跟蹤瞬息萬變的雲標準

從概念上看，雲計算似乎很普通。 事實上，操作部署以及許可的簡單性才是「雲」最誘人的資本。 但問題是，深入探究後你發現要遵從「雲」其實並不簡單，有很多問題需要思考。

大到政府法規，例如《薩班斯·奧克斯利法案》(SOX)以及歐盟資料保護法，小到行業法規，例如支付卡行業資料安全標準(PCI DSS)以及美國健康保險攜帶和責任法案(HIPAA)，雲規則可謂無處不在。 或許你已經實現了內部掌控，但在向公共雲計算基礎設施平臺抑或基於雲的應用套件轉移的過程中，面對雲供應商，你不得不放棄一些掌控。

這正是今天很多審計員、CIO和CEO的一大困擾。 他們迫切地想知道：怎樣才能在大力發展「雲」的同時遵守雲規則，避免聲譽受損。 一些分析師、供應商和顧問就這個問題給出了以下建議：

1.認清雲對IT工作負載的影響

當你評估雲供應商時，試著去尋找能在使用者身份、訪問管理、資料保護和事件回應方面提供良好策略的供應商。 這是最基本的合規要求。 然後，一旦你給未來的供應商具體制定合規要求，將很可能遭遇具體的「雲」挑戰。

資料定位就是其中之一。 舉例來說，歐盟資料保護法案禁止歐盟居民的個人資訊外流。 因此，你的雲供應商必須確保將歐盟客戶的資訊保存在歐洲的伺服器上。

多租戶和清除配置也將帶來挑戰。 公用雲供應商採用多租戶架構來降低伺服器工作負載，同時削減成本。 但這就意味著將與其他企業共用伺服器空間。 因此，你必須清楚雲服務商能提供何種保護措施，以避免向其他企業妥協。 根據資料的重要程度，你可能需要對之加密。 例如，美國健康保險攜帶和責任法案(HIPAA)就要求對使用者所有資料進行加密，不論資料是否正被使用。

隨著密碼身份認證技術越發複雜，為使用者清除配置也愈發具有挑戰性。 不可否認，聯合身份管理計畫説明使用者更方便地登陸至多個「雲」，但也導致配置的清除更為棘手。 「當雇員離開公司，你希望按一下按鈕，就可以自動關閉他們的Windows帳戶和所有企業內部應用程式。 同時，你希望雇員的行動電話無權獲取公司資訊，雇員無權接觸企業SaaS應用。 」身份管理及合規工具供應商Centrify總裁Tom Kemp 表示，目前看來，自動清除配置尚未實現基於雲平臺和內部部署系統的同時應用。

2. 跟蹤瞬息萬變的雲標準

不論喜歡與否，你都是「雲」的早期應用者。 將哪些應用程式遷移到雲?什麼時候遷移?加深對雲計算新標準的理解有利於做出更好的抉擇。

今天你可以參照SAS 70 Type II和ISO 27001兩大標準，以遵守金融和資訊安全方面的政府及行業法規。 但這些標準不一定適合公司發展。

「諸如ISO 27001和SAS 70的標準很有效，但可能已經過時。 」市場研究公司Forrester Research的副總裁兼首席分析師Jonathan Penn進一步表示，「當涉及資料安全，身份管理和管理員控制時，這些標準也並非很具體。 我們必須讓使用者清楚即將發生的一切，而現在這近乎一個‘黑箱’。 」

提高透明度是雲安全聯盟(CSA)的一大目標。 CSA成立3年來受到了使用者、審計師和服務提供者的廣泛歡迎，其主要目標是標準化審計框架，加強使用者和雲供應商之間的溝通。

目前，GRC(監控、風險和合規)標準套件進展順利，它包含4大要素：雲信託協定，雲審計，共識評估倡議和雲控制矩陣。 其中，雲控制矩陣以試算表的形式羅列了企業遵守其IT控制領域標準須達到的基本要求，例如「人力資源-終止雇傭關係」。 而共識評估倡議就使用者和審計師對供應商在控制領域的具體期望，提供了一份詳盡問卷。

