您現(xiàn)在的位置：融合網(wǎng)首頁 > 云計算 > 技術(shù) >

了解并解決云計算合規(guī)性問題

來源：機房360　作者：秩名　責任編輯：admin　發(fā)表時間:2011-02-15 08:24　

核心提示：對于合規(guī)性的關(guān)注是阻礙眾多公司使用云服務(wù)的主要原因之一。價格低廉、計算靈活，可根據(jù)需求創(chuàng)建、拆開、重配置、擴張和收縮，這些都是其吸引人的特點，但是它是否包括了必要的監(jiān)管要求？

對于合規(guī)性的關(guān)注是阻礙眾多公司使用云服務(wù)的主要原因之一。價格低廉、計算靈活，可根據(jù)需求創(chuàng)建、拆開、重配置、擴張和收縮，這些都是其吸引人的特點，但是它是否包括了必要的監(jiān)管要求？

諸如Massachusetts隱私法(201 CMR17)、PCI-DSS、SOX、Nevada SB-227和HIPAA之類的標準與法規(guī)都要求眾多組織對他們的數(shù)據(jù)保護措施進行安全評估。將數(shù)據(jù)和應(yīng)用遷移至云將影響該組織遵守這些法規(guī)和標準的能力。在本文中，我們將主要探討云計算對企業(yè)保持合規(guī)性能力產(chǎn)生負面影響的兩個特點。

關(guān)于合規(guī)性問題，每個法規(guī)都需要各組織充分保護他們的實體資產(chǎn)和信息資產(chǎn)。要達到這個目的，需要對整個系統(tǒng)有一個很好的控制，并且確定：

* 系統(tǒng)中存儲什么信息？

* 存儲的信息位于何處？

* 誰能夠訪問系統(tǒng)？

* 他們可以訪問什么？

* 訪問是否合適？

所有這些問題意味著一個資產(chǎn)所有權(quán)的級別問題，也就是云合規(guī)性問題的核心所在。在公共云環(huán)境中，您可以肯定地回答第一個問題，但是剩余四個問題在合規(guī)性方面就有一定的麻煩，我們來分別對其進行分析。

存儲的信息位于何處？

在一個典型企業(yè)數(shù)據(jù)中心或托管中心中，大家都知道磁盤和服務(wù)器實際的物理位置所在，這一事實可在審核過程中得到證實。通常而言，即使是一個共享服務(wù)供應(yīng)商也能告訴你，你所使用系統(tǒng)的是哪一個物理系統(tǒng)，并根據(jù)審核的目的來辨識數(shù)據(jù)的位置。即使對于虛擬化和災(zāi)難恢復(fù)，你也可以想辦法來確定信息資源所在的物理位置。根據(jù)其定義，這并不符合公共云的情況，這便是我們所談到的第一個云合規(guī)性問題。

在云中，我們并不期望供應(yīng)商方能夠提供信息實際位置的相關(guān)信息。但這并不是說供應(yīng)商不能這么做，然而市場并未要求他們提供該項服務(wù)。同時，說句公道話，要求了解數(shù)據(jù)位置的需求與云計算的本質(zhì)目的是相矛盾的。

那么，你可以做什么？確保你的供應(yīng)商也愿意與你合作，提供并檢測你可能遇到的數(shù)據(jù)位置限制。

誰將訪問系統(tǒng)、訪問系統(tǒng)的哪些信息以及為什么訪問系統(tǒng)？

公共云中第二個合規(guī)性問題如下因素相關(guān)：

* 誰能夠訪問你的信息存儲系統(tǒng)？

* 他們可以訪問哪些信息？

* 服務(wù)是否合適(也就是說為什么要提供這種服務(wù))？

關(guān)于訪問權(quán)限問題，除了你所控制的一方，供應(yīng)商工作人員也可以訪問系統(tǒng)。在供應(yīng)商方，我們所關(guān)注的主要人員是系統(tǒng)管理員和應(yīng)用管理員。我們需要了解系統(tǒng)管理員和應(yīng)用管理員是的身份。當考慮他們能夠訪問什么信息時，我們主要關(guān)注供應(yīng)商訪問我們底層信息存儲基礎(chǔ)設(shè)施或應(yīng)用的能力。了解他們是通過管理程序(如基礎(chǔ)設(shè)施即服務(wù)，IaaS)還是在應(yīng)用層(如平臺即服務(wù)，PaaS)訪問？

最后的一個問題是他們“為什么”需要訪問系統(tǒng)？這也是Security 101所規(guī)定的：必須基于工作角色來確定訪問權(quán)限，必須對訪問等級提供明確的說明。

事實上，這也是一個共享主機設(shè)備中出現(xiàn)的問題。其主要區(qū)別在于許多云供應(yīng)商并不能滿足眾多合規(guī)性文件中規(guī)定的要求，而共享主機設(shè)備已足夠成熟具備該能力。

