简介:
众所周知,安全性是制约云计算更广泛应用的一个关键障碍。在多租户云计算环境中,提供、访问和控制服务的实际风险和感知风险可能会延缓或妨碍 IT 企业的服务迁移。在非虚拟化环境中,物理基础架构所提供的隔离被认为是为应用程序和数据提供了一定的保护。在云计算中,应用程序之间这种传统的物理隔离不复存在。云计算基础架构是一个多租户环境,其中多个应用程序共同利用一个共享的公共物理基础架构。这使得资源利用更加高效。但是,因为应用程序之间的物理壁垒已经消除,所以建立补偿性安全控制措施来最大程度地减少恶意软件在整个云计算中的扩散就变得至关重要了。
一.云计算上的合规和审计挑战
当组织将其业务从传统数据中心迁移至云计算数据中心之时就将面临新的安全挑战。其中最大的挑战之一即遵从众多监管条例对交付、度量和通信的合规约束。云计算所拥有的分布式和虚拟化的特性,使得原本基于确定目标和物理实体的信息和过程的监管方法需要进行 重大的框架调整。云服务供应商和用户以及监管和审计机构在面对组织合规性的外部审计时面临很大挑战
那么理解云计算与监管环境的相互关系将是任何“云”战略的关键因素。云计算用户、审核机构和供应商务必考虑并且理解以下几点:
- 针对特定的云服务或者服务提供商的监管的影响,对适用跨境或者多管辖权的事例给予特别关注。
- 云服务提供商和客户的合规责任分配,包括间接提供商(如:你所采用云服务提供商的云服务提供商)。这包括合规继承的概念,其中提供商可能有他们服务的 一部分被认证为合格,这部分可以从客户的审核范围中剔除,但客户仍然对建立 在顶层的供应商的合规性负责。
- 云服务提供商证明其合规的能力,包括及时的文档生成、证据产生以及过程合规性。
- 一些附加的云服务特定的问题需要特别关注,包括以下几点:
- 供应商审核和认证的作用以及如何影响客户审核(或评估)范围。
- 了解云提供商的哪些功能和服务属于审核和评估的范围。
- 随着时间的推移管理合规性和审计。
- 与可能缺乏云计算技术经验的监管和审核机构合作。
- 与可能缺乏审核或合规性经验的供应商合作。
二.云对合规的改变
`合规性在云服务中是一个共享责任模式。云服务供应商和客户都 有责任,但客户始终对自己的合规性负责。这些责任是通过合同、审核/评估和具体的 合规性要求的细节来确定的`
2.1 准入型审计
许多云供应商被各种法规和行业要求认证,准入型审计是合规性继承的一种形式。在这个模型中,云供应商的所有或者某些基础设施和服务依照合规标准进行审核。供应商承担这些认证的成本和并维护认证。对供应商进行审计,包括准入型审计,都需要了解其局限性:
- 这些审计证明供应商是合规的。
- 在云服务上建立合规的应用程序和服务仍然是客户的责任。
- 这意味着供应商的基础设施/服务不在客户审核/评估范围之内。但客户建立自己的一切仍在审计范围内。
- 客户为他们自己所建立和维护的,承担最终的合规责任。
- 云计算的元结构可能跨越司法管辖区,数据/资产则不能,这必须纳入合规活动
2.2 相关建议
- 云供应商应该从以下几个方面来保障持续性的合规审核
- 清楚地传达他们的审计结果、认证和证明
- 云供应商必须随时间变化维护其认证/证明并主动沟通任何状态变化。云供应商应参与持续遵守措施,避免为客户造成任何差距,从而暴露风险。
- 为客户提供通常需要的合规所需的证据及文件,如客户不能自行收取的管理活动日志
2.云客户应该从以下几个方面评估云厂商的合规性
- 在部署、迁移或开发云技术之前,明确全部合规义务。
- 评估提供商的第三方认证和认证,并将其与合规性要求保持一致。
- 了解评估和认证的范围,包括涵盖的控制和系统特性/服务。
- 尝试选择具有云计算经验的审核人员,尤其是当准入型审计和认证会被用于客户审计范围的情况下。
- 确保他们了解供应商提供的合规性证据,并有效地收集和管理这些证据。当供应商的证据不充足时,创建和收集自己的证据。
- 云安全联盟云控制矩阵可以支持提供云供应商的注册表、相关的遵从性要求以及当前的状态。
