如何遵守雲規則：關於雲計算合規性的四條建議

從理論上看雲計算似乎很簡單，雲部署和許可才是最吸引人的資產。 但是，當行動起來問題也接踵而來。 你會發現要遵從「雲」其實沒那麼簡單，有很多問題需要思考。 雲規則可謂無處不在，大到政府法規，例如，Sarbanes-Oxley、歐盟資料保護法；小到行業法規，例如，支付卡行業資料安全標準(PCI DSS)和美國健康保險攜帶以及責任法案(HIPAA)。 你可能已經實現了內部掌控，但在公有雲基礎設施平臺或基於雲的應用套件遷移的過程中，你不得不放棄對供應商的一些掌控。

這正是今天許多審計員、CIOs和CEOs面臨的一大困擾。 他們迫切地想知道：怎樣才能在大力發展「雲」的同時遵守雲規則，避免聲譽受損。 以下是來自分析師、供應商和顧問的四條建議：

1、注意雲對IT工作負載的新挑戰

當對雲供應商進行評估時，尋找鑒定使用者身份和訪問管理原則;資料保護和應急回應方面提供良好策略的供應商。 這些都是最基本的合規要求。 然後，一旦你給未來的供應商制定具體的合規要求，就很可能會面臨具體的雲挑戰。

資料定位是其中之一。 以歐盟資料保護法為例，這一法案禁止歐盟居民的個人資訊外流。 為符合法規要求，你的雲供應商應該把歐盟客戶的資訊放在歐洲的伺服器上。

多租戶和清楚配置同樣構成了挑戰。 公有雲供應商使用多租戶以便優化伺服器工作負載和降低成本。 但是，這就意味著你需要和其他企業共用伺服器空間。 因此，你應該瞭解你的雲供應商提供的保護措施防止向任何妥協。 根據資料的關鍵程度來決定是否加密。 以美國健康保險攜帶和責任法案(HIPPA)為例，要求所有的使用者資料設置密碼，不管資料是否正在使用。

隨著密碼身份認證技術越發複雜，為使用者清除配置也愈發具有挑戰性。 不可否認，聯合身份管理計畫説明使用者更方便地登陸至多個「雲」，但也導致配置的清除更為棘手。

「當雇員離開公司，你希望按一下按鈕，就可以自動關閉他們的Windows帳戶和所有企業內部應用程式。 同時，你希望雇員的行動電話無權獲取公司資訊，雇員無權接觸企業SaaS應用。 」身份管理及合規工具供應商Centrify總裁Tom Kemp 表示，目前看來，自動清除配置尚未實現基於雲平臺和內部部署系統的同時應用。

2、追蹤瞬息萬變的雲標準

不論你喜歡與否，你都是雲的早期的消費者。 你決定把那些應用程式遷移到雲中以及何時遷移它們都會受益于對現在雲計算演變的瞭解。

現在，你可以參照SAS 70 Type II和ISO 27001兩大標準，遵守金融和資訊安全方面的政府以及行業法規，但不能擔保，這些法規是適合公司發展的。

「ISO 27001和SAS 70的標準是很有説明的，但可能已經落伍了」美國福里斯特研究公司的副總裁兼首席分析師Jonathan Penn表示，「它們沒有對資料安全、身份鑒定、管理員控制等諸如此類事情做出詳細的規定。 我們必須讓使用者清楚即將發生的一切。 現在它基本上是一個「黑箱」。 」

提高對使用者的透明的是雲安全聯盟的重要目標，CSA公司創辦三年來快速在使用者、審計師、服務供應商中深受歡迎。 雲安全聯盟的一個重要目標是標準化審計框架和促進使用者和雲供應商間的溝通。

