如今，很多企業(yè)提高了云平臺(tái)的安全性和抵御外部攻擊者的能力，但他們?nèi)匀粨?dān)心云計(jì)算提供商如何使用與帳戶(hù)相關(guān)的數(shù)據(jù)方面缺乏透明度。

 

AWS、Microsoft、谷歌云等公共云取得了長(zhǎng)足的進(jìn)步，以提高對(duì)其用于支持和訪(fǎng)問(wèn)用戶(hù)工作負(fù)載的流程的可見(jiàn)性。值得注意的是，他們?cè)黾恿藵M(mǎn)足HIPAA、GDPR和PCI等合規(guī)性標(biāo)準(zhǔn)的保證。然而，一些行業(yè)專(zhuān)家表示，這些主要的云計(jì)算提供商在云計(jì)算透明性方面做得還不夠。

 

這些批評(píng)人士希望云計(jì)算提供商提供更多關(guān)于他們?nèi)绾问褂迷谀缓笫占倪b測(cè)和元數(shù)據(jù)的報(bào)告，他們希望看到一些云計(jì)算供應(yīng)商有著更多的改變，以提供更多工具來(lái)跟蹤與用戶(hù)工作負(fù)載的直接交互。

 

 

所有云計(jì)算提供商都在遵從性框架方面對(duì)數(shù)據(jù)保護(hù)提供一定程度的控制。企業(yè)依靠這種監(jiān)督來(lái)維護(hù)與企業(yè)應(yīng)用程序相關(guān)的所有數(shù)據(jù)的訪(fǎng)問(wèn)、編輯或刪除方式的審計(jì)跟蹤。

 

云計(jì)算安全和合規(guī)解決方案提供商Qualys公司產(chǎn)品管理總監(jiān)Hari Srinivasan表示：“作為全球擴(kuò)展的一部分，云計(jì)算提供商正在越來(lái)越多地針對(duì)不同的區(qū)域法規(guī)標(biāo)準(zhǔn)來(lái)認(rèn)證其環(huán)境、數(shù)據(jù)保護(hù)和隱私。”

 

涉及云中個(gè)人數(shù)據(jù)隱私的認(rèn)證和標(biāo)準(zhǔn)(例如ISO 27018)驗(yàn)證了云計(jì)算提供商是否遵循特定的安全原則。這些標(biāo)準(zhǔn)以書(shū)面形式做出了具體保證，例如保證供應(yīng)商不會(huì)與第三方共享數(shù)據(jù)，除非地方政府以適當(dāng)?shù)乃痉ㄔS可證提出要求。

 

工作流管理平臺(tái)提供商Kissflow公司產(chǎn)品管理副總裁Dinesh Varadharajan表示，云計(jì)算提供商還使用第三方供應(yīng)商進(jìn)行漏洞評(píng)估，以確保其內(nèi)部系統(tǒng)穩(wěn)定并且沒(méi)有安全漏洞。企業(yè)應(yīng)該請(qǐng)求這些合規(guī)性報(bào)告，以發(fā)現(xiàn)在遷移到云端時(shí)可能造成的安全漏洞。這些報(bào)告可幫助企業(yè)了解存儲(chǔ)和傳輸加密的工作原理，如何管理數(shù)據(jù)備份以及在合同終止時(shí)如何處理數(shù)據(jù)。

 

但是，Varadharajan認(rèn)為，通過(guò)發(fā)布有關(guān)數(shù)據(jù)備份，已解決漏洞列表、內(nèi)部審核和結(jié)果的統(tǒng)計(jì)信息，云計(jì)算提供商需要更加透明，這將為企業(yè)帶來(lái)更多的信心。

 

Varadharajan說(shuō)：“總之，企業(yè)需要一個(gè)儀表板來(lái)連續(xù)監(jiān)視存儲(chǔ)的數(shù)據(jù)狀態(tài)。”

 

 

許多云計(jì)算服務(wù)收集遙測(cè)數(shù)據(jù)以提高應(yīng)用程序性能。這引發(fā)了企業(yè)和政府對(duì)云計(jì)算透明度的擔(dān)憂(yōu)，他們擔(dān)心會(huì)對(duì)個(gè)人或企業(yè)信息造成損害。例如，德國(guó)黑森州的學(xué)校被禁止使用Microsoft Office軟件。在荷蘭，微軟公司與荷蘭司法和安全部合作，解決了與遙測(cè)有關(guān)的8個(gè)高級(jí)數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)，以便該服務(wù)能夠在荷蘭使用。

 

 

