云控制概述

　　云计算无定形的特点让那些试图保护企业机构数据安全的IT专家们感觉就像是“扑风捉影”。

　　在我们与企业技术专家交流的过程中发现，虽然他们将隐私性和安全性列为他们最关注的两个管理难题，但是可用性、性能管理、可访问性、审查以及监控也都是需要考虑的方面，尤其是那些需要遵守Payment Card Industry标准或者Health Insurance Portability and Accountability Act法案的企业机构。

　　在我们最近进行的一次有关云计算的调查中，一位受访者表示：“在我看来，云计算对网络连接有很大依赖性，而且还可能导致企业信息的泄露或被盗取。从PCI遵从的角度来说，云计算可能会成为人们的一个噩梦。”

　　而且，云计算可以帮助用户快速而无缝地扩展的同时，还可以节约维护服务器相关的成本和开支，这些特点非常具有吸引力，让人们相信这种模式仍将继续赢得企业管理者的青睐。而且，云计算的拥护者——包括那些希望从这个市场中获益的大厂商——在提倡云计算优点的同时却忽略了它的一些缺陷，例如服务中断和监控挑战。

　　那么，信息安全专家如何自己的监控需求和企业领导者降低成本的要求之前取得一个平衡呢？我们的建议是：CIO们必须和法律顾问还有数据所有者坐在一起讨论这个问题。将这些难题和盘托出是打消质疑的唯一方法，正如我们对456位企业技术专家所做调查的结果一样，有18%的受访者表示他们正在使用云服务，34%的人表示对云服务不感兴趣。有超过半数的受访者表示他们有关云计算最关心的分别是安全、性能、监控、厂商锁定和技术支持。

　　从前对于“软件即服务”（SaaS）我们也听到过类似的担心。如果你不对数据进行控制——或者在有些情况下甚至不知道数据保存在什么地方——那么你就无法管理这些数据，当然你就不能向监察人员保证数据是受到保护防止未经认证的访问。但是比SaaS更复杂的是，云计算的分布式特点还可能引发隐私权和法规遵从等问题。不管你是订购像Amazon EC2这样租赁资源的云计算基础架构模式，还是像Salesforce或者PeopleSoft提供的应用平台模式，都可能遇到上述问题，数据管理和法规遵从这样的监管问题仍然存在。法庭和行业组织最终将帮助制定指导方针，但是就目前来说，我们还得靠自己。

　　托管模式隐患重重

　　在托管模式下，厂商对外租赁机架空间、能源和网络互连性，IT部门可以随意接入他们需要的设备。托管厂商应该具有对你的硬件可审查控制的访问路径，从而降低数据在本地被盗取的风险。

　　在一个基础架构云环境中，情况则完全不同。你可以根据你的需要将数据和处理能力从一个站点迁移到另一个站点，这根据物理访问控制等级的不同而有所不同。一些基础架构云提供商的底层虚拟化系统可能无法对确保共享一个hypervisor的虚拟机独立且不易受到攻击提供强有力保证。云提供商在提供计算服务的时候很少向用户提供他们底层架构和技术的可见性。你无法审查你看不到的，而这正是许多法规相关行业的黑暗面所在。

　　Unisys公司首席安全架构师Christopher Hoff指出，以前SaaS新兴厂商不得不建造他们自己的数据中心，而现在他们可以利用像Amazon Web Services这样的基础架构云服务。他们不仅可以提供底层核心计算资源，而且还有像防范拒绝服务、扫描监控、基础防火墙和多租户个例这样的增值安全功能，这在以前都是普通SaaS厂商无法提供的。

　　外包商也外包

　　现在，可能所有类型的服务提供商都可以将处理能力加载到云环境中，有时候连数据所有者都不知晓。

　　IT咨询公司IP Architects总裁John Pironti表示：“监控就是知道数据在哪以及数据是如何分类的。外包厂商也可以将数据处理外包出去，所以现在你必须了解数据最终被保存在哪。”

　　Pironti提到了一家公司，他们将数据处理工作外包给一家印度公司，然后这家公司通过审慎调查来确保外包方达到安全标准。然而，这家印度外包公司却将数据处理工作转交给了在中国的合作厂商。Pironti所说的这家公司直到一次对网络连接的例行审查过程中才知道自己的数据已经被迁移到了中国。这家印度公司自己的所做正是原始用户的行为——将处理工作外包以节约成本。

　　那么这就意味着用来约束原始托管服务的数据所有权相关法律和责任都不再适用了吗？这取决你提出这个问题的对象是谁，对象不同，你得到的答案也不同。Pironti指出，任何一家将数据处理外包出去的厂商都曾经遇到过类似的监管问题，而且都遵循一个原则：不管你将数据处理外包给独立软件提供商、SaaS提供商、还是云提供商，一定要在合同中明确有关控制隐私权和安全性的界定和责任。这时候你就需要向法律顾问需求帮助，因为不同国家、甚至是美国的不同州有关隐私权相关法律规定都是不同的。