以現在遵守的法規為例， GRC(監控、風險和合規)標準套件進展順利，它包含4大要素：雲信託協定、雲審計、共識評估倡議、雲控制矩陣。 其中，雲控制矩陣以試算表的形式羅列了企業遵守其IT控制領域標準須達到的基本要求，例如「人力資源-終止雇傭關係」。 而共識評估倡議就使用者和審計師對供應商在控制領域的具體期望，提供了一份詳盡問卷調查。

在CSA等聯盟、行業團體、政府機構的共同努力，未來幾年內，新標準會層出不窮。 CSA已經與國際標準組織(ISO)、國際電信聯盟(ITU)、美國國家標準和技術協會(NIST)實現正式聯盟，以説明這些組織進一步完善標準。 據Forrester Research公司報導，截至2010年底，已有48個行業團體致力於雲安全相關標準的研究。

3、認真對待SLA

不管你的企業規模和狀態如何，都不要輕信雲供應商的合同條款滿足你的要求。 一切要從認真盡職檢查供應商的合同開始。

這是Hogan Lovells律師事務所的一名律師——Michael Larnei提供的建議。 Hogan Lovells是一家在雲合規性及安全問題上具有豐富經驗的國際律師事務所。 Larner經常説明客戶就服務水準協定(service level agreements，SLA)與雲供應商進行談判，他表示首先從風險效益分析開始，瞭解雲供應商的標準合同條款是否滿足您對合規性的需求。 如果不滿足合規性要求，就要決定需要與雲供應商進行談判以增加舒適度。

公司的規模能夠為談判增加砝碼，但小型公司也能夠找到談判的砝碼，那就要小型的公司是雲供應商試圖拓展新行業。 總而言之，在任何情況下都不要害怕和雲供應商進行談判。

Larner表示「很多公司認為一個大的雲供應商不會和他們進行談判。 事實上，你可以提升你的舒適度來讓雲供應商樂意為你破例的。 」

如果你對雲不是很瞭解，不妨以非關鍵性資料開始，你就會發現這是一個很好的辦法。 Larner補充道。

但是嚴格的評估不應該僅僅以全面的SLA結束。 RSA公司的雲計算戰略總監Nirav Mehta表示你應該繼續密切關注雲供應商。 「你可能有一個很好的SLA，但是如果供應商的雲服務中斷，業務連續性會發生什麼?」

Mehta認為最好的戰略是使用多個雲作為備份。

4、優先考慮安全性問題

為了更好的理解企業的潛在風險以及利益，你應該盡可能早地與雲安全小組進行討論，Forrester公司的Penn認為。

「在適當的環境中安全及合規性問題才能提上日程。 」 Penn說，「重要的是：企業主管能夠理解安全問題而且能夠在風險級別與提供的降低某些風險的預算之間進行權衡。 」

在向雲遷移的過程中，通過安全委員會正式的風險評估功能，為企業提供一個以更持久的方式實現企業安全和企業目標聯盟的機會。 安全委員會能夠説明評估風險並做出符合企業戰略目標的預算建議。

你應該注意眾多安全服務及雲供應商合作夥伴提供的安全創新。 Dome9是Amazon的合作夥伴，它解決雲相關的技術問題—當不使用雲伺服器的SSH以及其他埠時，Dome9就關閉這些埠，這樣已經獲得存取權限的攻擊者就不能登錄到雲伺服器中了。

Dome9 的銷售副總裁Dave Meizlik說：「在企業中，這些埠預設是打開的。 但是當你的雲伺服器不需要工作時，你希望能夠關閉它們。 而你不能每次關閉伺服器都要求雲提供者幫你關閉相應的埠」

雲計算可能帶來了某些風險，但是當安全創新迎頭趕上後，這些風險自然會減少。 即使在今天，根據Forrester公司的Penn所說，「雲服務的安全問題不會像其他IT趨勢比如智慧手機或者社交媒體的蔓延那樣，令大多數企業對安全問題感到擔憂。 從根本上說，對於雲應用，安全問題將逐漸減少而不會引起越來越多的關注。 」

(責任編輯：admin)