怎樣做到讓云計算“盡在掌控”？

申請免費試用、咨詢電話：400-8352-114

在我們與企業(yè)技術專家交流的過程中發(fā)現(xiàn)，雖然他們將隱私性和安全性列為他們最關注的兩個管理難題，但是可用性、性能管理、可訪問性、審查以及監(jiān)控也都是需要考慮的方面，尤其是那些需要遵守Payment Card Industry標準或者Health Insurance Portability and Accountability Act法案的企業(yè)機構。

在我們最近進行的一次有關云計算的調查中，一位受訪者表示：“在我看來，云計算對網(wǎng)絡連接有很大依賴性，而且還可能導致企業(yè)信息的泄露或被盜取。從PCI遵從的角度來說，云計算可能會成為人們的一個噩夢?！?/P>

而且，云計算可以幫助用戶快速而無縫地擴展的同時，還可以節(jié)約維護服務器相關的成本和開支，這些特點非常具有吸引力，讓人們相信這種模式仍將繼續(xù)贏得企業(yè)管理者的青睞。而且，云計算的擁護者——包括那些希望從這個市場中獲益的大廠商——在提倡云計算優(yōu)點的同時卻忽略了它的一些缺陷，例如服務中斷和監(jiān)控挑戰(zhàn)。

那么，信息安全專家如何自己的監(jiān)控需求和企業(yè)領導者降低成本的要求之前取得一個平衡呢？我們的建議是：CIO們必須和法律顧問還有數(shù)據(jù)所有者坐在一起討論這個問題。將這些難題和盤托出是打消質疑的唯一方法，正如我們對456位企業(yè)技術專家所做調查的結果一樣，有18%的受訪者表示他們正在使用云服務，34%的人表示對云服務不感興趣。有超過半數(shù)的受訪者表示他們有關云計算最關心的分別是安全、性能、監(jiān)控、廠商鎖定和技術支持。

從前對于“軟件即服務”（SaaS）我們也聽到過類似的擔心。如果你不對數(shù)據(jù)進行控制——或者在有些情況下甚至不知道數(shù)據(jù)保存在什么地方——那么你就無法管理這些數(shù)據(jù)，當然你就不能向監(jiān)察人員保證數(shù)據(jù)是受到保護防止未經(jīng)認證的訪問。但是比SaaS更復雜的是，云計算的分布式特點還可能引發(fā)隱私權和法規(guī)遵從等問題。不管你是訂購像Amazon EC2這樣租賃資源的云計算基礎架構模式，還是像Salesforce或者PeopleSoft提供的應用平臺模式，都可能遇到上述問題，數(shù)據(jù)管理和法規(guī)遵從這樣的監(jiān)管問題仍然存在。法庭和行業(yè)組織最終將幫助制定指導方針，但是就目前來說，我們還得靠自己。

托管模式隱患重重

在托管模式下，廠商對外租賃機架空間、能源和網(wǎng)絡互連性，IT部門可以隨意接入他們需要的設備。托管廠商應該具有對你的硬件可審查控制的訪問路徑，從而降低數(shù)據(jù)在本地被盜取的風險。

在一個基礎架構云環(huán)境中，情況則完全不同。你可以根據(jù)你的需要將數(shù)據(jù)和處理能力從一個站點遷移到另一個站點，這根據(jù)物理訪問控制等級的不同而有所不同。一些基礎架構云提供商的底層虛擬化系統(tǒng)可能無法對確保共享一個hypervisor的虛擬機獨立且不易受到攻擊提供強有力保證。云提供商在提供計算服務的時候很少向用戶提供他們底層架構和技術的可見性。你無法審查你看不到的，而這正是許多法規(guī)相關行業(yè)的黑暗面所在。

Unisys公司首席安全架構師Christopher Hoff指出，以前SaaS新興廠商不得不建造他們自己的數(shù)據(jù)中心，而現(xiàn)在他們可以利用像Amazon Web Services這樣的基礎架構云服務。他們不僅可以提供底層核心計算資源，而且還有像防范拒絕服務、掃描監(jiān)控、基礎防火墻和多租戶個例這樣的增值安全功能，這在以前都是普通SaaS廠商無法提供的。

