本文是云安全应用指南系列中的第八篇,我们将讨论云的合规性问题。对于合规性的关注是阻碍众多公司使用云服务的主要原因之一。价格低廉、计算灵活,可根据需求创建、拆开、重配置、扩张和收缩,这些都是其吸引人的特点,但是它是否包括了必要的监管要求?
诸如Massachusetts隐私法(201 CMR17)、PCI-DSS、SOX、Nevada SB-227和HIPAA之类的标准与法规都要求众多组织对他们的数据保护措施进行安全评估。将数据和应用迁移至云将影响该组织遵守这些法规和标准的能力。在本文中,我们将主要探讨云计算对企业保持合规性能力产生负面影响的两个特点。
关于合规性问题,每个法规都需要各组织充分保护他们的实体资产和信息资产。要达到这个目的,需要对整个系统有一个很好的控制,并且确定:
* 系统中存储什么信息?
* 存储的信息位于何处?
* 谁能够访问系统?
* 他们可以访问什么?
* 访问是否合适?
所有这些问题意味着一个资产所有权的级别问题,也就是云合规性问题的核心所在。在公共云环境中,您可以肯定地回答第一个问题,但是剩余四个问题在合规性方面就有一定的麻烦,我们来分别对其进行分析。
存储的信息位于何处?
在一个典型企业数据中心或托管中心中,大家都知道磁盘和服务器实际的物理位置所在,这一事实可在审核过程中得到证实。通常而言,即使是一个共享服务供应商也能告诉你,你所使用系统的是哪一个物理系统,并根据审核的目的来辨识数据的位置。即使对于虚拟化和灾难恢复,你也可以想办法来确定信息资源所在的物理位置。根据其定义,这并不符合公共云的情况,这便是我们所谈到的第一个云合规性问题。
在云中,我们并不期望供应商方能够提供信息实际位置的相关信息。但这并不是说供应商不能这么做,然而市场并未要求他们提供该项服务。同时,说句公道话,要求了解数据位置的需求与云计算的本质目的是相矛盾的。
那么,你可以做什么?确保你的供应商也愿意与你合作,提供并检测你可能遇到的数据位置限制。
谁将访问系统、访问系统的哪些信息以及为什么访问系统?
公共云中第二个合规性问题如下因素相关:
* 谁能够访问你的信息存储系统?
* 他们可以访问哪些信息?
* 服务是否合适(也就是说为什么要提供这种服务)?
关于访问权限问题,除了你所控制的一方,供应商工作人员也可以访问系统。在供应商方,我们所关注的主要人员是系统管理员和应用管理员。我们需要了解系统管理员和应用管理员是的身份。当考虑他们能够访问什么信息时,我们主要关注供应商访问我们底层信息存储基础设施或应用的能力。了解他们是通过管理程序(如基础设施即服务,IaaS)还是在应用层(如平台即服务,PaaS)访问?
最后的一个问题是他们“为什么”需要访问系统?这也是Security 101所规定的:必须基于工作角色来确定访问权限,必须对访问等级提供明确的说明。
事实上,这也是一个共享主机设备中出现的问题。其主要区别在于许多云供应商并不能满足众多合规性文件中规定的要求,而共享主机设备已足够成熟具备该能力。
那么,你需要做的就是确保合作供应商能够并愿意证明他们提供的管理功能能够实现职责分离,而且他们有能力“证明”谁有机会访问系统和信息,并提供访问的时间信息。请注意,还有最后一个要求,你需要部署健全的、与最新安全等级相关的日志解决方案。
作为附带说明,我认为整个行业需要对公共云供应商进行认证,而那些认证对于用户合规性而言是可以接受的。
总结
大部分合规性要求是为了对有机会访问资产的人员、他们所访的问等级以及那些等级的维护进行适当的控制。通常的方法是对我们的进程进行审核。公共云环境的相对不成熟性将使得审核过程变得非常困难,有时甚至是不可能实现。改变这一状况要从以下两方面入手:
* 公共云产品必须成熟,更加遵守标准。
* 公共云供应商必须与用户签署相关合同协议,这有助于客户满足云合规性的需求。
