雲歸檔：合規資料的安全很重要

對於存儲合規相關的資料而言，雲技術顯然非常合適。 軟體即服務（Saas）供應商也將其服務定義為一種更經濟的方式，來將很少訪問而要求很高安全性和存取控制的資料從主網站存儲上分離出來。 不過專家提醒，在沒有仔細檢查協力廠商服務的情況下，將合規資料通過雲歸檔的方式存放可能會帶來風險。

目前有很多不同類型的基於雲的服務供應商提供資料歸檔服務，從公有雲存儲網站，比如亞馬遜的Simple Storage Service（S3）到專業提供合規資料歸檔的供應商。

提供合規資料歸檔的雲服務供應商一直在努力平息在資料安全性、可控性和業務穩定性方面的問題。 「做這行的人都有一段時間的業務經驗，他們知道他們在做什麼，」ESG資深諮詢分析師Brian Baineau如是說。

不過並不是所有人都深信所有問題都解決了。 以下是一份綱要，列出供應商如何緩解應用基於雲的合規資料歸檔時通常會有的顧慮，以及仍然遺留的問題。

雲技術中的安全性

許多知名的業務和服務供應商（包括微軟在內，其在2010年12月表示有未經授權的使用者從起BPOS上下載了資料）都尷尬地對外透露過資訊洩露事件，這使得管理員對於雲供應商中高度敏感的合規相關資料的物理和虛擬安全性頗具質疑。

「我們正在談論的是獲取這些團體內最為關鍵的部分資料」George Tziahanas是法律和合規解決方案的Autonomy公司的全球總裁，「這著實是這些公司的命脈，是高度機密的。 」

一些供應商定位其符合第70號審計標準（SAS70），Type I或Type II，作為安全性衡量的標準證明。 Gartner公司的研究副總裁Jay Heiser解釋了這兩者的不同。 「SAS70 Type I由審計從業人員發佈，用以證明相應的控制流程足以處理合同中的服務等級要求，」他說。 根據Heiser的說法，SAS 70 Type II審計要求審計員到現場檢查服務供應商是否遵從了相應的流程。

不過Heiser警告表示，SAS 70審計「並非是一項認證，而是一項證明」其中問題在於審計並非基於任何最佳實踐或工業標準；SAS 70僅僅是審計報告的一種形式。 根據Heiser的觀點，一項成功的SAS 70 Type I審計只意味著服務供應商的過程可以滿足其在合約上的承諾。 「它不會承諾任何實際服務的品質，」他說道。

Heiser同時表示，他建議企業在雲服務供應商的選取時，在候選公司中至少進行以下四部的調查：

1.準備並通過調查問卷的方式服務供應商的基本服務資訊、設備資訊和安全措施。 Heiser提到SharedAssessments.org和Cloud Security Alliance (CSA)已經提供了相應的調查問卷供管理員參考使用。

2.檢查每家雲服務供應商的上游供應商資訊。

3.檢查所有協力廠商的證明信息，比如SAS 70或ISO/IEC 27001:2005。

4.到現場去。 Heiser提到服務供應商通常會根據你的業務價值讓你訪問他們的現場情況。

三家提供基於雲服務的服務供應商——Autonomy，Mimecast和Symantec公司——通過高級資料保護技術和加密技術解決使用者在安全性方面的顧慮。

Autonomy管理超過17PB的合規相關資料，並且同步地將資料寫入多塊獨立的物理設備中，並可能位於不同位置，採用不同格式。

根據Mimecast技術講師Orlando Scott-Cowley的說法，Mimecast同樣將其資料存儲在不同的設備上並位於不同的位置，因此即便偷取整塊磁片磁碟機或機架也無法取得任何有用的資訊。 該公司同樣採用加密技術保護所有使用者資料並未每位使用者分配一個256位的進階加密標準（AES）金鑰。 作為進一步的安全措施，Scott-Cowley說，Mimecast還為每位使用者分配一個使用者號，並且為相應的資料標記上該使用者號。 使用者只能查看有一致客戶號的資料。

Symantec則在使用者資料傳輸至資料中心過程中對其加密，並在存放過程中使用一個256位的AES金鑰。

你知道你的資料存放在哪裡麼？

有一些政府條例對資料可以存放的地點有區域限制。 歐盟資料保護綱領（95/46/EC）要求其成員區域在向協力廠商國家傳輸資料時，必須確保這些國家可以對個人資料提供「充足的保護層級」。

