关于云计算合规性的四条建议

关于云计算合规性的四条建议

作者:海宇编译 2011-08-18 09:52:49

云计算 今天许多审计员、CIOs和CEOs面临的一大困扰是:怎样才能在大力发展“云”的同时遵守云规则,避免声誉受损。以下是来自分析师、供应商和顾问的四条建议。 本文转载自企业级IT信息服务平台-网界网-CNW.com.cn 原文地址:http://www.cnw.com.cn/news-international/htm2011/20110816_231601_2.shtml

从理论上看云计算似乎很简单,云部署和许可才是最吸引人的资产。但是,当行动起来问题也接踵而来。你会发现要遵从“云”其实没那么简单,有很多问题需要思考。云规则可谓无处不在,大到政府法规,例如,Sarbanes-Oxley、欧盟数据保护法;小到行业法规,例如,支付卡行业数据安全标准(PCI DSS)和美国健康保险携带以及责任法案(HIPAA)。你可能已经实现了内部掌控,但在公有云基础设施平台或基于云的应用套件迁移的过程中,你不得不放弃对供应商的一些掌控。

这正是今天许多审计员、CIOs和CEOs面临的一大困扰。他们迫切地想知道:怎样才能在大力发展“云”的同时遵守云规则,避免声誉受损。以下是来自分析师、供应商和顾问的四条建议:

1、注意云对IT工作负载的新挑战

当对云供应商进行评估时,寻找鉴定用户身份和访问管理策略;数据保护和应急响应方面提供良好策略的供应商。这些都是最基本的合规要求。然后,一旦你给未来的供应商制定具体的合规要求,就很可能会面临具体的云挑战。

数据定位是其中之一。以欧盟数据保护法为例,这一法案禁止欧盟居民的个人信息外流。为符合法规要求,你的云供应商应该把欧盟客户的信息放在欧洲的服务器上。

多租户和清楚配置同样构成了挑战。公有云供应商使用多租户以便优化服务器工作负载和降低成本。但是,这就意味着你需要和其他企业共享服务器空间。因此,你应该了解你的云供应商提供的保护措施防止向任何妥协。根据数据的关键程度来决定是否加密。以美国健康保险携带和责任法案(HIPPA)为例,要求所有的用户数据设置密码,不管数据是否正在使用。

随着密码身份认证技术越发复杂,为用户清除配置也愈发具有挑战性。不可否认,联合身份管理计划帮助用户更方便地登陆至多个“云”,但也导致配置的清除更为棘手。

“当雇员离开公司,你希望按一下按钮,就可以自动关闭他们的Windows帐户和所有企业内部应用程序。同时,你希望雇员的移动电话无权获取企业信息,雇员无权接触企业SaaS应用。”身份管理及合规工具提供商Centrify总裁Tom Kemp 表示,目前看来,自动清除配置尚未实现基于云平台和内部部署系统的同时应用。

2、追踪瞬息万变的云标准

不论你喜欢与否,你都是云的早期的使用者。你决定把那些应用程序迁移到云中以及何时迁移它们都会受益于对现在云计算演变的了解。

现在,你可以参照SAS 70 Type II和ISO 27001两大标准,遵守金融和信息安全方面的政府以及行业法规,但不能担保,这些法规是适合公司发展的。

“ISO 27001和SAS 70的标准是很有帮助的,但可能已经落伍了”美国福雷斯特研究公司的副总裁兼首席分析师Jonathan Penn表示,“它们没有对数据安全、身份鉴定、管理员控制等诸如此类事情做出详细的规定。我们必须让用户清楚即将发生的一切。现在它基本上是一个“黑箱”。”

提高对用户的透明的是云安全联盟的重要目标,CSA公司创办三年来快速在用户、审计师、服务供应商中深受欢迎。云安全联盟的一个重要目标是标准化审计框架和促进用户和云供应商间的沟通。

