對于存儲合規相關的數據而言,云技術顯然非常合適。軟件即服務(Saas)供應商也將其服務定義為一種更經濟的方式,來將很少訪問而要求很高安全性和訪問控制的數據從主站點存儲上分離出來。不過專家提醒,在沒有仔細檢查第三方服務的情況下,將合規數據通過云歸檔的方式存放可能會帶來風險。
目前有很多不同類型的基于云的服務供應商提供數據歸檔服務,從公有云存儲站點,比如亞馬遜的Simple Storage Service(S3)到專業提供合規數據歸檔的供應商。
提供合規數據歸檔的云服務供應商一直在努力平息在數據安全性、可控性和業務穩定性方面的問題。“做這行的人都有一段時間的業務經驗,他們知道他們在做什么,”ESG資深咨詢分析師Brian Baineau如是說。
不過并不是所有人都深信所有問題都解決了。以下是一份綱要,列出供應商如何緩解應用基于云的合規數據歸檔時通常會有的顧慮,以及仍然遺留的問題。
云技術中的安全性
許多知名的業務和服務供應商(包括微軟在內,其在2010年12月表示有未經授權的用戶從起BPOS上下載了數據)都尷尬地對外透露過信息泄露事件,這使得管理員對于云供應商中高度敏感的合規相關數據的物理和虛擬安全性頗具質疑。
“我們正在談論的是獲取這些團體內最為關鍵的部分數據”George Tziahanas是法律和合規解決方案的Autonomy公司的全球總裁,“這著實是這些公司的命脈,是高度機密的。”
一些供應商定位其符合第70號審計標準(SAS70),Type I或Type II,作為安全性衡量的標準證明。Gartner公司的研究副總裁Jay Heiser解釋了這兩者的不同。“SAS70 Type I由審計從業人員發布,用以證明相應的控制流程足以處理合同中的服務級別要求,”他說。根據Heiser的說法,SAS 70 Type II審計要求審計員到現場檢查服務供應商是否遵從了相應的流程。
不過Heiser警告表示,SAS 70審計“并非是一項認證,而是一項證明”其中問題在于審計并非基于任何最佳實踐或工業標準;SAS 70僅僅是審計報告的一種形式。根據Heiser的觀點,一項成功的SAS 70 Type I審計只意味著服務供應商的過程可以滿足其在合約上的承諾。“它不會承諾任何實際服務的質量,”他說道。
Heiser同時表示,他建議企業在云服務供應商的選取時,在候選公司中至少進行以下四部的調查:
1.準備并通過調查問卷的方式服務供應商的基本服務信息、設備信息和安全措施。Heiser提到SharedAssessments.org和Cloud Security Alliance (CSA)已經提供了相應的調查問卷供管理員參考使用。
2.檢查每家云服務供應商的上游供應商信息。
3.檢查所有第三方的證明信息,比如SAS 70或ISO/IEC 27001:2005。
4.到現場去。Heiser提到服務供應商通常會根據你的業務價值讓你訪問他們的現場情況。
三家提供基于云服務的服務供應商——Autonomy,Mimecast和Symantec公司——通過高級數據保護技術和加密技術解決用戶在安全性方面的顧慮。
Autonomy管理超過17PB的合規相關數據,并且同步地將數據寫入多塊獨立的物理設備中,并可能位于不同位置,采用不同格式。
根據Mimecast技術講師Orlando Scott-Cowley的說法,Mimecast同樣將其數據存儲在不同的設備上并位于不同的位置,因此即便偷取整塊磁盤驅動器或機架也無法取得任何有用的信息。該公司同樣采用加密技術保護所有用戶數據并未每位用戶分配一個256位的高級加密標準(AES)密鑰。作為進一步的安全措施,Scott-Cowley說,Mimecast還為每位用戶分配一個用戶號,并且為相應的數據標記上該用戶號。用戶只能查看有一致客戶號的數據。
Symantec則在用戶數據傳輸至數據中心過程中對其加密,并在存放過程中使用一個256位的AES密鑰。
你知道你的數據存放在哪里么?
