企業網D1Net(全球IP通信聯盟旗下媒體)8月9日訊(上海)從概念上看,云計算似乎很普通。事實上,操作部署以及許可的簡單性才是“云”最誘人的資本。但問題是,深入探究后你發現要遵從“云”其實并不簡單,有很多問題需要思考。
大到政府法規,例如《薩班斯·奧克斯利法案》(SOX)以及歐盟數據保護法,小到行業法規,例如支付卡行業數據安全標準(PCI DSS)以及美國健康保險攜帶和責任法案(HIPAA),云規則可謂無處不在。或許你已經實現了內部掌控,但在向公共云計算基礎設施平臺抑或基于云的應用套件轉移的過程中,面對云供應商,你不得不放棄一些掌控。
這正是今天很多審計員、CIO和CEO的一大困擾。他們迫切地想知道:怎樣才能在大力發展“云”的同時遵守云規則,避免聲譽受損。一些分析師、供應商和顧問就這個問題給出了以下建議:
1.認清云對IT工作負載的影響
當你評估云供應商時,試著去尋找能在用戶身份、訪問管理、數據保護和事件響應方面提供良好策略的供應商。這是最基本的合規要求。然后,一旦你給未來的供應商具體制定合規要求,將很可能遭遇具體的“云”挑戰。
數據定位就是其中之一。舉例來說,歐盟數據保護法案禁止歐盟居民的個人信息外流。因此,你的云供應商必須確保將歐盟客戶的信息保存在歐洲的服務器上。
多租戶和清除配置也將帶來挑戰。公用云提供商采用多租戶架構來降低服務器工作負載,同時削減成本。但這就意味著將與其他企業共享服務器空間。因此,你必須清楚云服務商能提供何種保護措施,以避免向其他企業妥協。根據數據的重要程度,你可能需要對之加密。例如,美國健康保險攜帶和責任法案(HIPAA)就要求對用戶所有數據進行加密,不論數據是否正被使用。
隨著密碼身份認證技術越發復雜,為用戶清除配置也愈發具有挑戰性。不可否認,聯合身份管理計劃幫助用戶更方便地登陸至多個“云”,但也導致配置的清除更為棘手。“當雇員離開公司,你希望按一下按鈕,就可以自動關閉他們的Windows帳戶和所有企業內部應用程序。同時,你希望雇員的移動電話無權獲取企業信息,雇員無權接觸企業SaaS應用。”身份管理及合規工具提供商Centrify總裁Tom Kemp 表示,目前看來,自動清除配置尚未實現基于云平臺和內部部署系統的同時應用。
2. 跟蹤瞬息萬變的云標準
不論喜歡與否,你都是“云”的早期應用者。將哪些應用程序遷移到云?什么時候遷移?加深對云計算新標準的理解有利于做出更好的抉擇。
今天你可以參照SAS 70 Type II和ISO 27001兩大標準,以遵守金融和信息安全方面的政府及行業法規。但這些標準不一定適合公司發展。
“諸如ISO 27001和SAS 70的標準很有效,但可能已經過時。”市場研究公司Forrester Research的副總裁兼首席分析師Jonathan Penn進一步表示,“當涉及數據安全,身份管理和管理員控制時,這些標準也并非很具體。我們必須讓用戶清楚即將發生的一切,而現在這近乎一個‘黑箱’。”
提高透明度是云安全聯盟(CSA)的一大目標。CSA成立3年來受到了用戶、審計師和服務提供商的廣泛歡迎,其主要目標是標準化審計框架,加強用戶和云供應商之間的溝通。
目前,GRC(監控、風險和合規)標準套件進展順利,它包含4大要素:云信托協議,云審計,共識評估倡議和云控制矩陣。其中,云控制矩陣以電子表格的形式羅列了企業遵守其IT控制領域標準須達到的基本要求,例如“人力資源-終止雇傭關系”。而共識評估倡議就用戶和審計師對供應商在控制領域的具體期望,提供了一份詳盡問卷。
基于CSA等聯盟,包括行業團體、政府機構的共同努力,未來幾年內,新標準將會層出不窮。CSA已經與ISO(國際標準化組織),ITU(國際電信聯盟),NIST(美國國家標準和技術協會)正式結盟,以幫助這些組織進一步完善標準。據調研公司Forrester Research報道,截至2010年底,已有48個行業團體致力于云安全相關標準的研究。( By Jim Buchanan,Vicky編譯)
關于云計算合規性的其他建議,將在下篇中進一步闡述。閱讀《云計算合規性的四大建議(下)》請點擊鏈接://hfnxjk.com/cloud/news/75680.html
京公網安備 11010502049343號