大家當然有能力確保自己的云方案遵循PCI DSS、HIPAA以及其它監管要求的合規條款,但仍需要憑借著大量調查與不懈努力獲得證明合規性水平的必要解答及文件。
盡管眾多企業都在內部私有云領域部署有高水平控制及定制方案,但在公有或者混合云環境下使用服務項目仍然帶來相當嚴峻的合規性挑戰。當然,云服務供應商們已經從幫助客戶實現合規性當中發現了確切收益,而整個流程也處于不斷改進當中。然而,如果大家正在考慮將數據遷移至云環境下——而這部分數據又必須符合合規監管要求——那么各位面前仍有很長的道路要走。
要讓我合規,你要首先實現合規
截至目前,云服務供應商一直將主要精力放在為數據存儲與云服務提供安全配置層面。換言之,云客戶需要承擔起遵循監管要求或者確保云服務供應商滿足數據保護之相關合規條款。
好消息是,情況已經開始出現轉機。除了一部分公有云供應商開始以積極態勢幫助客戶滿足合規性要求之外,各監管機構及標準制定組織也開始意識到云服務的實際價值與普及水平。新的指導方針與合規性內容調整已經開始為云服務的安全使用提供理論基礎。
舉例來說,健康保險流通與責任法案(簡稱HIPAA)于2013年開始將云服務供應商納入相關運營主體,這意味著云服務供應商也必須符合HIPAA之要求。PCI安全標準協會,即支付卡行業數據安全標準(簡稱PCI DSS)與支付應用數據安全標準背后之支持機構最近也發布了一份細則文件,開始將云服務納入PCI背景當中。
在對云服務供應商進行考核時,首先應尋求一套基于標準之云環境以及一套能夠滿足我們所需遵守之各監管政策與規程的安全方案。大家還要確保已經認真查閱合同及服務水平協議內的語言表述,考量對象供應商是否滿足云合規性要求。在理想情況下,云服務供應商應當有能力證明其滿足合規性要求或標準,并能夠且愿意通過審計驗證這一能力。
提示:大家的云服務供應商應當擁有安全專業人員,并由其負責確保該云服務供應商解決方案與PCI DSS、HIPAA以及其它監管要求相匹配。
數據中心到底身在何處?
在云環境的合規性保障工作中,其主要障礙之一在于了解自己的數據被保存在何處。在審計期間,大家需要提供數據的實際所處位置,并說明采取何種措施為其提供保護。
我們必須要求云服務供應商通過說明文件解答其服務器的所在位置,對美國客戶來說設施應當處于美國本土,且遵循各類監管及標準要求。如果某家云服務供應商不愿透露此類信息,請大家不要猶豫、馬上將目光投向別處。即使監管不要求服務器設備位于美國境內,大家也必須清醒地意識到,位于國外的服務器可能受到外國政府的法律制約并引發潛在之隱私問題。
作為PCI DSS合規性要求的組成部分,一部分云服務供應商還提供令牌機制,旨在利用隨機數字或者信令取代傳統信用卡數據。令牌由PCI兼容性支付處理器負責處理,只有非PCI數據由云服務供應商負責打理。
訪問控制是關鍵
在IT合規性監管工作當中,最大的難題主要源自確保為系統及數據訪問流程提供合適的控制手段。在審計過程中,一家企業必須證明自身有能力為每一位用戶提供訪問級別控制,并展示其如何對這些級別進行維護。因此對云服務供應商而言,最重要的一點就是部署訪問控制機制并保證其得到妥善實現。
詢問這些準云服務供應商,了解他們是否愿意并有能力證明其對管理功能的職責劃分實現手段,并能通過文件說明哪些用戶訪問過某套系統以及每用戶能在哪個時間段訪問哪些數據。此類信息對于滿足多種不同監管要求意義重大,其中包括金融服務現代化法案(簡稱GLBA)——此法案要求金融機構保障客戶非公開個人信息之開發性與保密性。
對閑置及使用中的數據進行加密
云服務供應商需要解決的另一個安全性難題源自多租戶環境。為了保持低廉的運營成本,多數云服務供應商采用多租戶架構,其中多家客戶共同享有同一套軟件應用虛擬實例。在這類架構當中,云服務供應商必須有能力證明其安全措施足以避免某一客戶訪問到其它客戶之業務數據。不過,任何保存在或者經由云服務之數據都應當得到加密,從而滿足大多數合規條款的實際要求。
如果云服務供應商采取了加密機制,請弄清楚他們具體使用哪種加密技術以及如何與何時加以運用。千萬不要先入為主地認為云服務供應商擁有對數據進行加密的全部責任。我們自己才應該對使用中以及處于閑置狀態下的數據進行保護。云服務供應商僅僅需要為了幫助大家滿足這些要求而提供相關服務。一部分企業將數據保存在自己的內部數據中心中,并利用云實現額外的存儲或處理任務。在這種情況下,大家最好能夠在數據進入傳輸流程之前先一步對其進行加密。
注意:根據HIPAA之要求,保存在磁盤驅動器(包括歸屬于云服務供應商之磁盤驅動器)上的數據必須受到加密,此外還需要匹配備份副本,且每一塊驅動器都必須始終被計算在內。
讓云服務供應商成為你的合作伙伴
云服務業界充斥著激烈的市場競爭。目前按實際使用量計費已經使得云服務成本相當低廉,而云服務供應商需要進一步提升自身功能以吸引到客戶關注并拿下合作訂單。其中一種方式就是與大家的企業建立合作伙伴關系,并成為IT部門的一種擴展與延伸。在這種情況下,大家值得多花點時間了解云服務供應商的安全規程、應急響應以及災難恢復機制、如何解決問題外加如何處理日志文件等等。
更進一步
應用程序設計、監控、應急響應以及災難恢復都是重要的考量因素。大家需要確保自己的準云服務供應商有能力且有意愿解決上述難題。即使已經盡職盡責做好前期調查工作,監管政策本身也會隨時間而發生改變,這使得我們必須不斷重新審視自己的IT基礎設施與未來發展規劃。請確保自己的安全團隊參與到任何政策或規程的修訂工作當中,預祝各位在云發展旅程中一路高歌猛進!
京公網安備 11010502049343號