大家當然有能力確保自己的云方案遵循PCI DSS、HIPAA以及其它監(jiān)管要求的合規(guī)條款，但仍需要憑借著大量調(diào)查與不懈努力獲得證明合規(guī)性水平的必要解答及文件。

盡管眾多企業(yè)都在內(nèi)部私有云領域部署有高水平控制及定制方案，但在公有或者混合云環(huán)境下使用服務項目仍然帶來相當嚴峻的合規(guī)性挑戰(zhàn)。當然，云服務供應商們已經(jīng)從幫助客戶實現(xiàn)合規(guī)性當中發(fā)現(xiàn)了確切收益，而整個流程也處于不斷改進當中。然而，如果大家正在考慮將數(shù)據(jù)遷移至云環(huán)境下——而這部分數(shù)據(jù)又必須符合合規(guī)監(jiān)管要求——那么各位面前仍有很長的道路要走。

　　要讓我合規(guī)，你要首先實現(xiàn)合規(guī)

截至目前，云服務供應商一直將主要精力放在為數(shù)據(jù)存儲與云服務提供安全配置層面。換言之，云客戶需要承擔起遵循監(jiān)管要求或者確保云服務供應商滿足數(shù)據(jù)保護之相關合規(guī)條款。

好消息是，情況已經(jīng)開始出現(xiàn)轉機。除了一部分公有云供應商開始以積極態(tài)勢幫助客戶滿足合規(guī)性要求之外，各監(jiān)管機構及標準制定組織也開始意識到云服務的實際價值與普及水平。新的指導方針與合規(guī)性內(nèi)容調(diào)整已經(jīng)開始為云服務的安全使用提供理論基礎。

舉例來說，健康保險流通與責任法案(簡稱HIPAA)于2013年開始將云服務供應商納入相關運營主體，這意味著云服務供應商也必須符合HIPAA之要求。PCI安全標準協(xié)會，即支付卡行業(yè)數(shù)據(jù)安全標準(簡稱PCI DSS)與支付應用數(shù)據(jù)安全標準背后之支持機構最近也發(fā)布了一份細則文件，開始將云服務納入PCI背景當中。

在對云服務供應商進行考核時，首先應尋求一套基于標準之云環(huán)境以及一套能夠滿足我們所需遵守之各監(jiān)管政策與規(guī)程的安全方案。大家還要確保已經(jīng)認真查閱合同及服務水平協(xié)議內(nèi)的語言表述，考量對象供應商是否滿足云合規(guī)性要求。在理想情況下，云服務供應商應當有能力證明其滿足合規(guī)性要求或標準，并能夠且愿意通過審計驗證這一能力。

提示：大家的云服務供應商應當擁有安全專業(yè)人員，并由其負責確保該云服務供應商解決方案與PCI DSS、HIPAA以及其它監(jiān)管要求相匹配。

數(shù)據(jù)中心到底身在何處?

在云環(huán)境的合規(guī)性保障工作中，其主要障礙之一在于了解自己的數(shù)據(jù)被保存在何處。在審計期間，大家需要提供數(shù)據(jù)的實際所處位置，并說明采取何種措施為其提供保護。

我們必須要求云服務供應商通過說明文件解答其服務器的所在位置，對美國客戶來說設施應當處于美國本土，且遵循各類監(jiān)管及標準要求。如果某家云服務供應商不愿透露此類信息，請大家不要猶豫、馬上將目光投向別處。即使監(jiān)管不要求服務器設備位于美國境內(nèi)，大家也必須清醒地意識到，位于國外的服務器可能受到外國政府的法律制約并引發(fā)潛在之隱私問題。

作為PCI DSS合規(guī)性要求的組成部分，一部分云服務供應商還提供令牌機制，旨在利用隨機數(shù)字或者信令取代傳統(tǒng)信用卡數(shù)據(jù)。令牌由PCI兼容性支付處理器負責處理，只有非PCI數(shù)據(jù)由云服務供應商負責打理。

