公共云安全策略 你信任你的供应商吗？

在最近一次向大型组织的IT专家们做得演讲中，笔者解答了一些有关私有云计算的问题。谈话过程中，话题很快被转向了公共云计算。

这是经常发生的事情，特别是在一群不完全明白二者概念的IT专家之间。二者的不同实则源于情感，而并非技术上的差异，这着实让我也有些吃惊。说白了大型组织的IT并不信任任何人。

指责似乎落在了合法的潜在风险和为大型组织提供IT需求的供应商身上。

在我看来，正是这种观念让许多大型组织止步于公共云计算。不论你在考虑何种形式的公共云计算，大型组织的内部文化和流程都不适合扩展其上。

主要需要处理的就是数据安全性和数据所有权的问题以及一些行业和政府条例。早在公共云概念进入大众视线之前，某些规则和安全策略就已经建立起来。多数情况下，这些规则禁止存储，处理或是数据传输到非公司所有的财产上。

暂时忽略这些有关安全策略或是法规遵从需求的细节，让我们思考一下如何来克服这些障碍。聆听他们的意见，多半人只是喜欢云计算，你会听到同样的争论：

* “我们不能保证在云服务上的数据安全。”

* “我们不能保证在云服务上满足法规遵从。”

* “我们不能保证在云服务上禁止不当访问。”

由于满足安全策略，实现法规遵从，他们所保证的问题是绝对有效的。问题是，能否有机制促使实现所说的策略。

梦想云计算可以实现法规遵从

在我们的行业内，鲜有人敢称自己是法规遵从上的专家，大多数人都知道如果在配置和维护系统时能服从特定的商业流程，他们会在审计时获得不错的评级。

实现安全和法规遵从既是合同上也是技术上的事情。试想一下，你的业务受一些像Sarbanes-Oxley（SOX）的规则影响。对每个设备和服务，你将需要一系列活动来保证规则的遵守：启动防火墙、配置事件日志设置、限制权力和权限等等。完成这些步骤，并确保他们没有被改动才意味着实现了要求。

但谁说另一方就不能在你的利益前提下完成这些活动？谁说对方就不能合法地按合同证兑现承诺？如果外方可以提供一个合法，按合同实现SOX的证明，难道还不够满足你的审计需求吗？

你已经在几个方面这样做了。你把IT管理任务交给外部承包商，承包商工作在你的范围内，却并不是你的雇员。从法律的角度看，这样的公司/承包商关系和公司与云服务供应商的关系之间并没有很大差异：他们履行服务，按照合同兑现承诺。反过来，你也给了他们自己应用的钥匙。

不管怎样，一定程度的审计是需要的。面对云计算时，假如审计由供应商的审计人员完成，结果会关联到你自己的结果。如果每个审计员都获得相同的认证并遵守相同的规则，这将会是一个完美的世界，这样的联合审计可以是有效的。

我们可能不会有这样的条件，出于天性，安全和法规遵从常常是跟踪功能。这说明，这颗种子的未来状态已经被限制。在今年1月，美国国家标准与技术研究院（NIST）发布了它的第一份有关云计算的特别文献。目前还处于起草阶段，该文档概括了NIST对云计算的定义和交付高等级的指南，指南介绍了移入或移出公共云服务所需考虑的事项。

最后，供应商承诺服从法规遵从就足够了吗？可能。希望这样的承诺可以很快地提供必要的法律支持来促进云计算被大型组织采纳。转移的经济基础已经建立了，剩下的就是信任问题了。