在將來(lái)，云計(jì)算提供商可以通過(guò)更安全的計(jì)算服務(wù)為企業(yè)提供更好的數(shù)據(jù)控制。微軟、谷歌、英特爾和其他公司創(chuàng)建了機(jī)密計(jì)算聯(lián)盟，旨在簡(jiǎn)化在不受硬件、操作系統(tǒng)和其他應(yīng)用程序保護(hù)的區(qū)域中運(yùn)行計(jì)算的過(guò)程。

 

這項(xiàng)工作仍處于初期階段，特別是因?yàn)檫@些工作負(fù)載往往更難以管理。但是它可以為關(guān)心工作負(fù)載保護(hù)的企業(yè)提供更好的安全性和更大的保證。谷歌公司提供了Asylo機(jī)密計(jì)算框架，而微軟公司提供Azure機(jī)密計(jì)算，以安全地運(yùn)行工作負(fù)載。

 

但是現(xiàn)在沒(méi)有一家云計(jì)算供應(yīng)商提供關(guān)于使用服務(wù)級(jí)別元數(shù)據(jù)的透明性。Srinivasan說(shuō)，云計(jì)算供應(yīng)商會(huì)跟蹤客戶(hù)的匿名使用情況和元數(shù)據(jù)，以發(fā)現(xiàn)其服務(wù)中的差距，并確定其他可以實(shí)現(xiàn)產(chǎn)品的用戶(hù)興趣。

 

無(wú)服務(wù)器監(jiān)控平臺(tái)提供商Lumigo公司首席執(zhí)行官兼聯(lián)合創(chuàng)始人Erez Berkner說(shuō)，提供商對(duì)這些元數(shù)據(jù)的訪(fǎng)問(wèn)可能也是其他業(yè)務(wù)領(lǐng)域競(jìng)爭(zhēng)的客戶(hù)的主要擔(dān)憂(yōu)。即使企業(yè)對(duì)其數(shù)據(jù)進(jìn)行加密，云計(jì)算提供商仍可以訪(fǎng)問(wèn)有關(guān)虛擬機(jī)數(shù)量和事務(wù)的信息，這是在其平臺(tái)上托管的產(chǎn)品或服務(wù)的使用和成功的重要標(biāo)志。

 

文件共享、同步和備份供應(yīng)商FileCloud公司首席運(yùn)營(yíng)官Venkat Ramasamy說(shuō)，云計(jì)算提供商可以利用這些信息來(lái)獲得自身的優(yōu)勢(shì)，例如提供競(jìng)爭(zhēng)性服務(wù)或收購(gòu)公司。因此，他們應(yīng)該針對(duì)數(shù)據(jù)和元數(shù)據(jù)訪(fǎng)問(wèn)生成透明度報(bào)告。

 

Ramasamy說(shuō)，對(duì)用戶(hù)的另一種保護(hù)將是類(lèi)似于金融行業(yè)所做的虛擬障礙。在這一計(jì)劃中，投資銀行部門(mén)與股票分析師群體互相隔離，以防止利益沖突，該部門(mén)擁有關(guān)于很多公司非公開(kāi)的重要信息。如果將此應(yīng)用于云計(jì)算，內(nèi)部產(chǎn)品團(tuán)隊(duì)將與為獨(dú)立軟件開(kāi)發(fā)商(ISV)運(yùn)行云計(jì)算市場(chǎng)的部門(mén)隔離開(kāi)來(lái)。

 

 

盡管存在一些擔(dān)憂(yōu)，但有跡象表明云計(jì)算提供商愿意解決透明度問(wèn)題，特別是在如何訪(fǎng)問(wèn)用戶(hù)數(shù)據(jù)方面。

 

Google Access Transparency使用戶(hù)能夠接收日志，該日志生成與用戶(hù)數(shù)據(jù)進(jìn)行的所有員工互動(dòng)的跟蹤。這對(duì)于提供系統(tǒng)審核很有幫助，并且可以促進(jìn)確認(rèn)符合各種類(lèi)型法規(guī)(例如HIPAA和GDPR)的報(bào)告。此外，采用Google Access Approval，用戶(hù)可以批準(zhǔn)或拒絕谷歌公司工程師訪(fǎng)問(wèn)谷歌云服務(wù)的客戶(hù)數(shù)據(jù)的請(qǐng)求。不過(guò)，谷歌公司保留在法律要求時(shí)訪(fǎng)問(wèn)數(shù)據(jù)的權(quán)利，以應(yīng)對(duì)安全事件。

 

微軟公司為Office 365提供了名為客戶(hù)密碼箱的類(lèi)似服務(wù)。該公司最近推出了Azure客戶(hù)密碼箱的預(yù)覽版，該預(yù)覽版使用戶(hù)可以更好地控制與Azure相關(guān)的所有數(shù)據(jù)的使用方式。