如今,很多企業(yè)提高了云平臺的安全性和抵御外部攻擊者的能力,但他們?nèi)匀粨?dān)心云計算提供商如何使用與帳戶相關(guān)的數(shù)據(jù)方面缺乏透明度。
AWS、Microsoft、谷歌云等公共云取得了長足的進步,以提高對其用于支持和訪問用戶工作負(fù)載的流程的可見性。值得注意的是,他們增加了滿足HIPAA、GDPR和PCI等合規(guī)性標(biāo)準(zhǔn)的保證。然而,一些行業(yè)專家表示,這些主要的云計算提供商在云計算透明性方面做得還不夠。
這些批評人士希望云計算提供商提供更多關(guān)于他們?nèi)绾问褂迷谀缓笫占倪b測和元數(shù)據(jù)的報告,他們希望看到一些云計算供應(yīng)商有著更多的改變,以提供更多工具來跟蹤與用戶工作負(fù)載的直接交互。
數(shù)據(jù)訪問控制
所有云計算提供商都在遵從性框架方面對數(shù)據(jù)保護提供一定程度的控制。企業(yè)依靠這種監(jiān)督來維護與企業(yè)應(yīng)用程序相關(guān)的所有數(shù)據(jù)的訪問、編輯或刪除方式的審計跟蹤。
云計算安全和合規(guī)解決方案提供商Qualys公司產(chǎn)品管理總監(jiān)Hari Srinivasan表示:“作為全球擴展的一部分,云計算提供商正在越來越多地針對不同的區(qū)域法規(guī)標(biāo)準(zhǔn)來認(rèn)證其環(huán)境、數(shù)據(jù)保護和隱私。”
涉及云中個人數(shù)據(jù)隱私的認(rèn)證和標(biāo)準(zhǔn)(例如ISO 27018)驗證了云計算提供商是否遵循特定的安全原則。這些標(biāo)準(zhǔn)以書面形式做出了具體保證,例如保證供應(yīng)商不會與第三方共享數(shù)據(jù),除非地方政府以適當(dāng)?shù)乃痉ㄔS可證提出要求。
工作流管理平臺提供商Kissflow公司產(chǎn)品管理副總裁Dinesh Varadharajan表示,云計算提供商還使用第三方供應(yīng)商進行漏洞評估,以確保其內(nèi)部系統(tǒng)穩(wěn)定并且沒有安全漏洞。企業(yè)應(yīng)該請求這些合規(guī)性報告,以發(fā)現(xiàn)在遷移到云端時可能造成的安全漏洞。這些報告可幫助企業(yè)了解存儲和傳輸加密的工作原理,如何管理數(shù)據(jù)備份以及在合同終止時如何處理數(shù)據(jù)。
但是,Varadharajan認(rèn)為,通過發(fā)布有關(guān)數(shù)據(jù)備份,已解決漏洞列表、內(nèi)部審核和結(jié)果的統(tǒng)計信息,云計算提供商需要更加透明,這將為企業(yè)帶來更多的信心。
Varadharajan說:“總之,企業(yè)需要一個儀表板來連續(xù)監(jiān)視存儲的數(shù)據(jù)狀態(tài)。”
有關(guān)遙測和元數(shù)據(jù)的擔(dān)憂
許多云計算服務(wù)收集遙測數(shù)據(jù)以提高應(yīng)用程序性能。這引發(fā)了企業(yè)和政府對云計算透明度的擔(dān)憂,他們擔(dān)心會對個人或企業(yè)信息造成損害。例如,德國黑森州的學(xué)校被禁止使用Microsoft Office軟件。在荷蘭,微軟公司與荷蘭司法和安全部合作,解決了與遙測有關(guān)的8個高級數(shù)據(jù)保護風(fēng)險,以便該服務(wù)能夠在荷蘭使用。
機密計算有望提供更好的控制
在將來,云計算提供商可以通過更安全的計算服務(wù)為企業(yè)提供更好的數(shù)據(jù)控制。微軟、谷歌、英特爾和其他公司創(chuàng)建了機密計算聯(lián)盟,旨在簡化在不受硬件、操作系統(tǒng)和其他應(yīng)用程序保護的區(qū)域中運行計算的過程。
這項工作仍處于初期階段,特別是因為這些工作負(fù)載往往更難以管理。但是它可以為關(guān)心工作負(fù)載保護的企業(yè)提供更好的安全性和更大的保證。谷歌公司提供了Asylo機密計算框架,而微軟公司提供Azure機密計算,以安全地運行工作負(fù)載。
但是現(xiàn)在沒有一家云計算供應(yīng)商提供關(guān)于使用服務(wù)級別元數(shù)據(jù)的透明性。Srinivasan說,云計算供應(yīng)商會跟蹤客戶的匿名使用情況和元數(shù)據(jù),以發(fā)現(xiàn)其服務(wù)中的差距,并確定其他可以實現(xiàn)產(chǎn)品的用戶興趣。
無服務(wù)器監(jiān)控平臺提供商Lumigo公司首席執(zhí)行官兼聯(lián)合創(chuàng)始人Erez Berkner說,提供商對這些元數(shù)據(jù)的訪問可能也是其他業(yè)務(wù)領(lǐng)域競爭的客戶的主要擔(dān)憂。即使企業(yè)對其數(shù)據(jù)進行加密,云計算提供商仍可以訪問有關(guān)虛擬機數(shù)量和事務(wù)的信息,這是在其平臺上托管的產(chǎn)品或服務(wù)的使用和成功的重要標(biāo)志。
文件共享、同步和備份供應(yīng)商FileCloud公司首席運營官Venkat Ramasamy說,云計算提供商可以利用這些信息來獲得自身的優(yōu)勢,例如提供競爭性服務(wù)或收購公司。因此,他們應(yīng)該針對數(shù)據(jù)和元數(shù)據(jù)訪問生成透明度報告。
Ramasamy說,對用戶的另一種保護將是類似于金融行業(yè)所做的虛擬障礙。在這一計劃中,投資銀行部門與股票分析師群體互相隔離,以防止利益沖突,該部門擁有關(guān)于很多公司非公開的重要信息。如果將此應(yīng)用于云計算,內(nèi)部產(chǎn)品團隊將與為獨立軟件開發(fā)商(ISV)運行云計算市場的部門隔離開來。
云計算供應(yīng)商提高訪問透明度
盡管存在一些擔(dān)憂,但有跡象表明云計算提供商愿意解決透明度問題,特別是在如何訪問用戶數(shù)據(jù)方面。
Google Access Transparency使用戶能夠接收日志,該日志生成與用戶數(shù)據(jù)進行的所有員工互動的跟蹤。這對于提供系統(tǒng)審核很有幫助,并且可以促進確認(rèn)符合各種類型法規(guī)(例如HIPAA和GDPR)的報告。此外,采用Google Access Approval,用戶可以批準(zhǔn)或拒絕谷歌公司工程師訪問谷歌云服務(wù)的客戶數(shù)據(jù)的請求。不過,谷歌公司保留在法律要求時訪問數(shù)據(jù)的權(quán)利,以應(yīng)對安全事件。
微軟公司為Office 365提供了名為客戶密碼箱的類似服務(wù)。該公司最近推出了Azure客戶密碼箱的預(yù)覽版,該預(yù)覽版使用戶可以更好地控制與Azure相關(guān)的所有數(shù)據(jù)的使用方式。