以现在遵守的法规为例, GRC(监控、风险和合规)标准套件进展顺利,它包含4大要素:云信托协议、云审计、共识评估倡议、云控制矩阵。其中,云控制矩阵以电子表格的形式罗列了企业遵守其IT控制领域标准须达到的基本要求,例如“人力资源-终止雇佣关系”。而共识评估倡议就用户和审计师对供应商在控制领域的具体期望,提供了一份详尽问卷调查。

在CSA等联盟、行业团体、政府机构的共同努力,未来几年内,新标准会层出不穷。CSA已经与国际标准化组织(ISO)、国际电信联盟(ITU)、美国国家标准和技术协会(NIST)实现正式联盟,以帮助这些组织进一步完善标准。据Forrester Research公司报道,截至2010年底,已有48个行业团体致力于云安全相关标准的研究。

3、认真对待SLA

不管你的企业规模和状态如何,都不要轻信云供应商的合同条款满足你的要求。一切要从认真尽职检查供应商的合同开始。

这是Hogan Lovells律师事务所的一名律师——Michael Larnei提供的建议。Hogan Lovells是一家在云合规性及安全问题上具有丰富经验的国际律师事务所。Larner经常帮助客户就服务水平协议(service level agreements,SLA)与云供应商进行谈判,他表示首先从风险效益分析开始,了解云供应商的标准合同条款是否满足您对合规性的需求。如果不满足合规性要求,就要决定需要与云供应商进行谈判以增加舒适度。

公司的规模能够为谈判增加砝码,但小型公司也能够找到谈判的砝码,那就要小型的公司是云供应商试图拓展新行业。总而言之,在任何情况下都不要害怕和云供应商进行谈判。

Larner表示“很多公司认为一个大的云供应商不会和他们进行谈判。事实上,你可以提升你的舒适度来让云供应商乐意为你破例的。”

如果你对云不是很了解,不妨以非关键性数据开始,你就会发现这是一个很好的办法。Larner补充道。

但是严格的评估不应该仅仅以全面的SLA结束。RSA公司的云计算战略总监Nirav Mehta表示你应该继续密切关注云供应商。“你可能有一个很好的SLA,但是如果供应商的云服务中断,业务连续性会发生什么?”

Mehta认为最好的战略是使用多个云作为备份。

4、优先考虑安全性问题

为了更好的理解企业的潜在风险以及利益,你应该尽可能早地与云安全小组进行讨论,Forrester公司的Penn认为。

“在适当的环境中安全及合规性问题才能提上日程。” Penn说,“重要的是:企业主管能够理解安全问题而且能够在风险级别与提供的降低某些风险的预算之间进行权衡。”

在向云迁移的过程中,通过安全委员会正式的风险评估功能,为企业提供一个以更持久的方式实现企业安全和企业目标联盟的机会。安全委员会能够帮助评估风险并做出符合企业战略目标的预算建议。

你应该注意众多安全服务及云供应商合作伙伴提供的安全创新。Dome9是Amazon的合作伙伴,它解决云相关的技术问题—当不使用云服务器的SSH以及其他端口时,Dome9就关闭这些端口,这样已经获得访问权限的攻击者就不能登录到云服务器中了。

Dome9 的销售副总裁Dave Meizlik说:“在企业中,这些端口默认是打开的。但是当你的云服务器不需要工作时,你希望能够关闭它们。而你不能每次关闭服务器都要求云提供者帮你关闭相应的端口”

云计算可能带来了某些风险,但是当安全创新迎头赶上后,这些风险自然会减少。即使在今天,根据Forrester公司的Penn所说,“云服务的安全问题不会像其他IT趋势比如智能手机或者社交媒体的蔓延那样,令大多数企业对安全问题感到担忧。从根本上说,对于云应用,安全问题将逐渐减少而不会引起越来越多的关注。”

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/261285.html<

(0)
管理的头像管理
上一篇2025-05-03 13:51
下一篇 2025-05-03 13:52

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注