管理員同樣也不喜歡雲服務供應商將資料分割在不同的資料中心中，甚至不同國家的資料中心中。 Autonomy的Tziahanas說，「這些受到規範約束的公司想到的第一件事情就是必須明確他們的資料到底存放在哪裡。 」

「通常的雲供應商，比如亞馬遜和Google雲和Autonomy最大的不同在於，你在特定的一段時間可以明確你的資料到底在哪裡，」他補充說道。

Autonomy和Symantec允許潛在使用者對其自己進行審計，以確保資料存放在公司宣稱的那些地方。 Symantec允許公司制定資料存放的資料中心，並且和該公司關聯的郵件帳戶等也會指向到該資料中心。

從雲中檢索資料

此外，管理員對於雲服務供應商還有的一項顧慮就是快速檢索資料的能力。

「從合規或法律的角度講，任何時候你存放的資訊，你都要可以將其取回，」Phil Favaro是Symantec公司一位電子發現方面的律師，他說道。 其實受合規約束的公司不僅要求在特定時間段記憶體儲制定的資料，並且當需要內部或政府審計以及電子發現方面需求時，有義務到法庭、合規主題和管理層來快速取回資料和原始資料。

「你是否能夠快速流覽你的虛擬檔案櫃，並在七天之內根據法庭要求找出與之想順應的資料？ 」Favaro問道，「我有這樣的一個問題，這非常重要，雲供應商是否能夠提供這樣一種結構，如果沒有這樣一種結構的話，公司會和法院或監管機構惹上麻煩。 」

Ponemon學院LLC安全調查中心近期的一項研究發現合規以及存儲非結構化的資訊每年平均花費了企業約210萬元，卻無法進行企業智慧化的資本管理。

該學院的成立者兼主席，Larry Ponemon說道，這項研究關注大約100家公司的至少1,000的IT席位，這些人私下都認為雲是一項降低合規成本的途徑。 不過，他提醒將記錄放在雲端並非是完美的答案。

「我和近20家企業談過，幾乎每家企業都提到使用雲或管理服務可能會在很大程度上改善這些問題，」Ponemon說道, 「我想雲確實是提供這樣一種服務，不過，正因為是雲，它無法解決這樣的問題，誰訪問了什麼資料，以及為什麼。 他們只是簡單地訪問它。 」

Ponemon說很重要的一點是，任何合規應用，雲或者內部的，將記錄視作檔級別。 「其必須是檔級別而非卷級別的，」他說道，「很可能你只需要1,000條記錄中的一條。 」

服務水準協定的重要性

Autonomy和Mimecast通過嚴格的服務水準協定解決這方面的問題。 「當有人聽到‘雲’這個詞時，他們想到了亞馬遜和Google，當他們獨到這些恐怖的故事，並且理解他們的資料可能會被從這樣一個基礎架構上偷走，這完全是他們無法控制的，沒有任何服務水準協定保證，」 Mimecast的Scott-Cowley說。 他說Mimecast確保100%的服務可用性，包括任何時間、地點通過網路介面訪問歸檔後的郵件。

Autonomy所提供的服務水準協定涵蓋了訪問，資料多快可以被寫入磁片和目錄，多快可以被調取供調查所用，資料可以多快通過政策過濾，以及使用者可以多快地通過政策過濾推送出的資訊中找到所需資料。 「你可以存儲每一天的資料，不過假設你沒有一個很好的機制來對其進行訪問，這些就是完全不相干的資訊。 」公司的Tziahanas說道。

通過嚴格的服務水準協定，當地語系化的服務，以及嚴格的安全性衡量，雲資料歸檔服務市場正在日漸成熟。 不過這並不非意味著每家服務供應商會使用相同的工具。 「從風險管理角度看，你無法在‘雲’前止步不前，」Gartner的Heiser說，「你必須深挖併發現供應商所謂的‘雲’究竟是什麼。 」

這意味著挖掘得更深入一些，在所謂的工業標準安全性審計上更深入一些，可能的話實地考察服務供應商的設備。 這一系列的防禦措施可以使你在應對法院和監管機構時更為從容不迫。

(責任編輯：呂光)