怎樣做到讓云計(jì)算“盡在掌控”？

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在我們與企業(yè)技術(shù)專家交流的過(guò)程中發(fā)現(xiàn)，雖然他們將隱私性和安全性列為他們最關(guān)注的兩個(gè)管理難題，但是可用性、性能管理、可訪問(wèn)性、審查以及監(jiān)控也都是需要考慮的方面，尤其是那些需要遵守Payment Card Industry標(biāo)準(zhǔn)或者Health Insurance Portability and Accountability Act法案的企業(yè)機(jī)構(gòu)。

在我們最近進(jìn)行的一次有關(guān)云計(jì)算的調(diào)查中，一位受訪者表示：“在我看來(lái)，云計(jì)算對(duì)網(wǎng)絡(luò)連接有很大依賴性，而且還可能導(dǎo)致企業(yè)信息的泄露或被盜取。從PCI遵從的角度來(lái)說(shuō)，云計(jì)算可能會(huì)成為人們的一個(gè)噩夢(mèng)。”

而且，云計(jì)算可以幫助用戶快速而無(wú)縫地?cái)U(kuò)展的同時(shí)，還可以節(jié)約維護(hù)服務(wù)器相關(guān)的成本和開(kāi)支，這些特點(diǎn)非常具有吸引力，讓人們相信這種模式仍將繼續(xù)贏得企業(yè)管理者的青睞。而且，云計(jì)算的擁護(hù)者——包括那些希望從這個(gè)市場(chǎng)中獲益的大廠商——在提倡云計(jì)算優(yōu)點(diǎn)的同時(shí)卻忽略了它的一些缺陷，例如服務(wù)中斷和監(jiān)控挑戰(zhàn)。

那么，信息安全專家如何自己的監(jiān)控需求和企業(yè)領(lǐng)導(dǎo)者降低成本的要求之前取得一個(gè)平衡呢？我們的建議是：CIO們必須和法律顧問(wèn)還有數(shù)據(jù)所有者坐在一起討論這個(gè)問(wèn)題。將這些難題和盤托出是打消質(zhì)疑的唯一方法，正如我們對(duì)456位企業(yè)技術(shù)專家所做調(diào)查的結(jié)果一樣，有18%的受訪者表示他們正在使用云服務(wù)，34%的人表示對(duì)云服務(wù)不感興趣。有超過(guò)半數(shù)的受訪者表示他們有關(guān)云計(jì)算最關(guān)心的分別是安全、性能、監(jiān)控、廠商鎖定和技術(shù)支持。

從前對(duì)于“軟件即服務(wù)”（SaaS）我們也聽(tīng)到過(guò)類似的擔(dān)心。如果你不對(duì)數(shù)據(jù)進(jìn)行控制——或者在有些情況下甚至不知道數(shù)據(jù)保存在什么地方——那么你就無(wú)法管理這些數(shù)據(jù)，當(dāng)然你就不能向監(jiān)察人員保證數(shù)據(jù)是受到保護(hù)防止未經(jīng)認(rèn)證的訪問(wèn)。但是比SaaS更復(fù)雜的是，云計(jì)算的分布式特點(diǎn)還可能引發(fā)隱私權(quán)和法規(guī)遵從等問(wèn)題。不管你是訂購(gòu)像Amazon EC2這樣租賃資源的云計(jì)算基礎(chǔ)架構(gòu)模式，還是像Salesforce或者PeopleSoft提供的應(yīng)用平臺(tái)模式，都可能遇到上述問(wèn)題，數(shù)據(jù)管理和法規(guī)遵從這樣的監(jiān)管問(wèn)題仍然存在。法庭和行業(yè)組織最終將幫助制定指導(dǎo)方針，但是就目前來(lái)說(shuō)，我們還得靠自己。

托管模式隱患重重

在托管模式下，廠商對(duì)外租賃機(jī)架空間、能源和網(wǎng)絡(luò)互連性，IT部門可以隨意接入他們需要的設(shè)備。托管廠商應(yīng)該具有對(duì)你的硬件可審查控制的訪問(wèn)路徑，從而降低數(shù)據(jù)在本地被盜取的風(fēng)險(xiǎn)。