外包商也外包

現(xiàn)在，可能所有類型的服務提供商都可以將處理能力加載到云環(huán)境中，有時候連數(shù)據(jù)所有者都不知曉。

IT咨詢公司IP Architects總裁John Pironti表示：“監(jiān)控就是知道數(shù)據(jù)在哪以及數(shù)據(jù)是如何分類的。外包廠商也可以將數(shù)據(jù)處理外包出去，所以現(xiàn)在你必須了解數(shù)據(jù)最終被保存在哪?！?/P>

Pironti提到了一家公司，他們將數(shù)據(jù)處理工作外包給一家印度公司，然后這家公司通過審慎調查來確保外包方達到安全標準。然而，這家印度外包公司卻將數(shù)據(jù)處理工作轉交給了在中國的合作廠商。Pironti所說的這家公司直到一次對網(wǎng)絡連接的例行審查過程中才知道自己的數(shù)據(jù)已經(jīng)被遷移到了中國。這家印度公司自己的所做正是原始用戶的行為——將處理工作外包以節(jié)約成本。

那么這就意味著用來約束原始托管服務的數(shù)據(jù)所有權相關法律和責任都不再適用了嗎？這取決你提出這個問題的對象是誰，對象不同，你得到的答案也不同。 Pironti指出，任何一家將數(shù)據(jù)處理外包出去的廠商都曾經(jīng)遇到過類似的監(jiān)管問題，而且都遵循一個原則：不管你將數(shù)據(jù)處理外包給獨立軟件提供商、 SaaS提供商、還是云提供商，一定要在合同中明確有關控制隱私權和安全性的界定和責任。這時候你就需要向法律顧問需求幫助，因為不同國家、甚至是美國的不同州有關隱私權相關法律規(guī)定都是不同的。

加州公用事業(yè)委員會首席信息官Carolyn Lawson表示，云服務中涉及的數(shù)據(jù)類型可能在法律法規(guī)方面有著巨大差別。她指出，美國第九巡回上訴法院法規(guī)要求，在《存儲信息保護法》的約束下，電子郵件/SMS托管服務提供商不能將信息轉交給付費卻未經(jīng)授權的公司。換句話說，如果你與一家云服務提供商簽訂合同，讓這家公司來管理你們員工的電子郵件，那么這家提供商可能無法根據(jù)你的需求來提供信息的副本，甚至你支付費用也是不行的。這可能會嚴重阻礙電子發(fā)現(xiàn)或者內(nèi)部審查。

云初創(chuàng)公司Elastra首席軟件架構師Stuart Charlton還指出，那些與歐盟企業(yè)合作的公司應該確保歐盟公民的隱私數(shù)據(jù)不會被保存在相關法律不那么嚴苛的國家——例如美國的大多數(shù)州。因為歐盟針對公民隱私權制定了嚴格的法律，所以，在加州政府機構考慮采用云計算之前，他們必須確保隱私數(shù)據(jù)仍然是保存在州邊境內(nèi)，或者咨詢律師將數(shù)據(jù)托管在其他州或者國家是否是可以接受的。

無國界的云

你可能會認為，外包數(shù)據(jù)——不太像是使用Amazon的EC2或者微軟的Azure——是不需要考慮安全問題的。但是，在上面我們提到的那家發(fā)現(xiàn)數(shù)據(jù)被轉移到了中國的公司，他們可能會在無意之間丟掉了一位用戶。

例如，Elastra是一家云計算管理廠商。他們的用戶Christian James是一家基于SaaS模式提供POS應用的零售商。Christian James的產(chǎn)品PayGo SaaS可以被托管在你位于Amazon EC2云中的服務器，使用信用卡處理設備Authorize.Net來處理賒帳購買業(yè)務。這三家公司也許或者不會對你整個PCI遵從有影響。 Christian James公司新聞發(fā)言人表示，現(xiàn)在公司采取措施來確保他們的軟件是符合PCI規(guī)定的，但是他們對托管在Amazon EC2中的應用流程并不確定。

MedCommons是一家專門提供保存和管理患者醫(yī)療數(shù)據(jù)相關軟件的廠商，他們也遇到了類似的問題。MedCommons直接將他們的產(chǎn)品作為一項基于Amazon EC2的SaaS產(chǎn)品提供給用戶。該公司首席科學家Adrian Gropper指出，作為SaaS許可的一部分，用戶必須簽訂Amazon的用戶協(xié)議和MedCommons的用戶協(xié)議。