　　加州公用事业委员会首席信息官Carolyn Lawson表示，云服务中涉及的数据类型可能在法律法规方面有着巨大差别。她指出，美国第九巡回上诉法院法规要求，在《存储信息保护法》的约束下，电子邮件/SMS托管服务提供商不能将信息转交给付费却未经授权的公司。换句话说，如果你与一家云服务提供商签订合同，让这家公司来管理你们员工的电子邮件，那么这家提供商可能无法根据你的需求来提供信息的副本，甚至你支付费用也是不行的。这可能会严重阻碍电子发现或者内部审查。

　　云初创公司Elastra首席软件架构师Stuart Charlton还指出，那些与欧盟企业合作的公司应该确保欧盟公民的隐私数据不会被保存在相关法律不那么严苛的国家——例如美国的大多数州。因为欧盟针对公民隐私权制定了严格的法律，所以，在加州政府机构考虑采用云计算之前，他们必须确保隐私数据仍然是保存在州边境内，或者咨询律师将数据托管在其他州或者国家是否是可以接受的。

　　无国界的云

　　你可能会认为，外包数据——不太像是使用Amazon的EC2或者微软的Azure——是不需要考虑安全问题的。但是，在上面我们提到的那家发现数据被转移到了中国的公司，他们可能会在无意之间丢掉了一位用户。

　　例如，Elastra是一家云计算管理厂商。他们的用户Christian James是一家基于SaaS模式提供POS应用的零售商。Christian James的产品PayGo SaaS可以被托管在你位于Amazon EC2云中的服务器，使用信用卡处理设备Authorize.Net来处理赊帐购买业务。这三家公司也许或者不会对你整个PCI遵从有影响。Christian James公司新闻发言人表示，现在公司采取措施来确保他们的软件是符合PCI规定的，但是他们对托管在Amazon EC2中的应用流程并不确定。

　　MedCommons是一家专门提供保存和管理患者医疗数据相关软件的厂商，他们也遇到了类似的问题。MedCommons直接将他们的产品作为一项基于Amazon EC2的SaaS产品提供给用户。该公司首席科学家Adrian Gropper指出，作为SaaS许可的一部分，用户必须签订Amazon的用户协议和MedCommons的用户协议。

　　不管你是要遵守PCI还是HIPAA，你都需要详细了解数据保存在什么地方以及谁对这些数据负责，而且这些答案都是要写到合同中的。

　　不要嫌麻烦，向政府机构或者行业组织寻求相关帮助。不过他们有时候与技术发展并不是与时俱进的。

　　PCI安全标准委员会技术总监Troy Leach解释说，该委员会的宗旨是：“PCI安全标准委员会将保持一种技术中立的态度，指明与信用卡持有人数据环境相关的风险。我们正在不断检查PCI数据安全标准1.2版本相关规定是否降低了潜在风险和减少与虚拟组件有关的漏洞。委员会希望在新的一年让这一话题更加明确化。”

　　谨慎对待服务等级协议

　　监控不仅仅涉及位置识别，可用性、可访问性、审核以及控制也很重要。在今年一月，上百万名Salesforce用户遭遇了长达38分钟的服务中断，去年Amazon Web服务用户也曾有过类似经历。从中我们得到一个教训：谨慎对待服务提供商的服务等级协议（SLA）。

　　99.9%的可用性也就意味着每年有大约8.75小时的宕机时间，这在大多数情况下都是不能接受的。同时你还要确保清楚地了解排除情况。例如，服务等级协议条款通常是限制于服务提供商控制范围内的设备和服务水平，往往不包括像因特网中断这样的故障。

　　IT部门还要确保受法规保护的数据或者敏感数据被实施适当保护或者对这些数据的访问路径是经过审查的。必须有人专门负责数据保护，但是Amazon EC2和微软Azure等服务的协议是明确的：公司在使用他们服务的时候不需要对数据丢失或者法律处罚承担责任。现在，这两家厂商都推出了如何安全地使用他们的云计算平台的指南，实际上，这还是要取决于你自己的情况，数据在他们的云中可能比在你自己的设备中更安全。

　　但事实是，这些公司提供共享计算服务，而相关法律——包括PCI——通常要求IT部门证明他们的系统是被安全管理的，有时候还需要有第三方审查来证明这一点。除非你是他们的大客户，否则能否对Amazon或者微软的数据中心进行审查只能看你的运气了。

　　而对于小型提供商，你可能会更幸运一些。例如Zoho是一家在云环境中提供生产应用和其他应用的厂商，他们应用户的要求接受了第三方审查，当然用户是需要支付一定费用。

　　注意一点，服务提供商的SAS-70审查并不是对独立审查的必要补充。对于入门用户来说，你可能没有机会看到审查员的报告全文（其中详细提到了非常敏感的信息，例如基础架构和服务提供商的控制），你将只能看到审查员的意见阐述，这也是审查员对服务提供商的控制策略是否满足标准判断的一个总结。而且，SAS-70审查通常只适用于服务提供商IT系统的子系统，所以意见阐述可能不会覆盖整个运作流程。

　　只有关于云环境控制的法律架构在立法、法规或者法庭案件中全面适用，IT才可以尽情地拥抱云计算。