基於CSA等聯盟，包括行業團體、政府機構的共同努力，未來幾年內，新標準將會層出不窮。 CSA已經與ISO(國際標準組織)，ITU(國際電信聯盟)，NIST(美國國家標準和技術協會)正式結盟，以説明這些組織進一步完善標準。 據調研公司Forrester Research報導，截至2010年底，已有48個行業團體致力於雲安全相關標準的研究。

從概念上看，雲計算似乎很普通。 事實上，操作部署以及許可的簡單性才是「雲」最誘人的資本。 但問題是，深入探究後你發現要遵從「雲」其實並不簡單，有很多問題需要思考。

大到政府法規，例如《薩班斯·奧克斯利法案》(SOX)以及歐盟資料保護法，小到行業法規，例如支付卡行業資料安全標準(PCI DSS)以及美國健康保險攜帶和責任法案(HIPAA)，雲規則可謂無處不在。 或許你已經實現了內部掌控，但在向公共雲計算基礎設施平臺抑或基於雲的應用套件轉移的過程中，面對雲供應商，你不得不放棄一些掌控。

3.關注SLA

不管貴公司的規模與狀態如何，都不要假定雲供應商標準的合同條款滿足您的需求。 從檢查供應商的合同開始進行嚴格的評估。

Michael Larner是Hogan Lovells律師事務所的一名律師，這是他提供的建議。 Hogan Lovells律師事務所在雲合規性及安全問題上具有豐富的經驗。 Larner經常説明客戶就服務水準協定(service level agreements，SLA)與雲供應商進行談判，他說首先從風險效益分析開始，瞭解雲供應商標準的合同條款是否能夠滿足您對合規性的要求。 如果不滿足合規性要求，那就要決定需要與雲供應商進行哪些交涉以增加舒適度。

貴公司的規模能夠為交涉增加砝碼，但是如果小型的公司是雲供應商試圖拓展新行業，那麼小型公司也能夠找到對應的交涉砝碼。 總之，在任何情況下都不要害怕去和雲供應商進行談判。

Larner 說：「有太多的公司都認為如果他們在面對一個大型的雲供應商，那麼這個這個雲供應商是不會和他們進行談判的。 實際上，你可能會發現為了提升貴公司的舒適度，該雲供應商樂意為你而破例。 」

Larner 說，如果雲對您來說是陌生的，您可能發現以非關鍵資料開始是樹立信心的一種很好的方式。

但是嚴格的評估不應該僅僅以全面的SLA結束。 Nirav Mehta是RSA公司的雲計算戰略總監，他說您應該繼續密切關注雲供應商。 「雖然有一個很好的SLA，但是如果供應商的雲服務中斷，業務連續性將發生什麼?」 Mehta認為在將來為確保備份最好的戰略是使用多個雲。

4. 安全優先

Forrester公司的Penn說，為最好地理解潛在的風險與收益，您應該儘早與安全小組討論。

「在適當的環境中安全及合規性問題才能提上日程。 」 Penn說，「企業主管能夠理解安全問題而且能夠在風險級別與提供的減緩某些風險的預算之間進行權衡是非常重要的。 」

遷移到雲中通過在安全委員會中正式確認風險評估功能，可能為安全與企業的目標更加永久地保持一致提供機會。 安全委員會能夠説明評估風險並提供符合企業戰略目標的預算建議。

你同樣應該重視大量安全服務及雲供應商合作夥伴提供的安全創新。 Dome9是Amazon的合作夥伴，它解決雲相關的技術問題—當不使用雲伺服器的SSH以及其他埠時，Dome9就關閉這些埠，這樣已經獲得存取權限的攻擊者就不能登錄到雲伺服器中了。

Dave Meizlik 是Dome9 的銷售副總裁，他說：「在企業中，這些埠預設是打開的。 但是在雲中當你的雲伺服器不需要工作時，你希望能夠關閉它們。 而你不能在每次伺服器關閉時都給雲提供者打電話，讓它幫你關閉相應的埠」

雲計算可能提供了某些風險，但是當安全創新迎頭趕上後，這些風險將減少。 即使在今天，根據Forrester公司的Penn所說，「雲服務的安全問題不會像其他IT趨勢比如智慧手機或者社交媒體蔓延那樣如此令大多數企業安全團隊感到擔憂。 從根本上說，對於雲應用來說，安全問題將逐漸減少而不會引起越來越多的關注。 」