從理論上看云計算似乎很簡單，云部署和許可才是最吸引人的資產(chǎn)。但是，當(dāng)行動起來問題也接踵而來。你會發(fā)現(xiàn)要遵從“云”其實沒那么簡單，有很多問題需要思考。云規(guī)則可謂無處不在，大到政府法規(guī)，例如，Sarbanes-Oxley、歐盟數(shù)據(jù)保護法；小到行業(yè)法規(guī)，例如，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)和美國健康保險攜帶以及責(zé)任法案(HIPAA)。你可能已經(jīng)實現(xiàn)了內(nèi)部掌控，但在公有云基礎(chǔ)設(shè)施平臺或基于云的應(yīng)用套件遷移的過程中，你不得不放棄對供應(yīng)商的一些掌控。

這正是今天許多審計員、CIOs和CEOs面臨的一大困擾。他們迫切地想知道：怎樣才能在大力發(fā)展“云”的同時遵守云規(guī)則，避免聲譽受損。以下是來自分析師、供應(yīng)商和顧問的四條建議：

1、注意云對IT工作負(fù)載的新挑戰(zhàn)

當(dāng)對云供應(yīng)商進行評估時，尋找鑒定用戶身份和訪問管理策略;數(shù)據(jù)保護和應(yīng)急響應(yīng)方面提供良好策略的供應(yīng)商。這些都是最基本的合規(guī)要求。然后，一旦你給未來的供應(yīng)商制定具體的合規(guī)要求，就很可能會面臨具體的云挑戰(zhàn)。

數(shù)據(jù)定位是其中之一。以歐盟數(shù)據(jù)保護法為例，這一法案禁止歐盟居民的個人信息外流。為符合法規(guī)要求，你的云供應(yīng)商應(yīng)該把歐盟客戶的信息放在歐洲的服務(wù)器上。

多租戶和清楚配置同樣構(gòu)成了挑戰(zhàn)。公有云供應(yīng)商使用多租戶以便優(yōu)化服務(wù)器工作負(fù)載和降低成本。但是，這就意味著你需要和其他企業(yè)共享服務(wù)器空間。因此，你應(yīng)該了解你的云供應(yīng)商提供的保護措施防止向任何妥協(xié)。根據(jù)數(shù)據(jù)的關(guān)鍵程度來決定是否加密。以美國健康保險攜帶和責(zé)任法案(HIPPA)為例，要求所有的用戶數(shù)據(jù)設(shè)置密碼，不管數(shù)據(jù)是否正在使用。

隨著密碼身份認(rèn)證技術(shù)越發(fā)復(fù)雜，為用戶清除配置也愈發(fā)具有挑戰(zhàn)性。不可否認(rèn)，聯(lián)合身份管理計劃幫助用戶更方便地登陸至多個“云”，但也導(dǎo)致配置的清除更為棘手。

“當(dāng)雇員離開公司，你希望按一下按鈕，就可以自動關(guān)閉他們的Windows帳戶和所有企業(yè)內(nèi)部應(yīng)用程序。同時，你希望雇員的移動電話無權(quán)獲取企業(yè)信息，雇員無權(quán)接觸企業(yè)SaaS應(yīng)用。”身份管理及合規(guī)工具提供商Centrify總裁Tom Kemp 表示，目前看來，自動清除配置尚未實現(xiàn)基于云平臺和內(nèi)部部署系統(tǒng)的同時應(yīng)用。

2、追蹤瞬息萬變的云標(biāo)準(zhǔn)

不論你喜歡與否，你都是云的早期的使用者。你決定把那些應(yīng)用程序遷移到云中以及何時遷移它們都會受益于對現(xiàn)在云計算演變的了解。

現(xiàn)在，你可以參照SAS 70 Type II和ISO 27001兩大標(biāo)準(zhǔn)，遵守金融和信息安全方面的政府以及行業(yè)法規(guī)，但不能擔(dān)保，這些法規(guī)是適合公司發(fā)展的。

“ISO 27001和SAS 70的標(biāo)準(zhǔn)是很有幫助的，但可能已經(jīng)落伍了”美國福雷斯特研究公司的副總裁兼首席分析師Jonathan Penn表示，“它們沒有對數(shù)據(jù)安全、身份鑒定、管理員控制等諸如此類事情做出詳細(xì)的規(guī)定。我們必須讓用戶清楚即將發(fā)生的一切?，F(xiàn)在它基本上是一個“黑箱”。”

提高對用戶的透明的是云安全聯(lián)盟的重要目標(biāo)，CSA公司創(chuàng)辦三年來快速在用戶、審計師、服務(wù)供應(yīng)商中深受歡迎。云安全聯(lián)盟的一個重要目標(biāo)是標(biāo)準(zhǔn)化審計框架和促進用戶和云供應(yīng)商間的溝通。

以現(xiàn)在遵守的法規(guī)為例， GRC(監(jiān)控、風(fēng)險和合規(guī))標(biāo)準(zhǔn)套件進展順利，它包含4大要素：云信托協(xié)議、云審計、共識評估倡議、云控制矩陣。其中，云控制矩陣以電子表格的形式羅列了企業(yè)遵守其IT控制領(lǐng)域標(biāo)準(zhǔn)須達(dá)到的基本要求，例如“人力資源-終止雇傭關(guān)系”。而共識評估倡議就用戶和審計師對供應(yīng)商在控制領(lǐng)域的具體期望，提供了一份詳盡問卷調(diào)查。

