關于云計算合規性的四條建議

 

    這正是今天許多審計員、CIOs和CEOs面臨的一大困擾。他們迫切地想知道：怎樣才能在大力發展“云”的同時遵守云規則，避免聲譽受損。以下是來自分析師、供應商和顧問的四條建議：

 

    1、注意云對IT工作負載的新挑戰

 

    當對云供應商進行評估時，尋找鑒定用戶身份和訪問管理策略;數據保護和應急響應方面提供良好策略的供應商。這些都是最基本的合規要求。然后，一旦你給未來的供應商制定具體的合規要求，就很可能會面臨具體的云挑戰。

 

    數據定位是其中之一。以歐盟數據保護法為例，這一法案禁止歐盟居民的個人信息外流。為符合法規要求，你的云供應商應該把歐盟客戶的信息放在歐洲的服務器上。

 

    多租戶和清楚配置同樣構成了挑戰。公有云供應商使用多租戶以便優化服務器工作負載和降低成本。但是，這就意味著你需要和其他企業共享服務器空間。因此，你應該了解你的云供應商提供的保護措施防止向任何妥協。根據數據的關鍵程度來決定是否加密。以美國健康保險攜帶和責任法案(HIPPA)為例，要求所有的用戶數據設置密碼，不管數據是否正在使用。

 

    隨著密碼身份認證技術越發復雜，為用戶清除配置也愈發具有挑戰性。不可否認，聯合身份管理計劃幫助用戶更方便地登陸至多個“云”，但也導致配置的清除更為棘手。

 

    “當雇員離開公司，你希望按一下按鈕，就可以自動關閉他們的Windows帳戶和所有企業內部應用程序。同時，你希望雇員的移動電話無權獲取企業信息，雇員無權接觸企業SaaS應用。”身份管理及合規工具提供商Centrify總裁Tom Kemp 表示，目前看來，自動清除配置尚未實現基于云平臺和內部部署系統的同時應用。

 

    2、追蹤瞬息萬變的云標準

 

    不論你喜歡與否，你都是云的早期的使用者。你決定把那些應用程序遷移到云中以及何時遷移它們都會受益于對現在云計算演變的了解。

 

    現在，你可以參照SAS 70 Type II和ISO 27001兩大標準，遵守金融和信息安全方面的政府以及行業法規，但不能擔保，這些法規是適合公司發展的。

 

    “ISO 27001和SAS 70的標準是很有幫助的，但可能已經落伍了”美國福雷斯特研究公司的副總裁兼首席分析師Jonathan Penn表示，“它們沒有對數據安全、身份鑒定、管理員控制等諸如此類事情做出詳細的規定。我們必須讓用戶清楚即將發生的一切�，F在它基本上是一個“黑箱”。”

 

    提高對用戶的透明的是云安全聯盟的重要目標，CSA公司創辦三年來快速在用戶、審計師、服務供應商中深受歡迎。云安全聯盟的一個重要目標是標準化審計框架和促進用戶和云供應商間的溝通。

 

    以現在遵守的法規為例， GRC(監控、風險和合規)標準套件進展順利，它包含4大要素：云信托協議、云審計、共識評估倡議、云控制矩陣。其中，云控制矩陣以電子表格的形式羅列了企業遵守其IT控制領域標準須達到的基本要求，例如“人力資源-終止雇傭關系”。而共識評估倡議就用戶和審計師對供應商在控制領域的具體期望，提供了一份詳盡問卷調查。

 

    在CSA等聯盟、行業團體、政府機構的共同努力，未來幾年內，新標準會層出不窮。CSA已經與國際標準化組織(ISO)、國際電信聯盟(ITU)、美國國家標準和技術協會(NIST)實現正式聯盟，以幫助這些組織進一步完善標準。據Forrester Research公司報道，截至2010年底，已有48個行業團體致力于云安全相關標準的研究。

 

    3、認真對待SLA

 

    不管你的企業規模和狀態如何，都不要輕信云供應商的合同條款滿足你的要求。一切要從認真盡職檢查供應商的合同開始。

 

    這是Hogan Lovells律師事務所的一名律師——Michael Larnei提供的建議。Hogan Lovells是一家在云合規性及安全問題上具有豐富經驗的國際律師事務所。Larner經常幫助客戶就服務水平協議(service level agreements，SLA)與云供應商進行談判，他表示首先從風險效益分析開始，了解云供應商的標準合同條款是否滿足您對合規性的需求。如果不滿足合規性要求，就要決定需要與云供應商進行談判以增加舒適度。

 

    公司的規模能夠為談判增加砝碼，但小型公司也能夠找到談判的砝碼，那就要小型的公司是云供應商試圖拓展新行業�？偠�言之，在任何情況下都不要害怕和云供應商進行談判。

 

    Larner表示“很多公司認為一個大的云供應商不會和他們進行談判。事實上，你可以提升你的舒適度來讓云供應商樂意為你破例的。”

 

    如果你對云不是很了解，不妨以非關鍵性數據開始，你就會發現這是一個很好的辦法。Larner補充道。

 

    但是嚴格的評估不應該僅僅以全面的SLA結束。RSA公司的云計算戰略總監Nirav Mehta表示你應該繼續密切關注云供應商。“你可能有一個很好的SLA，但是如果供應商的云服務中斷，業務連續性會發生什么?”

 

    Mehta認為最好的戰略是使用多個云作為備份。

 

    4、優先考慮安全性問題

 

    為了更好的理解企業的潛在風險以及利益，你應該盡可能早地與云安全小組進行討論，Forrester公司的Penn認為。

 

    “在適當的環境中安全及合規性問題才能提上日程。” Penn說，“重要的是：企業主管能夠理解安全問題而且能夠在風險級別與提供的降低某些風險的預算之間進行權衡。”

 

    在向云遷移的過程中，通過安全委員會正式的風險評估功能，為企業提供一個以更持久的方式實現企業安全和企業目標聯盟的機會。安全委員會能夠幫助評估風險并做出符合企業戰略目標的預算建議。

 

    你應該注意眾多安全服務及云供應商合作伙伴提供的安全創新。Dome9是Amazon的合作伙伴，它解決云相關的技術問題—當不使用云服務器的SSH以及其他端口時，Dome9就關閉這些端口，這樣已經獲得訪問權限的攻擊者就不能登錄到云 服務器中了。

 

    Dome9 的銷售副總裁Dave Meizlik說：“在企業中，這些端口默認是打開的。但是當你的云服務器不需要工作時，你希望能夠關閉它們。而你不能每次關閉服務器都要求云提供者幫你關閉相應的端口”

 

    云計算可能帶來了某些風險，但是當安全創新迎頭趕上后，這些風險自然會減少。即使在今天，根據Forrester公司的Penn所說，“云服務的安全問題不會像其他IT趨勢比如智能手機或者社交媒體的蔓延那樣，令大多數企業對安全問題感到擔憂。從根本上說，對于云應用，安全問題將逐漸減少而不會引起越來越多的關注。”