外包云計算安全的建議

責任編輯:FLORA

2011-12-12 09:19:14

摘自:CIO論壇

然而,沒有免費的午餐,外包云計算無法解決法律風險(伴隨第三方對數(shù)據(jù)存儲和傳輸位置的知曉而產生)這一關鍵問題。

一、漫步云端前需要考慮的問題

然而,沒有免費的午餐,外包云計算無法解決法律風險(伴隨第三方對數(shù)據(jù)存儲和傳輸位置的知曉而產生)這一關鍵問題。本文討論的即是這一問題。在企業(yè)決定采用外包云計算解決方案時,必須考慮到以下幾點。

首先,當然需要定義我們在討論的是什么,因為對于“云計算”,有很多定義。最近,一位知名CIO將其定義為:由某一組織控制虛擬服務器,終端用戶可通過網絡訪問的計算應用技術。我們將“云計算”定義為:商業(yè)軟件的服務提供,通過網絡來應用軟件和虛擬服務器上存儲的數(shù)據(jù)。外包云計算提供了一種商業(yè)化的企業(yè)技術:基礎設施即服務,軟件即服務,及平臺即服務,所有這些服務提供都是在線的,并且在Web2.0的框架之下。當?shù)谌娇刂?ldquo;云”的任何部分,相關的數(shù)據(jù)安全、隱私和從規(guī)問題就產生了。從某方面來看,從確定的數(shù)據(jù)線被通信方案(捆綁了來自n家公司的數(shù)據(jù))所取代,這一問題就產生了。第三方試圖充分提高虛擬化技術的效率,并將傳統(tǒng)上企業(yè)自身擁有的功能(基礎設施、系統(tǒng)平臺和軟件)商業(yè)化,與此同時,法律風險產生了。

第三方解決方案的好處是商業(yè)軟件很好地建立了起來。從利用多用戶需求的第三方軟件解決方案供應商,到外包基礎設施供應商(投資單一用戶無法實現(xiàn)的更快更新的技術解決方案),第三方可實現(xiàn)規(guī)模效益,同時將所提供功能的成本降低。然而,有收益必然有風險,以下是需要重點關注的風險問題。

1、數(shù)據(jù)的存儲和轉移

傳統(tǒng)的外包協(xié)議中,用戶可與供應商商議數(shù)據(jù)存儲地點的控制情況(包括備份流程在哪里進行)。這樣,用戶和供應商均可了解,針對相關數(shù)據(jù)的傳輸法規(guī),應提供哪種管理辦法。然而,對外包云計算的成本效益很高,因為供應商可將數(shù)據(jù)轉移到世界任何地方,也可將一個企業(yè)的數(shù)據(jù)發(fā)送到不同的地點,這取決于容量、應用情況和帶寬。自由度的提高將導致處理流程不遵從全球眾多與數(shù)據(jù)存儲和轉移相關的法規(guī)。

歷史上,外包計劃中,用戶和供應商之間通常談論的風險是:用戶要求供應商采用特定流程,以實現(xiàn)的數(shù)據(jù)轉移流程合規(guī)。沒有這些要求,供應商就不對用戶數(shù)據(jù)的存儲和轉移負法律責任。隨著時間的發(fā)展,供應商意識到自己應該對用戶的要求做出回應,并且為了保證規(guī)模經濟的持續(xù)增長,他們必須將這些需求整合進解決方案。最終,我們相信外包云計算供應商會將數(shù)據(jù)轉移的從規(guī)組件內置于其商業(yè)化技術服務,從規(guī)的成本會由于用戶規(guī)模的擴大而被平衡,同時,外包供應商在制定服務價格時將計入這一成本。

比如,早期的云供應商允許客戶通過“可用區(qū)域”控制某些特定技術的數(shù)據(jù)存儲地點。因為每個國家的數(shù)據(jù)轉移法規(guī)不同,因此云供應商可將數(shù)據(jù)存儲在某一事先確定的地區(qū)(比如,歐洲經濟區(qū));遵從此地的數(shù)據(jù)轉出法規(guī)。采用這一方法,數(shù)據(jù)可不斷地從這一供應商的歐洲服務器中進行轉移,而不會出現(xiàn)從規(guī)問題,因為數(shù)據(jù)被存儲在特定的經許可的區(qū)域。

2、數(shù)據(jù)安全

數(shù)據(jù)安全和數(shù)據(jù)保護通常是外包計劃中主要關注的問題。外包協(xié)議計劃精確設定了供應商必須采用的安全管理技術。這些安全管理計劃的開展是由敏感數(shù)據(jù)(個人數(shù)據(jù)或財政數(shù)據(jù))保護規(guī)則推動的。如何采用外包云計算解決方案對其進行控制?思科公司的CEO說云計算兼職如同一場數(shù)據(jù)安全的噩夢,并且無法用傳統(tǒng)方式對其進行控制。對于大多數(shù)公司,對包含敏感數(shù)據(jù)或秘密數(shù)據(jù)的應用軟件實施外包云計算,數(shù)據(jù)安全和數(shù)據(jù)保護是最大障礙。

有了ASP、電信傳輸、ServiceBureau協(xié)議,云計算協(xié)議將逐漸成為單向的,且協(xié)商起來較為困難。比如,一份在線的云供應商合同是無法協(xié)商的,并且相當偏向供應商:供應商對數(shù)據(jù)安全不負任何責任;用戶對數(shù)據(jù)的安全、保護和備份負全責;對所有未授權訪問、使用、毀壞、刪除和損失的任何數(shù)據(jù),供應商也不負任何責任。

因此,與云供應商簽訂外包合同需要更認真仔細,少包含術語和條件。用戶應關注外包云計算解決方案是否保證了數(shù)據(jù)合規(guī),最終,用戶將依賴供應商提供的解決方案文本,并認為已確保合規(guī)(無論是直接--比如采用銀行或醫(yī)療軟件;還是間接,比如詮釋特定的數(shù)據(jù)存儲地點)。結果是,供應商沒實現(xiàn)用戶數(shù)據(jù)處理過程的合規(guī)即為服務失敗,可被認為是未能遵循服務說明,需要依照合同進行賠償。

跟任何外包計劃一樣,回顧供應商的解決方案以決定對于數(shù)據(jù)訪問的控制,這是一個關鍵步驟。這一供應商解決方案是否實現(xiàn)了對企業(yè)數(shù)據(jù)訪問權限的限制,是否實現(xiàn)了對訪問者的監(jiān)控(這樣你可知道誰在何時訪問了哪些數(shù)據(jù))?哪些規(guī)范需要加密?數(shù)據(jù)歸檔的頻率?是否所有的應用軟件和軟件進行了最新的安全升級?安全水平協(xié)議是否包括這一條款:安全系統(tǒng)的維持情況是一個性能參數(shù)。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號