不管你是要遵守PCI還是HIPAA，你都需要詳細了解數(shù)據(jù)保存在什么地方以及誰對這些數(shù)據(jù)負責，而且這些答案都是要寫到合同中的。

不要嫌麻煩，向政府機構或者行業(yè)組織尋求相關幫助。不過他們有時候與技術發(fā)展并不是與時俱進的。

PCI安全標準委員會技術總監(jiān)Troy Leach解釋說，該委員會的宗旨是：“PCI安全標準委員會將保持一種技術中立的態(tài)度，指明與信用卡持有人數(shù)據(jù)環(huán)境相關的風險。我們正在不斷檢查PCI 數(shù)據(jù)安全標準1.2版本相關規(guī)定是否降低了潛在風險和減少與虛擬組件有關的漏洞。委員會希望在新的一年讓這一話題更加明確化?！?/P>

外包商也外包

現(xiàn)在，可能所有類型的服務提供商都可以將處理能力加載到云環(huán)境中，有時候連數(shù)據(jù)所有者都不知曉。

IT咨詢公司IP Architects總裁John Pironti表示：“監(jiān)控就是知道數(shù)據(jù)在哪以及數(shù)據(jù)是如何分類的。外包廠商也可以將數(shù)據(jù)處理外包出去，所以現(xiàn)在你必須了解數(shù)據(jù)最終被保存在哪。”

Pironti提到了一家公司，他們將數(shù)據(jù)處理工作外包給一家印度公司，然后這家公司通過審慎調查來確保外包方達到安全標準。然而，這家印度外包公司卻將數(shù)據(jù)處理工作轉交給了在中國的合作廠商。Pironti所說的這家公司直到一次對網(wǎng)絡連接的例行審查過程中才知道自己的數(shù)據(jù)已經(jīng)被遷移到了中國。這家印度公司自己的所做正是原始用戶的行為——將處理工作外包以節(jié)約成本。

那么這就意味著用來約束原始托管服務的數(shù)據(jù)所有權相關法律和責任都不再適用了嗎？這取決你提出這個問題的對象是誰，對象不同，你得到的答案也不同。 Pironti指出，任何一家將數(shù)據(jù)處理外包出去的廠商都曾經(jīng)遇到過類似的監(jiān)管問題，而且都遵循一個原則：不管你將數(shù)據(jù)處理外包給獨立軟件提供商、 SaaS提供商、還是云提供商，一定要在合同中明確有關控制隱私權和安全性的界定和責任。這時候你就需要向法律顧問需求幫助，因為不同國家、甚至是美國的不同州有關隱私權相關法律規(guī)定都是不同的。

加州公用事業(yè)委員會首席信息官Carolyn Lawson表示，云服務中涉及的數(shù)據(jù)類型可能在法律法規(guī)方面有著巨大差別。她指出，美國第九巡回上訴法院法規(guī)要求，在《存儲信息保護法》的約束下，電子郵件/SMS托管服務提供商不能將信息轉交給付費卻未經(jīng)授權的公司。換句話說，如果你與一家云服務提供商簽訂合同，讓這家公司來管理你們員工的電子郵件，那么這家提供商可能無法根據(jù)你的需求來提供信息的副本，甚至你支付費用也是不行的。這可能會嚴重阻礙電子發(fā)現(xiàn)或者內(nèi)部審查。

云初創(chuàng)公司Elastra首席軟件架構師Stuart Charlton還指出，那些與歐盟企業(yè)合作的公司應該確保歐盟公民的隱私數(shù)據(jù)不會被保存在相關法律不那么嚴苛的國家——例如美國的大多數(shù)州。因為歐盟針對公民隱私權制定了嚴格的法律，所以，在加州政府機構考慮采用云計算之前，他們必須確保隱私數(shù)據(jù)仍然是保存在州邊境內(nèi)，或者咨詢律師將數(shù)據(jù)托管在其他州或者國家是否是可以接受的。

無國界的云

你可能會認為，外包數(shù)據(jù)——不太像是使用Amazon的EC2或者微軟的Azure——是不需要考慮安全問題的。但是，在上面我們提到的那家發(fā)現(xiàn)數(shù)據(jù)被轉移到了中國的公司，他們可能會在無意之間丟掉了一位用戶。