那么，你需要做的就是確保合作供應(yīng)商能夠并愿意證明他們提供的管理功能能夠?qū)崿F(xiàn)職責分離，而且他們有能力“證明”誰有機會訪問系統(tǒng)和信息，并提供訪問的時間信息。請注意，還有最后一個要求，你需要部署健全的、與最新安全等級相關(guān)的日志解決方案。

作為附帶說明，我認為整個行業(yè)需要對公共云供應(yīng)商進行認證，而那些認證對于用戶合規(guī)性而言是可以接受的。

總結(jié)

大部分合規(guī)性要求是為了對有機會訪問資產(chǎn)的人員、他們所訪的問等級以及那些等級的維護進行適當?shù)目刂�。通常的方法是對我們的進程進行審核。公共云環(huán)境的相對不成熟性將使得審核過程變得非常困難，有時甚至是不可能實現(xiàn)。改變這一狀況要從以下兩方面入手：

* 公共云產(chǎn)品必須成熟，更加遵守標準。

* 公共云供應(yīng)商必須與用戶簽署相關(guān)合同協(xié)議，這有助于客戶滿足云合規(guī)性的需求。

(責任編輯：admin)

“掃一掃”關(guān)注融合網(wǎng)微信號

免責聲明：我方僅為合法的第三方企業(yè)注冊用戶所發(fā)布的內(nèi)容提供存儲空間，融合網(wǎng)不對其發(fā)布的內(nèi)容提供任何形式的保證：不保證內(nèi)容滿足您的要求，不保證融合網(wǎng)的服務(wù)不會中斷。因網(wǎng)絡(luò)狀況、通訊線路、第三方網(wǎng)站或管理部門的要求等任何原因而導致您不能正常使用融合網(wǎng)，融合網(wǎng)不承擔任何法律責任。

第三方企業(yè)注冊用戶在融合網(wǎng)發(fā)布的內(nèi)容（包含但不限于融合網(wǎng)目前各產(chǎn)品功能里的內(nèi)容）僅表明其第三方企業(yè)注冊用戶的立場和觀點，并不代表融合網(wǎng)的立場或觀點。相關(guān)各方及作者發(fā)布此信息的目的在于傳播、分享更多信息，并不代表本網(wǎng)站的觀點和立場，更與本站立場無關(guān)。相關(guān)各方及作者在我方平臺上發(fā)表、發(fā)布的所有資料、言論等僅代表其作者個人觀點，與本網(wǎng)站立場無關(guān)，不對您構(gòu)成任何投資、交易等方面的建議。用戶應(yīng)基于自己的獨立判斷，自行決定并承擔相應(yīng)風險。

根據(jù)相關(guān)協(xié)議內(nèi)容，第三方企業(yè)注冊用戶已知悉自身作為內(nèi)容的發(fā)布者，需自行對所發(fā)表內(nèi)容（如，字體、圖片、文章內(nèi)容等）負責，因所發(fā)表內(nèi)容（如，字體、圖片、文章內(nèi)容等）等所引發(fā)的一切糾紛均由該內(nèi)容的發(fā)布者（即，第三方企業(yè)注冊用戶）承擔全部法律及連帶責任。融合網(wǎng)不承擔任何法律及連帶責任。

第三方企業(yè)注冊用戶在融合網(wǎng)相關(guān)欄目上所發(fā)布的涉嫌侵犯他人知識產(chǎn)權(quán)或其他合法權(quán)益的內(nèi)容（如，字體、圖片、文章內(nèi)容等），經(jīng)相關(guān)版權(quán)方、權(quán)利方等提供初步證據(jù)，融合網(wǎng)有權(quán)先行予以刪除，并保留移交司法機關(guān)查處的權(quán)利。參照相應(yīng)司法機關(guān)的查處結(jié)果，融合網(wǎng)對于第三方企業(yè)用戶所發(fā)布內(nèi)容的處置具有最終決定權(quán)。

個人或單位如認為第三方企業(yè)注冊用戶在融合網(wǎng)上發(fā)布的內(nèi)容（如，字體、圖片、文章內(nèi)容等）存在侵犯自身合法權(quán)益的，應(yīng)準備好具有法律效應(yīng)的證明材料，及時與融合網(wǎng)取得聯(lián)系，以便融合網(wǎng)及時協(xié)調(diào)第三方企業(yè)注冊用戶并迅速做出相應(yīng)處理工作。

融合網(wǎng)聯(lián)系方式：（一）、電話：（010）57722280；（二）、電子郵箱：2029555353@qq.com dwrh@dwrh.net

對免責聲明的解釋、修改及更新權(quán)均屬于融合網(wǎng)所有。