在一個(gè)基礎(chǔ)架構(gòu)云環(huán)境中，情況則完全不同。你可以根據(jù)你的需要將數(shù)據(jù)和處理能力從一個(gè)站點(diǎn)遷移到另一個(gè)站點(diǎn)，這根據(jù)物理訪問(wèn)控制等級(jí)的不同而有所不同。一些基礎(chǔ)架構(gòu)云提供商的底層虛擬化系統(tǒng)可能無(wú)法對(duì)確保共享一個(gè)hypervisor的虛擬機(jī)獨(dú)立且不易受到攻擊提供強(qiáng)有力保證。云提供商在提供計(jì)算服務(wù)的時(shí)候很少向用戶提供他們底層架構(gòu)和技術(shù)的可見(jiàn)性。你無(wú)法審查你看不到的，而這正是許多法規(guī)相關(guān)行業(yè)的黑暗面所在。

Unisys公司首席安全架構(gòu)師Christopher Hoff指出，以前SaaS新興廠商不得不建造他們自己的數(shù)據(jù)中心，而現(xiàn)在他們可以利用像Amazon Web Services這樣的基礎(chǔ)架構(gòu)云服務(wù)。他們不僅可以提供底層核心計(jì)算資源，而且還有像防范拒絕服務(wù)、掃描監(jiān)控、基礎(chǔ)防火墻和多租戶個(gè)例這樣的增值安全功能，這在以前都是普通SaaS廠商無(wú)法提供的。

外包商也外包

現(xiàn)在，可能所有類型的服務(wù)提供商都可以將處理能力加載到云環(huán)境中，有時(shí)候連數(shù)據(jù)所有者都不知曉。

IT咨詢公司IP Architects總裁John Pironti表示：“監(jiān)控就是知道數(shù)據(jù)在哪以及數(shù)據(jù)是如何分類的。外包廠商也可以將數(shù)據(jù)處理外包出去，所以現(xiàn)在你必須了解數(shù)據(jù)最終被保存在哪?！?/P>

Pironti提到了一家公司，他們將數(shù)據(jù)處理工作外包給一家印度公司，然后這家公司通過(guò)審慎調(diào)查來(lái)確保外包方達(dá)到安全標(biāo)準(zhǔn)。然而，這家印度外包公司卻將數(shù)據(jù)處理工作轉(zhuǎn)交給了在中國(guó)的合作廠商。Pironti所說(shuō)的這家公司直到一次對(duì)網(wǎng)絡(luò)連接的例行審查過(guò)程中才知道自己的數(shù)據(jù)已經(jīng)被遷移到了中國(guó)。這家印度公司自己的所做正是原始用戶的行為——將處理工作外包以節(jié)約成本。

那么這就意味著用來(lái)約束原始托管服務(wù)的數(shù)據(jù)所有權(quán)相關(guān)法律和責(zé)任都不再適用了嗎？這取決你提出這個(gè)問(wèn)題的對(duì)象是誰(shuí)，對(duì)象不同，你得到的答案也不同。 Pironti指出，任何一家將數(shù)據(jù)處理外包出去的廠商都曾經(jīng)遇到過(guò)類似的監(jiān)管問(wèn)題，而且都遵循一個(gè)原則：不管你將數(shù)據(jù)處理外包給獨(dú)立軟件提供商、 SaaS提供商、還是云提供商，一定要在合同中明確有關(guān)控制隱私權(quán)和安全性的界定和責(zé)任。這時(shí)候你就需要向法律顧問(wèn)需求幫助，因?yàn)椴煌瑖?guó)家、甚至是美國(guó)的不同州有關(guān)隱私權(quán)相關(guān)法律規(guī)定都是不同的。

加州公用事業(yè)委員會(huì)首席信息官Carolyn Lawson表示，云服務(wù)中涉及的數(shù)據(jù)類型可能在法律法規(guī)方面有著巨大差別。她指出，美國(guó)第九巡回上訴法院法規(guī)要求，在《存儲(chǔ)信息保護(hù)法》的約束下，電子郵件/SMS托管服務(wù)提供商不能將信息轉(zhuǎn)交給付費(fèi)卻未經(jīng)授權(quán)的公司。換句話說(shuō)，如果你與一家云服務(wù)提供商簽訂合同，讓這家公司來(lái)管理你們員工的電子郵件，那么這家提供商可能無(wú)法根據(jù)你的需求來(lái)提供信息的副本，甚至你支付費(fèi)用也是不行的。這可能會(huì)嚴(yán)重阻礙電子發(fā)現(xiàn)或者內(nèi)部審查。

云初創(chuàng)公司Elastra首席軟件架構(gòu)師Stuart Charlton還指出，那些與歐盟企業(yè)合作的公司應(yīng)該確保歐盟公民的隱私數(shù)據(jù)不會(huì)被保存在相關(guān)法律不那么嚴(yán)苛的國(guó)家——例如美國(guó)的大多數(shù)州。因?yàn)闅W盟針對(duì)公民隱私權(quán)制定了嚴(yán)格的法律，所以，在加州政府機(jī)構(gòu)考慮采用云計(jì)算之前，他們必須確保隱私數(shù)據(jù)仍然是保存在州邊境內(nèi)，或者咨詢律師將數(shù)據(jù)托管在其他州或者國(guó)家是否是可以接受的。