例如，Elastra是一家云計算管理廠商。他們的用戶Christian James是一家基于SaaS模式提供POS應用的零售商。Christian James的產(chǎn)品PayGo SaaS可以被托管在你位于Amazon EC2云中的服務器，使用信用卡處理設備Authorize.Net來處理賒帳購買業(yè)務。這三家公司也許或者不會對你整個PCI遵從有影響。 Christian James公司新聞發(fā)言人表示，現(xiàn)在公司采取措施來確保他們的軟件是符合PCI規(guī)定的，但是他們對托管在Amazon EC2中的應用流程并不確定。

MedCommons是一家專門提供保存和管理患者醫(yī)療數(shù)據(jù)相關軟件的廠商，他們也遇到了類似的問題。MedCommons直接將他們的產(chǎn)品作為一項基于Amazon EC2的SaaS產(chǎn)品提供給用戶。該公司首席科學家Adrian Gropper指出，作為SaaS許可的一部分，用戶必須簽訂Amazon的用戶協(xié)議和MedCommons的用戶協(xié)議。

不管你是要遵守PCI還是HIPAA，你都需要詳細了解數(shù)據(jù)保存在什么地方以及誰對這些數(shù)據(jù)負責，而且這些答案都是要寫到合同中的。

不要嫌麻煩，向政府機構或者行業(yè)組織尋求相關幫助。不過他們有時候與技術發(fā)展并不是與時俱進的。

PCI安全標準委員會技術總監(jiān)Troy Leach解釋說，該委員會的宗旨是：“PCI安全標準委員會將保持一種技術中立的態(tài)度，指明與信用卡持有人數(shù)據(jù)環(huán)境相關的風險。我們正在不斷檢查PCI 數(shù)據(jù)安全標準1.2版本相關規(guī)定是否降低了潛在風險和減少與虛擬組件有關的漏洞。委員會希望在新的一年讓這一話題更加明確化?！?/P>

謹慎對待服務等級協(xié)議

監(jiān)控不僅僅涉及位置識別，可用性、可訪問性、審核以及控制也很重要。在今年一月，上百萬名Salesforce用戶遭遇了長達38分鐘的服務中斷，去年 Amazon Web服務用戶也曾有過類似經(jīng)歷。從中我們得到一個教訓：謹慎對待服務提供商的服務等級協(xié)議（SLA）。

99.9%的可用性也就意味著每年有大約8.75小時的宕機時間，這在大多數(shù)情況下都是不能接受的。同時你還要確保清楚地了解排除情況。例如，服務等級協(xié)議條款通常是限制于服務提供商控制范圍內(nèi)的設備和服務水平，往往不包括像因特網(wǎng)中斷這樣的故障。

IT部門還要確保受法規(guī)保護的數(shù)據(jù)或者敏感數(shù)據(jù)被實施適當保護或者對這些數(shù)據(jù)的訪問路徑是經(jīng)過審查的。必須有人專門負責數(shù)據(jù)保護，但是Amazon EC2和微軟Azure等服務的協(xié)議是明確的：公司在使用他們服務的時候不需要對數(shù)據(jù)丟失或者法律處罰承擔責任?，F(xiàn)在，這兩家廠商都推出了如何安全地使用他們的云計算平臺的指南，實際上，這還是要取決于你自己的情況，數(shù)據(jù)在他們的云中可能比在你自己的設備中更安全。

但事實是，這些公司提供共享計算服務，而相關法律——包括PCI——通常要求IT部門證明他們的系統(tǒng)是被安全管理的，有時候還需要有第三方審查來證明這一點。除非你是他們的大客戶，否則能否對Amazon或者微軟的數(shù)據(jù)中心進行審查只能看你的運氣了。

而對于小型提供商，你可能會更幸運一些。例如Zoho是一家在云環(huán)境中提供生產(chǎn)應用和其他應用的廠商，他們應用戶的要求接受了第三方審查，當然用戶是需要支付一定費用。

注意一點，服務提供商的SAS-70審查并不是對獨立審查的必要補充。對于入門用戶來說，你可能沒有機會看到審查員的報告全文（其中詳細提到了非常敏感的信息，例如基礎架構和服務提供商的控制），你將只能看到審查員的意見闡述，這也是審查員對服務提供商的控制策略是否滿足標準判斷的一個總結。而且，SAS-70審查通常只適用于服務提供商IT系統(tǒng)的子系統(tǒng)，所以意見闡述可能不會覆蓋整個運作流程。

只有關于云環(huán)境控制的法律架構在立法、法規(guī)或者法庭案件中全面適用，IT才可以盡情地擁抱云計算。（51CTO）