文章讲的是关于云计算合规性的四条必读建议(下),从概念上看,云计算似乎很普通。事实上,操作部署以及许可的简单性才是“云”最诱人的资本。但问题是,深入探究后你发现要遵从“云”其实并不简单,有很多问题需要思考。
大到政府法规,例如《萨班斯·奥克斯利法案》(SOX)以及欧盟数据保护法,小到行业法规,例如支付卡行业数据安全标准(PCI DSS)以及美国健康保险携带和责任法案(HIPAA),云规则可谓无处不在。或许你已经实现了内部掌控,但在向公共云计算基础设施平台抑或基于云的应用套件转移的过程中,面对云供应商,你不得不放弃一些掌控。
这正是今天很多审计员、CIO和CEO的一大困扰。他们迫切地想知道:怎样才能在大力发展“云”的同时遵守云规则,避免声誉受损。一些分析师、供应商和顾问就这个问题给出了以下建议:
本文是《关于云计算合规性四条必读建议》下篇,上篇请见《关于云计算合规性四条必读建议(上)》。
3.关注SLA
不管贵公司的规模与状态如何,都不要假定云供应商标准的合同条款满足您的需求。从检查供应商的合同开始进行严格的评估。
Michael Larner是Hogan Lovells律师事务所的一名律师,这是他提供的建议。Hogan Lovells律师事务所在云合规性及安全问题上具有丰富的经验。Larner经常帮助客户就服务水平协议(service level agreements,SLA)与云供应商进行谈判,他说首先从风险效益分析开始,了解云供应商标准的合同条款是否能够满足您对合规性的要求。如果不满足合规性要求,那就要决定需要与云供应商进行哪些交涉以增加舒适度。
贵公司的规模能够为交涉增加砝码,但是如果小型的公司是云供应商试图拓展新行业,那么小型公司也能够找到对应的交涉砝码。总之,在任何情况下都不要害怕去和云供应商进行谈判。
Larner 说:“有太多的公司都认为如果他们在面对一个大型的云供应商,那么这个这个云供应商是不会和他们进行谈判的。实际上,你可能会发现为了提升贵公司的舒适度,该云供应商乐意为你而破例。”
Larner 说,如果云对您来说是陌生的,您可能发现以非关键数据开始是树立信心的一种很好的方式。
但是严格的评估不应该仅仅以全面的SLA结束。Nirav Mehta是RSA公司的云计算战略总监,他说您应该继续密切关注云供应商。“虽然有一个很好的SLA,但是如果供应商的云服务中断,业务连续性将发生什么?” Mehta认为在将来为确保备份最好的战略是使用多个云。
4. 安全优先
Forrester公司的Penn说,为最好地理解潜在的风险与收益,您应该尽早与安全小组讨论。
“在适当的环境中安全及合规性问题才能提上日程。” Penn说,“企业主管能够理解安全问题而且能够在风险级别与提供的减缓某些风险的预算之间进行权衡是非常重要的。”
迁移到云中通过在安全委员会中正式确认风险评估功能,可能为安全与企业的目标更加永久地保持一致提供机会。安全委员会能够帮助评估风险并提供符合企业战略目标的预算建议。
你同样应该重视大量安全服务及云供应商合作伙伴提供的安全创新。Dome9是Amazon的合作伙伴,它解决云相关的技术问题—当不使用云服务器的SSH以及其他端口时,Dome9就关闭这些端口,这样已经获得访问权限的攻击者就不能登录到云服务器中了。
Dave Meizlik 是Dome9 的销售副总裁,他说:“在企业中,这些端口默认是打开的。但是在云中当你的云服务器不需要工作时,你希望能够关闭它们。而你不能在每次服务器关闭时都给云提供者打电话,让它帮你关闭相应的端口”
云计算可能提供了某些风险,但是当安全创新迎头赶上后,这些风险将减少。即使在今天,根据Forrester公司的Penn所说,“云服务的安全问题不会像其他IT趋势比如智能手机或者社交媒体蔓延那样如此令大多数企业安全团队感到担忧。从根本上说,对于云应用来说,安全问题将逐渐减少而不会引起越来越多的关注。”
原文发布时间为:2011-8-10
本文作者:唐蓉