無(wú)國(guó)界的云

你可能會(huì)認(rèn)為，外包數(shù)據(jù)——不太像是使用Amazon的EC2或者微軟的Azure——是不需要考慮安全問(wèn)題的。但是，在上面我們提到的那家發(fā)現(xiàn)數(shù)據(jù)被轉(zhuǎn)移到了中國(guó)的公司，他們可能會(huì)在無(wú)意之間丟掉了一位用戶。

例如，Elastra是一家云計(jì)算管理廠商。他們的用戶Christian James是一家基于SaaS模式提供POS應(yīng)用的零售商。Christian James的產(chǎn)品PayGo SaaS可以被托管在你位于Amazon EC2云中的服務(wù)器，使用信用卡處理設(shè)備Authorize.Net來(lái)處理賒帳購(gòu)買業(yè)務(wù)。這三家公司也許或者不會(huì)對(duì)你整個(gè)PCI遵從有影響。 Christian James公司新聞發(fā)言人表示，現(xiàn)在公司采取措施來(lái)確保他們的軟件是符合PCI規(guī)定的，但是他們對(duì)托管在Amazon EC2中的應(yīng)用流程并不確定。

MedCommons是一家專門提供保存和管理患者醫(yī)療數(shù)據(jù)相關(guān)軟件的廠商，他們也遇到了類似的問(wèn)題。MedCommons直接將他們的產(chǎn)品作為一項(xiàng)基于Amazon EC2的SaaS產(chǎn)品提供給用戶。該公司首席科學(xué)家Adrian Gropper指出，作為SaaS許可的一部分，用戶必須簽訂Amazon的用戶協(xié)議和MedCommons的用戶協(xié)議。

不管你是要遵守PCI還是HIPAA，你都需要詳細(xì)了解數(shù)據(jù)保存在什么地方以及誰(shuí)對(duì)這些數(shù)據(jù)負(fù)責(zé)，而且這些答案都是要寫到合同中的。

不要嫌麻煩，向政府機(jī)構(gòu)或者行業(yè)組織尋求相關(guān)幫助。不過(guò)他們有時(shí)候與技術(shù)發(fā)展并不是與時(shí)俱進(jìn)的。

PCI安全標(biāo)準(zhǔn)委員會(huì)技術(shù)總監(jiān)Troy Leach解釋說(shuō)，該委員會(huì)的宗旨是：“PCI安全標(biāo)準(zhǔn)委員會(huì)將保持一種技術(shù)中立的態(tài)度，指明與信用卡持有人數(shù)據(jù)環(huán)境相關(guān)的風(fēng)險(xiǎn)。我們正在不斷檢查PCI 數(shù)據(jù)安全標(biāo)準(zhǔn)1.2版本相關(guān)規(guī)定是否降低了潛在風(fēng)險(xiǎn)和減少與虛擬組件有關(guān)的漏洞。委員會(huì)希望在新的一年讓這一話題更加明確化?！?/P>

外包商也外包

現(xiàn)在，可能所有類型的服務(wù)提供商都可以將處理能力加載到云環(huán)境中，有時(shí)候連數(shù)據(jù)所有者都不知曉。

IT咨詢公司IP Architects總裁John Pironti表示：“監(jiān)控就是知道數(shù)據(jù)在哪以及數(shù)據(jù)是如何分類的。外包廠商也可以將數(shù)據(jù)處理外包出去，所以現(xiàn)在你必須了解數(shù)據(jù)最終被保存在哪?！?/P>

Pironti提到了一家公司，他們將數(shù)據(jù)處理工作外包給一家印度公司，然后這家公司通過(guò)審慎調(diào)查來(lái)確保外包方達(dá)到安全標(biāo)準(zhǔn)。然而，這家印度外包公司卻將數(shù)據(jù)處理工作轉(zhuǎn)交給了在中國(guó)的合作廠商。Pironti所說(shuō)的這家公司直到一次對(duì)網(wǎng)絡(luò)連接的例行審查過(guò)程中才知道自己的數(shù)據(jù)已經(jīng)被遷移到了中國(guó)。這家印度公司自己的所做正是原始用戶的行為——將處理工作外包以節(jié)約成本。

