听本周四参加Interop会议的与会者说,你认为满足安全审计要求很困难,但是如果你想要用云计算搞定你的数据,你就要设法通过这种审计。
Savvis负责安全服务的副总裁Chris Richter正在领导一个云计算安全小组。他认为,审计人员应该专注于让企业保持一个定义良好的标准。这些安全标准不仅仅是为云计算环境存在的。因此,审计人员要慎之又慎。他们需要非常严格,一旦出现失误,有可能就会处于万劫不复的境地。
这些规则应该与时俱进。但是,这些规则目前还不存在。因此,企业需要谨慎对待他们要提交给云计算的数据类型,要保证数据符合遵守法规的标准,例如,保证在这些标准中能够可验证地处理HIPAA、PCI和Sarbanes-Oxley等法规要求的事情。
Richter说,审计人员要看到云计算的内部情况。这是许多云计算提供商不允许的。许多云计算提供商对于自己的物理架构、政策、安全、虚拟局域网架构和其它重要的因素都是保密的。如果你看不到数据是如何流动的,虚拟局域网是如何分段的,看不到你的数据是如何与其他人的数据分开的,你就不要允许做这个事情。
Richter说,使这个问题变得复杂的是身份识别和访问管理是如何处理的,这样,非授权用户就不能进入企业云计算中。他说,我还不知道任何人在云计算中实现了真正有效的身份识别和访问管理。
这就是说,他认为对于最敏感的信息使用专有云计算是可能的。他说,我知道最强大的专有的云计算。我有信心把我的最有价值的数据放在那里。这样做的部分原因是企业在专用云计算中能够保留对数据、应用程序和基础设施的控制水平。你可以更相信你做的事情。
无论一项云计算是否得到企业的信任和是否能够得到审计人员的批准,保护数据的责任仍在企业身上。外部应用程序、平台或者基础设施并不能把责任外包出去。
如果一个云计算提供商被人们普遍认为是遵守安全标准的,这并不意味着使用这个云计算服务的个别企业也会符合标准。正式你的最终用户要为遵守法规负责,而不是服务提供商承担责任。
Richter为计划使用某种形式的云计算的企业制定了8个步骤,让他们按照这些步骤从专有的传统的基础设施安全地过渡到云计算:
1.评估你的应用程序。有些应用程序与你的企业系统关系非常密切,不适用于云计算。
2.分类数据。确定什么是敏感的数据,什么不是敏感的数据。这个结果可以决定你选择什么类型的云计算。
3.确定最适合你的云计算类型:软件即服务、平台即服务还是基础设施即服务。
4.选择交付方式。专有的云计算、自己管理的云计算、管理的或者外部的云计算、公共云计算、企业从高云计算、混合云计算。
5.指定平台架构。这应该包括计算、存储、备份、网络路由、虚拟化与专用硬件等技术规范。
6.指定安全控制。这应该包括防火墙、入侵检测/预防系统、记录管理、应用程序保护、数据损失保护、身份和访问控制、加密与安全漏洞扫描等。
7.政策要求。查看云计算提供商的政策,保证他们的政策符合你的要求。“相信我,每一个提供商的政策都是有很大区别的。”
8.查看服务提供商本身。服务提供商在地理上是不是分散的?用户能自动配置吗?服务提供商是否有足够的容量满足突然增长的需求?他们是否能够监视所有的用户通讯以避免一个用户不慎对云计算实施拒绝服务攻击?服务级协议是什么?这个提供商的财务状况稳定吗?