從概念上看，云計算似乎很普通。事實上，操作部署以及許可的簡單性才是“云”最誘人的資本。但問題是，深入探究后你發(fā)現(xiàn)要遵從“云”其實并不簡單，有很多問題需要思考。

　　大到政府法規(guī)，例如《薩班斯·奧克斯利法案》(SOX)以及歐盟數(shù)據(jù)保護(hù)法，小到行業(yè)法規(guī)，例如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)以及美國健康保險攜帶和責(zé)任法案(HIPAA)，云規(guī)則可謂無處不在?；蛟S你已經(jīng)實現(xiàn)了內(nèi)部掌控，但在向公共云計算基礎(chǔ)設(shè)施平臺抑或基于云的應(yīng)用套件轉(zhuǎn)移的過程中，面對云供應(yīng)商，你不得不放棄一些掌控。

　　這正是今天很多審計員、CIO和CEO的一大困擾。他們迫切地想知道：怎樣才能在大力發(fā)展“云”的同時遵守云規(guī)則，避免聲譽受損。一些分析師、供應(yīng)商和顧問就這個問題給出了以下建議：

　　1.認(rèn)清云對IT工作負(fù)載的影響

　　當(dāng)你評估云供應(yīng)商時，試著去尋找能在用戶身份、訪問管理、數(shù)據(jù)保護(hù)和事件響應(yīng)方面提供良好策略的供應(yīng)商。這是最基本的合規(guī)要求。然后，一旦你給未來的供應(yīng)商具體制定合規(guī)要求，將很可能遭遇具體的“云”挑戰(zhàn)。

　　數(shù)據(jù)定位就是其中之一。舉例來說，歐盟數(shù)據(jù)保護(hù)法案禁止歐盟居民的個人信息外流。因此，你的云供應(yīng)商必須確保將歐盟客戶的信息保存在歐洲的服務(wù)器上。

　　多租戶和清除配置也將帶來挑戰(zhàn)。公用云提供商采用多租戶架構(gòu)來降低服務(wù)器工作負(fù)載，同時削減成本。但這就意味著將與其他企業(yè)共享服務(wù)器空間。因此，你必須清楚云服務(wù)商能提供何種保護(hù)措施，以避免向其他企業(yè)妥協(xié)。根據(jù)數(shù)據(jù)的重要程度，你可能需要對之加密。例如，美國健康保險攜帶和責(zé)任法案(HIPAA)就要求對用戶所有數(shù)據(jù)進(jìn)行加密，不論數(shù)據(jù)是否正被使用。

　　隨著密碼身份認(rèn)證技術(shù)越發(fā)復(fù)雜，為用戶清除配置也愈發(fā)具有挑戰(zhàn)性。不可否認(rèn)，聯(lián)合身份管理計劃幫助用戶更方便地登陸至多個“云”，但也導(dǎo)致配置的清除更為棘手。“當(dāng)雇員離開公司，你希望按一下按鈕，就可以自動關(guān)閉他們的Windows帳戶和所有企業(yè)內(nèi)部應(yīng)用程序。同時，你希望雇員的移動電話無權(quán)獲取企業(yè)信息，雇員無權(quán)接觸企業(yè)SaaS應(yīng)用?！鄙矸莨芾砑昂弦?guī)工具提供商Centrify總裁TomKemp表示，目前看來，自動清除配置尚未實現(xiàn)基于云平臺和內(nèi)部部署系統(tǒng)的同時應(yīng)用。

　　2.跟蹤瞬息萬變的云標(biāo)準(zhǔn)

　　不論喜歡與否，你都是“云”的早期應(yīng)用者。將哪些應(yīng)用程序遷移到云?什么時候遷移?加深對云計算新標(biāo)準(zhǔn)的理解有利于做出更好的抉擇。

　　今天你可以參照SAS70TypeII和ISO27001兩大標(biāo)準(zhǔn)，以遵守金融和信息安全方面的政府及行業(yè)法規(guī)。但這些標(biāo)準(zhǔn)不一定適合公司發(fā)展。

　　“諸如ISO27001和SAS70的標(biāo)準(zhǔn)很有效，但可能已經(jīng)過時?！笔袌鲅芯抗綟orresterResearch的副總裁兼首席分析師JonathanPenn進(jìn)一步表示，“當(dāng)涉及數(shù)據(jù)安全，身份管理和管理員控制時，這些標(biāo)準(zhǔn)也并非很具體。我們必須讓用戶清楚即將發(fā)生的一切，而現(xiàn)在這近乎一個‘黑箱’?！?/p>

　　提高透明度是云安全聯(lián)盟(CSA)的一大目標(biāo)。CSA成立3年來受到了用戶、審計師和服務(wù)提供商的廣泛歡迎，其主要目標(biāo)是標(biāo)準(zhǔn)化審計框架，加強用戶和云供應(yīng)商之間的溝通。

　　目前，GRC(監(jiān)控、風(fēng)險和合規(guī))標(biāo)準(zhǔn)套件進(jìn)展順利，它包含4大要素：云信托協(xié)議，云審計，共識評估倡議和云控制矩陣。其中，云控制矩陣以電子表格的形式羅列了企業(yè)遵守其IT控制領(lǐng)域標(biāo)準(zhǔn)須達(dá)到的基本要求，例如“人力資源-終止雇傭關(guān)系”。而共識評估倡議就用戶和審計師對供應(yīng)商在控制領(lǐng)域的具體期望，提供了一份詳盡問卷。