那么這就意味著用來(lái)約束原始托管服務(wù)的數(shù)據(jù)所有權(quán)相關(guān)法律和責(zé)任都不再適用了嗎？這取決你提出這個(gè)問(wèn)題的對(duì)象是誰(shuí)，對(duì)象不同，你得到的答案也不同。 Pironti指出，任何一家將數(shù)據(jù)處理外包出去的廠商都曾經(jīng)遇到過(guò)類似的監(jiān)管問(wèn)題，而且都遵循一個(gè)原則：不管你將數(shù)據(jù)處理外包給獨(dú)立軟件提供商、 SaaS提供商、還是云提供商，一定要在合同中明確有關(guān)控制隱私權(quán)和安全性的界定和責(zé)任。這時(shí)候你就需要向法律顧問(wèn)需求幫助，因?yàn)椴煌瑖?guó)家、甚至是美國(guó)的不同州有關(guān)隱私權(quán)相關(guān)法律規(guī)定都是不同的。

加州公用事業(yè)委員會(huì)首席信息官Carolyn Lawson表示，云服務(wù)中涉及的數(shù)據(jù)類型可能在法律法規(guī)方面有著巨大差別。她指出，美國(guó)第九巡回上訴法院法規(guī)要求，在《存儲(chǔ)信息保護(hù)法》的約束下，電子郵件/SMS托管服務(wù)提供商不能將信息轉(zhuǎn)交給付費(fèi)卻未經(jīng)授權(quán)的公司。換句話說(shuō)，如果你與一家云服務(wù)提供商簽訂合同，讓這家公司來(lái)管理你們員工的電子郵件，那么這家提供商可能無(wú)法根據(jù)你的需求來(lái)提供信息的副本，甚至你支付費(fèi)用也是不行的。這可能會(huì)嚴(yán)重阻礙電子發(fā)現(xiàn)或者內(nèi)部審查。

云初創(chuàng)公司Elastra首席軟件架構(gòu)師Stuart Charlton還指出，那些與歐盟企業(yè)合作的公司應(yīng)該確保歐盟公民的隱私數(shù)據(jù)不會(huì)被保存在相關(guān)法律不那么嚴(yán)苛的國(guó)家——例如美國(guó)的大多數(shù)州。因?yàn)闅W盟針對(duì)公民隱私權(quán)制定了嚴(yán)格的法律，所以，在加州政府機(jī)構(gòu)考慮采用云計(jì)算之前，他們必須確保隱私數(shù)據(jù)仍然是保存在州邊境內(nèi)，或者咨詢律師將數(shù)據(jù)托管在其他州或者國(guó)家是否是可以接受的。

無(wú)國(guó)界的云

你可能會(huì)認(rèn)為，外包數(shù)據(jù)——不太像是使用Amazon的EC2或者微軟的Azure——是不需要考慮安全問(wèn)題的。但是，在上面我們提到的那家發(fā)現(xiàn)數(shù)據(jù)被轉(zhuǎn)移到了中國(guó)的公司，他們可能會(huì)在無(wú)意之間丟掉了一位用戶。

例如，Elastra是一家云計(jì)算管理廠商。他們的用戶Christian James是一家基于SaaS模式提供POS應(yīng)用的零售商。Christian James的產(chǎn)品PayGo SaaS可以被托管在你位于Amazon EC2云中的服務(wù)器，使用信用卡處理設(shè)備Authorize.Net來(lái)處理賒帳購(gòu)買業(yè)務(wù)。這三家公司也許或者不會(huì)對(duì)你整個(gè)PCI遵從有影響。 Christian James公司新聞發(fā)言人表示，現(xiàn)在公司采取措施來(lái)確保他們的軟件是符合PCI規(guī)定的，但是他們對(duì)托管在Amazon EC2中的應(yīng)用流程并不確定。

MedCommons是一家專門提供保存和管理患者醫(yī)療數(shù)據(jù)相關(guān)軟件的廠商，他們也遇到了類似的問(wèn)題。MedCommons直接將他們的產(chǎn)品作為一項(xiàng)基于Amazon EC2的SaaS產(chǎn)品提供給用戶。該公司首席科學(xué)家Adrian Gropper指出，作為SaaS許可的一部分，用戶必須簽訂Amazon的用戶協(xié)議和MedCommons的用戶協(xié)議。

不管你是要遵守PCI還是HIPAA，你都需要詳細(xì)了解數(shù)據(jù)保存在什么地方以及誰(shuí)對(duì)這些數(shù)據(jù)負(fù)責(zé)，而且這些答案都是要寫到合同中的。

不要嫌麻煩，向政府機(jī)構(gòu)或者行業(yè)組織尋求相關(guān)幫助。不過(guò)他們有時(shí)候與技術(shù)發(fā)展并不是與時(shí)俱進(jìn)的。