在CSA等聯(lián)盟、行業(yè)團體、政府機構(gòu)的共同努力，未來幾年內(nèi)，新標(biāo)準(zhǔn)會層出不窮。CSA已經(jīng)與國際標(biāo)準(zhǔn)化組織(ISO)、國際電信聯(lián)盟(ITU)、美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會(NIST)實現(xiàn)正式聯(lián)盟，以幫助這些組織進一步完善標(biāo)準(zhǔn)。據(jù)Forrester Research公司報道，截至2010年底，已有48個行業(yè)團體致力于云安全相關(guān)標(biāo)準(zhǔn)的研究。

3、認(rèn)真對待SLA

不管你的企業(yè)規(guī)模和狀態(tài)如何，都不要輕信云供應(yīng)商的合同條款滿足你的要求。一切要從認(rèn)真盡職檢查供應(yīng)商的合同開始。

這是Hogan Lovells律師事務(wù)所的一名律師——Michael Larnei提供的建議。Hogan Lovells是一家在云合規(guī)性及安全問題上具有豐富經(jīng)驗的國際律師事務(wù)所。Larner經(jīng)常幫助客戶就服務(wù)水平協(xié)議(service level agreements，SLA)與云供應(yīng)商進行談判，他表示首先從風(fēng)險效益分析開始，了解云供應(yīng)商的標(biāo)準(zhǔn)合同條款是否滿足您對合規(guī)性的需求。如果不滿足合規(guī)性要求，就要決定需要與云供應(yīng)商進行談判以增加舒適度。

公司的規(guī)模能夠為談判增加砝碼，但小型公司也能夠找到談判的砝碼，那就要小型的公司是云供應(yīng)商試圖拓展新行業(yè)?？偠灾?，在任何情況下都不要害怕和云供應(yīng)商進行談判。

Larner表示“很多公司認(rèn)為一個大的云供應(yīng)商不會和他們進行談判。事實上，你可以提升你的舒適度來讓云供應(yīng)商樂意為你破例的。”

如果你對云不是很了解，不妨以非關(guān)鍵性數(shù)據(jù)開始，你就會發(fā)現(xiàn)這是一個很好的辦法。Larner補充道。

但是嚴(yán)格的評估不應(yīng)該僅僅以全面的SLA結(jié)束。RSA公司的云計算戰(zhàn)略總監(jiān)Nirav Mehta表示你應(yīng)該繼續(xù)密切關(guān)注云供應(yīng)商。“你可能有一個很好的SLA，但是如果供應(yīng)商的云服務(wù)中斷，業(yè)務(wù)連續(xù)性會發(fā)生什么?”

Mehta認(rèn)為最好的戰(zhàn)略是使用多個云作為備份。

4、優(yōu)先考慮安全性問題

為了更好的理解企業(yè)的潛在風(fēng)險以及利益，你應(yīng)該盡可能早地與云安全小組進行討論，F(xiàn)orrester公司的Penn認(rèn)為。

“在適當(dāng)?shù)沫h(huán)境中安全及合規(guī)性問題才能提上日程。” Penn說，“重要的是：企業(yè)主管能夠理解安全問題而且能夠在風(fēng)險級別與提供的降低某些風(fēng)險的預(yù)算之間進行權(quán)衡。”

在向云遷移的過程中，通過安全委員會正式的風(fēng)險評估功能，為企業(yè)提供一個以更持久的方式實現(xiàn)企業(yè)安全和企業(yè)目標(biāo)聯(lián)盟的機會。安全委員會能夠幫助評估風(fēng)險并做出符合企業(yè)戰(zhàn)略目標(biāo)的預(yù)算建議。

你應(yīng)該注意眾多安全服務(wù)及云供應(yīng)商合作伙伴提供的安全創(chuàng)新。Dome9是Amazon的合作伙伴，它解決云相關(guān)的技術(shù)問題—當(dāng)不使用云服務(wù)器的SSH以及其他端口時，Dome9就關(guān)閉這些端口，這樣已經(jīng)獲得訪問權(quán)限的攻擊者就不能登錄到云服務(wù)器中了。

Dome9 的銷售副總裁Dave Meizlik說：“在企業(yè)中，這些端口默認(rèn)是打開的。但是當(dāng)你的云服務(wù)器不需要工作時，你希望能夠關(guān)閉它們。而你不能每次關(guān)閉服務(wù)器都要求云提供者幫你關(guān)閉相應(yīng)的端口”

云計算可能帶來了某些風(fēng)險，但是當(dāng)安全創(chuàng)新迎頭趕上后，這些風(fēng)險自然會減少。即使在今天，根據(jù)Forrester公司的Penn所說，“云服務(wù)的安全問題不會像其他IT趨勢比如智能手機或者社交媒體的蔓延那樣，令大多數(shù)企業(yè)對安全問題感到擔(dān)憂。從根本上說，對于云應(yīng)用，安全問題將逐漸減少而不會引起越來越多的關(guān)注。”