公共云安全策略 你信任你的供应商吗?
在最近一次向大型组织的IT专家们做得演讲中,笔者解答了一些有关私有云计算的问题。谈话过程中,话题很快被转向了公共云计算。
这是经常发生的事情,特别是在一群不完全明白二者概念的IT专家之间。二者的不同实则源于情感,而并非技术上的差异,这着实让我也有些吃惊。说白了大型组织的IT并不信任任何人。
指责似乎落在了合法的潜在风险和为大型组织提供IT需求的供应商身上。
在我看来,正是这种观念让许多大型组织止步于公共云计算。不论你在考虑何种形式的公共云计算,大型组织的内部文化和流程都不适合扩展其上。
主要需要处理的就是数据安全性和数据所有权的问题以及一些行业和政府条例。早在公共云概念进入大众视线之前,某些规则和安全策略就已经建立起来。多数情况下,这些规则禁止存储,处理或是数据传输到非公司所有的财产上。
暂时忽略这些有关安全策略或是法规遵从需求的细节,让我们思考一下如何来克服这些障碍。聆听他们的意见,多半人只是喜欢云计算,你会听到同样的争论:
“我们不能保证在云服务上的数据安全。”
“我们不能保证在云服务上满足法规遵从。”
“我们不能保证在云服务上禁止不当访问。”
由于满足安全策略,实现法规遵从,他们所保证的问题是绝对有效的。问题是,能否有机制促使实现所说的策略。
梦想云计算可以实现法规遵从
在我们的行业内,鲜有人敢称自己是法规遵从上的专家,大多数人都知道如果在配置和维护系统时能服从特定的商业流程,他们会在审计时获得不错的评级。
实现安全和法规遵从既是合同上也是技术上的事情。试想一下,你的业务受一些像Sarbanes-Oxley(SOX)的规则影响。对每个设备和服务,你将需要一系列活动来保证规则的遵守:启动防火墙、配置事件日志设置、限制权力和权限等等。完成这些步骤,并确保他们没有被改动才意味着实现了要求。
但谁说另一方就不能在你的利益前提下完成这些活动?谁说对方就不能合法地按合同证兑现承诺?如果外方可以提供一个合法,按合同实现SOX的证明,难道还不够满足你的审计需求吗?
你已经在几个方面这样做了。你把IT管理任务交给外部承包商,承包商工作在你的范围内,却并不是你的雇员。从法律的角度看,这样的公司/承包商关系和公司与云服务供应商的关系之间并没有很大差异:他们履行服务,按照合同兑现承诺。反过来,你也给了他们自己应用的钥匙。
不管怎样,一定程度的审计是需要的。面对云计算时,假如审计由供应商的审计人员完成,结果会关联到你自己的结果。如果每个审计员都获得相同的认证并遵守相同的规则,这将会是一个完美的世界,这样的联合审计可以是有效的。
我们可能不会有这样的条件,出于天性,安全和法规遵从常常是跟踪功能。这说明,这颗种子的未来状态已经被限制。在今年1月,美国国家标准与技术研究院(NIST)发布了它的第一份有关云计算的特别文献。目前还处于起草阶段,该文档概括了NIST对云计算的定义和交付高等级的指南,指南介绍了移入或移出公共云服务所需考虑的事项。
最后,供应商承诺服从法规遵从就足够了吗?可能。希望这样的承诺可以很快地提供必要的法律支持来促进云计算被大型组织采纳。转移的经济基础已经建立了,剩下的就是信任问题了。
(责任编辑:admin)- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。