PCI安全標(biāo)準(zhǔn)委員會(huì)技術(shù)總監(jiān)Troy Leach解釋說(shuō)，該委員會(huì)的宗旨是：“PCI安全標(biāo)準(zhǔn)委員會(huì)將保持一種技術(shù)中立的態(tài)度，指明與信用卡持有人數(shù)據(jù)環(huán)境相關(guān)的風(fēng)險(xiǎn)。我們正在不斷檢查PCI 數(shù)據(jù)安全標(biāo)準(zhǔn)1.2版本相關(guān)規(guī)定是否降低了潛在風(fēng)險(xiǎn)和減少與虛擬組件有關(guān)的漏洞。委員會(huì)希望在新的一年讓這一話題更加明確化?！?/P>

謹(jǐn)慎對(duì)待服務(wù)等級(jí)協(xié)議

監(jiān)控不僅僅涉及位置識(shí)別，可用性、可訪問(wèn)性、審核以及控制也很重要。在今年一月，上百萬(wàn)名Salesforce用戶遭遇了長(zhǎng)達(dá)38分鐘的服務(wù)中斷，去年 Amazon Web服務(wù)用戶也曾有過(guò)類似經(jīng)歷。從中我們得到一個(gè)教訓(xùn)：謹(jǐn)慎對(duì)待服務(wù)提供商的服務(wù)等級(jí)協(xié)議（SLA）。

99.9%的可用性也就意味著每年有大約8.75小時(shí)的宕機(jī)時(shí)間，這在大多數(shù)情況下都是不能接受的。同時(shí)你還要確保清楚地了解排除情況。例如，服務(wù)等級(jí)協(xié)議條款通常是限制于服務(wù)提供商控制范圍內(nèi)的設(shè)備和服務(wù)水平，往往不包括像因特網(wǎng)中斷這樣的故障。

IT部門還要確保受法規(guī)保護(hù)的數(shù)據(jù)或者敏感數(shù)據(jù)被實(shí)施適當(dāng)保護(hù)或者對(duì)這些數(shù)據(jù)的訪問(wèn)路徑是經(jīng)過(guò)審查的。必須有人專門負(fù)責(zé)數(shù)據(jù)保護(hù)，但是Amazon EC2和微軟Azure等服務(wù)的協(xié)議是明確的：公司在使用他們服務(wù)的時(shí)候不需要對(duì)數(shù)據(jù)丟失或者法律處罰承擔(dān)責(zé)任?，F(xiàn)在，這兩家廠商都推出了如何安全地使用他們的云計(jì)算平臺(tái)的指南，實(shí)際上，這還是要取決于你自己的情況，數(shù)據(jù)在他們的云中可能比在你自己的設(shè)備中更安全。

但事實(shí)是，這些公司提供共享計(jì)算服務(wù)，而相關(guān)法律——包括PCI——通常要求IT部門證明他們的系統(tǒng)是被安全管理的，有時(shí)候還需要有第三方審查來(lái)證明這一點(diǎn)。除非你是他們的大客戶，否則能否對(duì)Amazon或者微軟的數(shù)據(jù)中心進(jìn)行審查只能看你的運(yùn)氣了。

而對(duì)于小型提供商，你可能會(huì)更幸運(yùn)一些。例如Zoho是一家在云環(huán)境中提供生產(chǎn)應(yīng)用和其他應(yīng)用的廠商，他們應(yīng)用戶的要求接受了第三方審查，當(dāng)然用戶是需要支付一定費(fèi)用。

注意一點(diǎn)，服務(wù)提供商的SAS-70審查并不是對(duì)獨(dú)立審查的必要補(bǔ)充。對(duì)于入門用戶來(lái)說(shuō)，你可能沒(méi)有機(jī)會(huì)看到審查員的報(bào)告全文（其中詳細(xì)提到了非常敏感的信息，例如基礎(chǔ)架構(gòu)和服務(wù)提供商的控制），你將只能看到審查員的意見(jiàn)闡述，這也是審查員對(duì)服務(wù)提供商的控制策略是否滿足標(biāo)準(zhǔn)判斷的一個(gè)總結(jié)。而且，SAS-70審查通常只適用于服務(wù)提供商IT系統(tǒng)的子系統(tǒng)，所以意見(jiàn)闡述可能不會(huì)覆蓋整個(gè)運(yùn)作流程。

只有關(guān)于云環(huán)境控制的法律架構(gòu)在立法、法規(guī)或者法庭案件中全面適用，IT才可以盡情地?fù)肀г朴?jì)算。（51CTO）