了解并解决云计算合规性问题
对于合规性的关注是阻碍众多公司使用云服务的主要原因之一。价格低廉、计算灵活,可根据需求创建、拆开、重配置、扩张和收缩,这些都是其吸引人的特点,但是它是否包括了必要的监管要求?
诸如Massachusetts隐私法(201 CMR17)、PCI-DSS、SOX、Nevada SB-227和HIPAA之类的标准与法规都要求众多组织对他们的数据保护措施进行安全评估。将数据和应用迁移至云将影响该组织遵守这些法规和标准的能力。在本文中,我们将主要探讨云计算对企业保持合规性能力产生负面影响的两个特点。
关于合规性问题,每个法规都需要各组织充分保护他们的实体资产和信息资产。要达到这个目的,需要对整个系统有一个很好的控制,并且确定:
* 系统中存储什么信息?
* 存储的信息位于何处?
* 谁能够访问系统?
* 他们可以访问什么?
* 访问是否合适?
所有这些问题意味着一个资产所有权的级别问题,也就是云合规性问题的核心所在。在公共云环境中,您可以肯定地回答第一个问题,但是剩余四个问题在合规性方面就有一定的麻烦,我们来分别对其进行分析。
存储的信息位于何处?
在一个典型企业数据中心或托管中心中,大家都知道磁盘和服务器实际的物理位置所在,这一事实可在审核过程中得到证实。通常而言,即使是一个共享服务供应商也能告诉你,你所使用系统的是哪一个物理系统,并根据审核的目的来辨识数据的位置。即使对于虚拟化和灾难恢复,你也可以想办法来确定信息资源所在的物理位置。根据其定义,这并不符合公共云的情况,这便是我们所谈到的第一个云合规性问题。
在云中,我们并不期望供应商方能够提供信息实际位置的相关信息。但这并不是说供应商不能这么做,然而市场并未要求他们提供该项服务。同时,说句公道话,要求了解数据位置的需求与云计算的本质目的是相矛盾的。
那么,你可以做什么?确保你的供应商也愿意与你合作,提供并检测你可能遇到的数据位置限制。
谁将访问系统、访问系统的哪些信息以及为什么访问系统?
公共云中第二个合规性问题如下因素相关:
* 谁能够访问你的信息存储系统?
* 他们可以访问哪些信息?
* 服务是否合适(也就是说为什么要提供这种服务)?
关于访问权限问题,除了你所控制的一方,供应商工作人员也可以访问系统。在供应商方,我们所关注的主要人员是系统管理员和应用管理员。我们需要了解系统管理员和应用管理员是的身份。当考虑他们能够访问什么信息时,我们主要关注供应商访问我们底层信息存储基础设施或应用的能力。了解他们是通过管理程序(如基础设施即服务,IaaS)还是在应用层(如平台即服务,PaaS)访问?
最后的一个问题是他们“为什么”需要访问系统?这也是Security 101所规定的:必须基于工作角色来确定访问权限,必须对访问等级提供明确的说明。
事实上,这也是一个共享主机设备中出现的问题。其主要区别在于许多云供应商并不能满足众多合规性文件中规定的要求,而共享主机设备已足够成熟具备该能力。
那么,你需要做的就是确保合作供应商能够并愿意证明他们提供的管理功能能够实现职责分离,而且他们有能力“证明”谁有机会访问系统和信息,并提供访问的时间信息。请注意,还有最后一个要求,你需要部署健全的、与最新安全等级相关的日志解决方案。
作为附带说明,我认为整个行业需要对公共云供应商进行认证,而那些认证对于用户合规性而言是可以接受的。
总结
大部分合规性要求是为了对有机会访问资产的人员、他们所访的问等级以及那些等级的维护进行适当的控制。通常的方法是对我们的进程进行审核。公共云环境的相对不成熟性将使得审核过程变得非常困难,有时甚至是不可能实现。改变这一状况要从以下两方面入手:
* 公共云产品必须成熟,更加遵守标准。
* 公共云供应商必须与用户签署相关合同协议,这有助于客户满足云合规性的需求。
(责任编辑:admin)- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。