有一些政府條例對數據可以存放的地點有區域限制。歐盟資料保護綱領(95/46/EC)要求其成員區域在向第三方國家傳輸數據時,必須確保這些國家可以對個人數據提供“充足的保護級別”。
管理員同樣也不喜歡云服務供應商將數據分割在不同的數據中心中,甚至不同國家的數據中心中。Autonomy的Tziahanas說,“這些受到規范約束的公司想到的第一件事情就是必須明確他們的數據到底存放在哪里。”
“通常的云供應商,比如亞馬遜和Google云和Autonomy最大的不同在于,你在特定的一段時間可以明確你的數據到底在哪里,”他補充說道。
Autonomy和Symantec允許潛在用戶對其自己進行審計,以確保數據存放在公司宣稱的那些地方。Symantec允許公司制定數據存放的數據中心,并且和該公司關聯的郵件賬戶等也會指向到該數據中心。
從云中檢索數據
此外,管理員對于云服務供應商還有的一項顧慮就是快速檢索數據的能力。
“從合規或法律的角度講,任何時候你存放的信息,你都要可以將其取回,”Phil Favaro是Symantec公司一位電子發現方面的律師,他說道。其實受合規約束的公司不僅要求在特定時間段內存儲制定的數據,并且當需要內部或政府審計以及電子發現方面需求時,有義務到法庭、合規主題和管理層來快速取回數據和原始數據。
“你是否能夠快速瀏覽你的虛擬文件柜,并在七天之內根據法庭要求找出與之想順應的資料?”Favaro問道,“我有這樣的一個問題,這非常重要,云供應商是否能夠提供這樣一種結構,如果沒有這樣一種結構的話,公司會和法院或監管機構惹上麻煩。”
Ponemon學院LLC安全調查中心近期的一項研究發現合規以及存儲非結構化的信息每年平均花費了企業約210萬元,卻無法進行企業智能化的資本管理。
該學院的成立者兼主席,Larry Ponemon說道,這項研究關注大約100家公司的至少1,000的IT席位,這些人私下都認為云是一項降低合規成本的途徑。不過,他提醒將記錄放在云端并非是完美的答案。
“我和近20家企業談過,幾乎每家企業都提到使用云或管理服務可能會在很大程度上改善這些問題,”Ponemon說道, “我想云確實是提供這樣一種服務,不過,正因為是云,它無法解決這樣的問題,誰訪問了什么數據,以及為什么。他們只是簡單地訪問它。”
Ponemon說很重要的一點是,任何合規應用,云或者內部的,將記錄視作文件級別。“其必須是文件級別而非卷級別的,”他說道,“很可能你只需要1,000條記錄中的一條。”
服務水平協議的重要性
Autonomy和Mimecast通過嚴格的服務水平協議解決這方面的問題。“當有人聽到‘云’這個詞時,他們想到了亞馬遜和Google,當他們獨到這些恐怖的故事,并且理解他們的數據可能會被從這樣一個基礎架構上偷走,這完全是他們無法控制的,沒有任何服務水平協議保證,”Mimecast的Scott-Cowley說。他說Mimecast確保100%的服務可用性,包括任何時間、地點通過網絡界面訪問歸檔后的郵件。
Autonomy所提供的服務水平協議涵蓋了訪問,數據多快可以被寫入磁盤和目錄,多快可以被調取供調查所用,數據可以多快通過政策過濾,以及用戶可以多快地通過政策過濾推送出的信息中找到所需資料。“你可以存儲每一天的數據,不過假設你沒有一個很好的機制來對其進行訪問,這些就是完全不相干的信息。”公司的Tziahanas說道。
通過嚴格的服務水平協議,本地化的服務,以及嚴格的安全性衡量,云數據歸檔服務市場正在日漸成熟。不過這并不非意味著每家服務供應商會使用相同的工具。“從風險管理角度看,你無法在‘云’前止步不前,”Gartner的Heiser說,“你必須深挖并發現供應商所謂的‘云’究竟是什么。”
這意味著挖掘得更深入一些,在所謂的工業標準安全性審計上更深入一些,可能的話實地考察服務供應商的設備。這一系列的防御措施可以使你在應對法院和監管機構時更為從容不迫。