訪問控制是關鍵

在IT合規(guī)性監(jiān)管工作當中，最大的難題主要源自確保為系統(tǒng)及數(shù)據(jù)訪問流程提供合適的控制手段。在審計過程中，一家企業(yè)必須證明自身有能力為每一位用戶提供訪問級別控制，并展示其如何對這些級別進行維護。因此對云服務供應商而言，最重要的一點就是部署訪問控制機制并保證其得到妥善實現(xiàn)。

詢問這些準云服務供應商，了解他們是否愿意并有能力證明其對管理功能的職責劃分實現(xiàn)手段，并能通過文件說明哪些用戶訪問過某套系統(tǒng)以及每用戶能在哪個時間段訪問哪些數(shù)據(jù)。此類信息對于滿足多種不同監(jiān)管要求意義重大，其中包括金融服務現(xiàn)代化法案(簡稱GLBA)——此法案要求金融機構保障客戶非公開個人信息之開發(fā)性與保密性。

　　對閑置及使用中的數(shù)據(jù)進行加密

云服務供應商需要解決的另一個安全性難題源自多租戶環(huán)境。為了保持低廉的運營成本，多數(shù)云服務供應商采用多租戶架構，其中多家客戶共同享有同一套軟件應用虛擬實例。在這類架構當中，云服務供應商必須有能力證明其安全措施足以避免某一客戶訪問到其它客戶之業(yè)務數(shù)據(jù)。不過，任何保存在或者經(jīng)由云服務之數(shù)據(jù)都應當?shù)玫郊用?，從而滿足大多數(shù)合規(guī)條款的實際要求。

如果云服務供應商采取了加密機制，請弄清楚他們具體使用哪種加密技術以及如何與何時加以運用。千萬不要先入為主地認為云服務供應商擁有對數(shù)據(jù)進行加密的全部責任。我們自己才應該對使用中以及處于閑置狀態(tài)下的數(shù)據(jù)進行保護。云服務供應商僅僅需要為了幫助大家滿足這些要求而提供相關服務。一部分企業(yè)將數(shù)據(jù)保存在自己的內(nèi)部數(shù)據(jù)中心中，并利用云實現(xiàn)額外的存儲或處理任務。在這種情況下，大家最好能夠在數(shù)據(jù)進入傳輸流程之前先一步對其進行加密。

注意：根據(jù)HIPAA之要求，保存在磁盤驅(qū)動器(包括歸屬于云服務供應商之磁盤驅(qū)動器)上的數(shù)據(jù)必須受到加密，此外還需要匹配備份副本，且每一塊驅(qū)動器都必須始終被計算在內(nèi)。

讓云服務供應商成為你的合作伙伴

云服務業(yè)界充斥著激烈的市場競爭。目前按實際使用量計費已經(jīng)使得云服務成本相當?shù)土?，而云服務供應商需要進一步提升自身功能以吸引到客戶關注并拿下合作訂單。其中一種方式就是與大家的企業(yè)建立合作伙伴關系，并成為IT部門的一種擴展與延伸。在這種情況下，大家值得多花點時間了解云服務供應商的安全規(guī)程、應急響應以及災難恢復機制、如何解決問題外加如何處理日志文件等等。

　　更進一步

應用程序設計、監(jiān)控、應急響應以及災難恢復都是重要的考量因素。大家需要確保自己的準云服務供應商有能力且有意愿解決上述難題。即使已經(jīng)盡職盡責做好前期調(diào)查工作，監(jiān)管政策本身也會隨時間而發(fā)生改變，這使得我們必須不斷重新審視自己的IT基礎設施與未來發(fā)展規(guī)劃。請確保自己的安全團隊參與到任何政策或規(guī)程的修訂工作當中，預祝各位在云發(fā)展旅程中一路高歌猛進!