　　基于CSA等聯(lián)盟，包括行業(yè)團(tuán)體、政府機構(gòu)的共同努力，未來幾年內(nèi)，新標(biāo)準(zhǔn)將會層出不窮。CSA已經(jīng)與ISO(國際標(biāo)準(zhǔn)化組織)，ITU(國際電信聯(lián)盟)，NIST(美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會)正式結(jié)盟，以幫助這些組織進(jìn)一步完善標(biāo)準(zhǔn)。據(jù)調(diào)研公司ForresterResearch報道，截至2010年底，已有48個行業(yè)團(tuán)體致力于云安全相關(guān)標(biāo)準(zhǔn)的研究。[nextpage]

　　3.關(guān)注SLA

　　不管貴公司的規(guī)模與狀態(tài)如何，都不要假定云供應(yīng)商標(biāo)準(zhǔn)的合同條款滿足您的需求。從檢查供應(yīng)商的合同開始進(jìn)行嚴(yán)格的評估。

　　MichaelLarner是HoganLovells律師事務(wù)所的一名律師，這是他提供的建議。HoganLovells律師事務(wù)所在云合規(guī)性及安全問題上具有豐富的經(jīng)驗。Larner經(jīng)常幫助客戶就服務(wù)水平協(xié)議(servicelevelagreements，SLA)與云供應(yīng)商進(jìn)行談判，他說首先從風(fēng)險效益分析開始，了解云供應(yīng)商標(biāo)準(zhǔn)的合同條款是否能夠滿足您對合規(guī)性的要求。如果不滿足合規(guī)性要求，那就要決定需要與云供應(yīng)商進(jìn)行哪些交涉以增加舒適度。

　　貴公司的規(guī)模能夠為交涉增加砝碼，但是如果小型的公司是云供應(yīng)商試圖拓展新行業(yè)，那么小型公司也能夠找到對應(yīng)的交涉砝碼?？傊谌魏吻闆r下都不要害怕去和云供應(yīng)商進(jìn)行談判。

　　Larner說：“有太多的公司都認(rèn)為如果他們在面對一個大型的云供應(yīng)商，那么這個這個云供應(yīng)商是不會和他們進(jìn)行談判的。實際上，你可能會發(fā)現(xiàn)為了提升貴公司的舒適度，該云供應(yīng)商樂意為你而破例?！?/p>

　　Larner說，如果云對您來說是陌生的，您可能發(fā)現(xiàn)以非關(guān)鍵數(shù)據(jù)開始是樹立信心的一種很好的方式。

　　但是嚴(yán)格的評估不應(yīng)該僅僅以全面的SLA結(jié)束。NiravMehta是RSA公司的云計算戰(zhàn)略總監(jiān)，他說您應(yīng)該繼續(xù)密切關(guān)注云供應(yīng)商?！半m然有一個很好的SLA，但是如果供應(yīng)商的云服務(wù)中斷，業(yè)務(wù)連續(xù)性將發(fā)生什么?”Mehta認(rèn)為在將來為確保備份最好的戰(zhàn)略是使用多個云。

　　4.安全優(yōu)先

　　Forrester公司的Penn說，為最好地理解潛在的風(fēng)險與收益，您應(yīng)該盡早與安全小組討論。

　　“在適當(dāng)?shù)沫h(huán)境中安全及合規(guī)性問題才能提上日程。”Penn說，“企業(yè)主管能夠理解安全問題而且能夠在風(fēng)險級別與提供的減緩某些風(fēng)險的預(yù)算之間進(jìn)行權(quán)衡是非常重要的?！?/p>

　　遷移到云中通過在安全委員會中正式確認(rèn)風(fēng)險評估功能，可能為安全與企業(yè)的目標(biāo)更加永久地保持一致提供機會。安全委員會能夠幫助評估風(fēng)險并提供符合企業(yè)戰(zhàn)略目標(biāo)的預(yù)算建議。

　　你同樣應(yīng)該重視大量安全服務(wù)及云供應(yīng)商合作伙伴提供的安全創(chuàng)新。Dome9是Amazon的合作伙伴，它解決云相關(guān)的技術(shù)問題—當(dāng)不使用云服務(wù)器的SSH以及其他端口時，Dome9就關(guān)閉這些端口，這樣已經(jīng)獲得訪問權(quán)限的攻擊者就不能登錄到云服務(wù)器中了。

　　DaveMeizlik是Dome9的銷售副總裁，他說：“在企業(yè)中，這些端口默認(rèn)是打開的。但是在云中當(dāng)你的云服務(wù)器不需要工作時，你希望能夠關(guān)閉它們。而你不能在每次服務(wù)器關(guān)閉時都給云提供者打電話，讓它幫你關(guān)閉相應(yīng)的端口”

　　云計算可能提供了某些風(fēng)險，但是當(dāng)安全創(chuàng)新迎頭趕上后，這些風(fēng)險將減少。即使在今天，根據(jù)Forrester公司的Penn所說，“云服務(wù)的安全問題不會像其他IT趨勢比如智能手機或者社交媒體蔓延那樣如此令大多數(shù)企業(yè)安全團(tuán)隊感到擔(dān)憂。從根本上說，對于云應(yīng)用來說，安全問題將逐漸減少而不會引起越來越多的關(guān)注?！?/p>