果你與一家云服務(wù)提供商簽訂合同，讓這家公司來管理你們員工的電子郵件，那么這家提供商可能無法根據(jù)你的需求來提供信息的副本，甚至你支付費用也是不行的。這可能會嚴(yán)重阻礙電子發(fā)現(xiàn)或者內(nèi)部審查。

云初創(chuàng)公司Elastra首席軟件架構(gòu)師Stuart Charlton還指出，那些與歐盟企業(yè)合作的公司應(yīng)該確保歐盟公民的隱私數(shù)據(jù)不會被保存在相關(guān)法律不那么嚴(yán)苛的國家——例如美國的大多數(shù)州。因為歐盟針對公民隱私權(quán)制定了嚴(yán)格的法律，所以，在加州政府機構(gòu)考慮采用云計算之前，他們必須確保隱私數(shù)據(jù)仍然是保存在州邊境內(nèi)，或者咨詢律師將數(shù)據(jù)托管在其他州或者國家是否是可以接受的。

無國界的云

你可能會認(rèn)為，外包數(shù)據(jù)——不太像是使用Amazon的EC2或者微軟的Azure——是不需要考慮安全問題的。但是，在上面我們提到的那家發(fā)現(xiàn)數(shù)據(jù)被轉(zhuǎn)移到了中國的公司，他們可能會在無意之間丟掉了一位用戶。

例如，Elastra是一家云計算管理廠商。他們的用戶Christian James是一家基于SaaS模式提供POS應(yīng)用的零售商。Christian James的產(chǎn)品PayGo SaaS可以被托管在你位于Amazon EC2云中的服務(wù)器，使用信用卡處理設(shè)備Authorize.Net來處理賒帳購買業(yè)務(wù)。這三家公司也許或者不會對你整個PCI遵從有影響。 Christian James公司新聞發(fā)言人表示，現(xiàn)在公司采取措施來確保他們的軟件是符合PCI規(guī)定的，但是他們對托管在Amazon EC2中的應(yīng)用流程并不確定。

MedCommons是一家專門提供保存和管理患者醫(yī)療數(shù)據(jù)相關(guān)軟件的廠商，他們也遇到了類似的問題。MedCommons直接將他們的產(chǎn)品作為一項基于Amazon EC2的SaaS產(chǎn)品提供給用戶。該公司首席科學(xué)家Adrian Gropper指出，作為SaaS許可的一部分，用戶必須簽訂Amazon的用戶協(xié)議和MedCommons的用戶協(xié)議。

不管你是要遵守PCI還是HIPAA，你都需要詳細(xì)了解數(shù)據(jù)保存在什么地方以及誰對這些數(shù)據(jù)負(fù)責(zé)，而且這些答案都是要寫到合同中的。

不要嫌麻煩，向政府機構(gòu)或者行業(yè)組織尋求相關(guān)幫助。不過他們有時候與技術(shù)發(fā)展并不是與時俱進(jìn)的。

PCI安全標(biāo)準(zhǔn)委員會技術(shù)總監(jiān)Troy Leach解釋說，該委員會的宗旨是：“PCI安全標(biāo)準(zhǔn)委員會將保持一種技術(shù)中立的態(tài)度，指明與信用卡持有人數(shù)據(jù)環(huán)境相關(guān)的風(fēng)險。我們正在不斷檢查PCI 數(shù)據(jù)安全標(biāo)準(zhǔn)1.2版本相關(guān)規(guī)定是否降低了潛在風(fēng)險和減少與虛擬組件有關(guān)的漏洞。委員會希望在新的一年讓這一話題更加明確化?！?/P>

謹(jǐn)慎對待服務(wù)等級協(xié)議

監(jiān)控不僅僅涉及位置識別，可用性、可訪問性、審核以及控制也很重要。在今年一月，上百萬名Salesforce用戶遭遇了長達(dá)38分鐘的服務(wù)中斷，去年 Amazon Web服務(wù)用戶也曾有過類似經(jīng)歷。從中我們得到一個教訓(xùn)：謹(jǐn)慎對待服務(wù)提供商的服務(wù)等級協(xié)議（SLA）。

99.9%的可用性也就意味著每年有大約8.75小時的宕機時間，這在大多數(shù)情況下都是不能接受的。同時你還要確保清楚地了解排除情況。例如，服務(wù)等級協(xié)議條款通常是限制于服務(wù)提供商控制范圍內(nèi)的設(shè)備和服務(wù)水平，往往不包括像因特網(wǎng)中斷這樣的故障。

IT部門還要確保受法規(guī)保護(hù)的數(shù)據(jù)或者敏感數(shù)據(jù)被實施適當(dāng)保護(hù)或者對這些數(shù)據(jù)的訪問路徑是經(jīng)過審查的。必須有人專門負(fù)責(zé)數(shù)據(jù)保護(hù)，但是Amazon EC2和微軟Azure等服務(wù)的協(xié)議是明確的：公司在使用他們服務(wù)的時候不需要對數(shù)據(jù)丟失或者法律處罰承擔(dān)責(zé)任。現(xiàn)在，這兩家廠商都推出了如何安全地使用他們的云計算平臺的指南，實際上，這還是要取決于你自己的情況，數(shù)據(jù)在他們的云中可能比在你自己的設(shè)備中更安全。

但事實是，這些公司提供共享計算服務(wù)，而相關(guān)法律——包括PCI——通常要求IT部門證明他們的系統(tǒng)是被安全管理的，有時候還需要有第三方審查來證明這一點。除非你是他們的大客戶，否則能否對Amazon或者微軟的數(shù)據(jù)中心進(jìn)行審查只能看你的運氣了。

而對于小型提供商，你可能會更幸運一些。例如Zoho是一家在云環(huán)境中提供生產(chǎn)應(yīng)用和其他應(yīng)用的廠商，他們應(yīng)用戶的要求接受了第三方審查，當(dāng)然用戶是需要支付一定費用。

注意一點，服務(wù)提供商的SAS-70審查并不是對獨立審查的必要補充。對于入門用戶來說，你可能沒有機會看到審查員的報告全文（其中詳細(xì)提到了非常敏感的信息，例如基礎(chǔ)架構(gòu)和服務(wù)提供商的控制），你將只能看到審查員的意見闡述，這也是審查員對服務(wù)提供商的控制策略是否滿足標(biāo)準(zhǔn)判斷的一個總結(jié)。而且，SAS-70審查通常只適用于服務(wù)提供商IT系統(tǒng)的子系統(tǒng)，所以意見闡述可能不會覆蓋整個運作流程。

只有關(guān)于云環(huán)境控制的法律架構(gòu)在立法、法規(guī)或者法庭案件中全面適用，IT才可以盡情地?fù)肀г朴嬎?。?1CTO）