云計(jì)算與傳統(tǒng)應(yīng)用模式相比有著突出的優(yōu)勢(shì)。但是，云計(jì)算還有一些破壞性的價(jià)值。尤其是具有長(zhǎng)期破壞能力的“公有云”。這正如云在經(jīng)濟(jì)上的幫助非常引人矚目，因此，圍繞它的安全和法律相關(guān)問(wèn)題也將會(huì)得到最終的解決。

但是，最近我們注意到，已經(jīng)出現(xiàn)了一些有趣的法律糾紛，集中在公有云上的私有信息保護(hù)上。最新的一份來(lái)自Gartner的分析師AndrewWalls的研究報(bào)告指出，企業(yè)會(huì)非常簡(jiǎn)單的認(rèn)定，能夠自主管理的IT環(huán)境要比公有云環(huán)境安全多了。

“當(dāng)你建立起私有云并且開(kāi)始思考，‘這就是我們舊數(shù)據(jù)中心的標(biāo)準(zhǔn)，我們現(xiàn)在只不過(guò)是改變了標(biāo)準(zhǔn)的操作方式，我們所做的并沒(méi)有什么實(shí)質(zhì)上的真正改變’，這是一個(gè)很大的問(wèn)題，也正因此，數(shù)據(jù)中心的經(jīng)理常常會(huì)在安全節(jié)目上表態(tài)，虛擬化將會(huì)造成什么樣的實(shí)際影響。”

“他們認(rèn)為這樣會(huì)導(dǎo)致一些些的風(fēng)險(xiǎn)，因此不會(huì)去采用它。但是我從一個(gè)數(shù)據(jù)安全組織成員的豐富經(jīng)驗(yàn)來(lái)看，公有云中的管理員遍布世界各地，在公有云中的數(shù)據(jù)犯罪案件并不會(huì)比在企業(yè)封閉的IT環(huán)境中高很多。”

實(shí)際上，無(wú)論是從技術(shù)上還是企業(yè)組織的實(shí)際情況，有一個(gè)因素，對(duì)于企業(yè)和云服務(wù)商而言，都能增加安全風(fēng)險(xiǎn)的控制，這就是法律。如果忽視這個(gè)就意味著企業(yè)不能完整的評(píng)價(jià)IT環(huán)境的安全性。

有些法律影響著數(shù)據(jù)的管理和控制

這里有兩個(gè)主要的“威脅”和法律以及云有關(guān)。首先是要明確法律用戶，如何規(guī)定在數(shù)據(jù)存儲(chǔ)上的安全問(wèn)題和處罰措施，歐盟的數(shù)據(jù)隱私保護(hù)法可以作為一個(gè)參考。英國(guó)在1998年制定的數(shù)據(jù)保護(hù)法略有不同，而美國(guó)現(xiàn)行的出口管制法律則非常有意思，似乎可以作為一個(gè)參考標(biāo)準(zhǔn)。

“風(fēng)險(xiǎn)”是云服務(wù)供應(yīng)商無(wú)法保證用戶留在云端的數(shù)據(jù)已經(jīng)他們?cè)跀?shù)據(jù)的傳輸過(guò)程中不會(huì)違法這些法律之一。在IaaS模式下，用戶通常在這方面具有很大的 責(zé)任，但在PaaS和SaaS的環(huán)境中，用戶對(duì)于大部分?jǐn)?shù)據(jù)，并不清楚它們的處理過(guò)程和存放的位置。歸根結(jié)底，用戶的數(shù)據(jù)是在法律約數(shù)的范圍之外進(jìn)行使用 的，這就很大程度上導(dǎo)致了用戶對(duì)于數(shù)據(jù)的不可控，在公有云中，這樣的風(fēng)險(xiǎn)還會(huì)繼續(xù)增加。

云計(jì)算缺乏判斷

第二類(lèi)是風(fēng)險(xiǎn)法律面對(duì)云計(jì)算而設(shè)立，但是，未來(lái)在全國(guó)范圍內(nèi)會(huì)有更多更邪惡的安全威脅，諸如如何對(duì)待云、云服務(wù)的供需雙方都有什么權(quán)力以及用戶如何確保數(shù)據(jù)和知識(shí)產(chǎn)權(quán)的完整性等等問(wèn)題都尚未解決。

這里我們涉及到了美國(guó)憲法第四修正法案里關(guān)于禁止非法搜查的問(wèn)題，在云計(jì)算上的安全問(wèn)題我們可以參考下EMI和MP3tunes.com之間的官司糾紛。

三年前，百代唱片起訴它的創(chuàng)始人和CEOMichaelRobertson，稱(chēng)其在互聯(lián)網(wǎng)上故意侵犯版權(quán)，百代唱片表示，MP3tunes.com和它們的姐妹網(wǎng)站Sideload.com(一個(gè)數(shù)字媒體搜索引擎)在設(shè)計(jì)上有誤導(dǎo)消費(fèi)者侵犯版權(quán)的嫌疑。

Robertson辯護(hù)稱(chēng)，網(wǎng)站僅僅為最終用戶提供了存儲(chǔ)功能，根據(jù)之前的千年版數(shù)字安全版權(quán)保護(hù)條例，只要用戶刪除了包含有侵權(quán)的內(nèi)容，就可以免于被起訴。

在這個(gè)案例中，云存儲(chǔ)服務(wù)商找到了一個(gè)讓他們免于刑責(zé)的方法，就是及時(shí)刪除侵權(quán)數(shù)據(jù)。即使我們能夠確認(rèn)是MP3tunes的發(fā)現(xiàn)并且推動(dòng)了侵權(quán)活動(dòng)的 進(jìn)行，但是我們沒(méi)有法律去證實(shí)這一點(diǎn)。發(fā)現(xiàn)問(wèn)題沒(méi)有，這里就出現(xiàn)了一個(gè)危機(jī)，云存儲(chǔ)服務(wù)商可能因?yàn)橐?guī)避法律問(wèn)題而私自處理你的數(shù)據(jù)!

而另一方面的危機(jī)來(lái)自于物理設(shè)備所有權(quán)的控制，你的數(shù)據(jù)可能會(huì)遭受到。想象一下，你的云服務(wù)供應(yīng)商被發(fā)現(xiàn)違反了聯(lián)邦法律中涉及的內(nèi)容，F(xiàn)BI決定扣押他們的服務(wù)器和磁盤(pán)上的內(nèi)容以進(jìn)行進(jìn)一步的調(diào)查，這時(shí)候，你的數(shù)據(jù)……

在這個(gè)假設(shè)的情況下，你有可能得到你的數(shù)據(jù)備份嗎?你有什么權(quán)利?根據(jù)2009年德州托管商案件，其中200名被檢系統(tǒng)——其中絕大多數(shù)屬于供應(yīng)商的客戶，而不是被調(diào)查供應(yīng)商——得到的數(shù)據(jù)將會(huì)很少，補(bǔ)償就不要想了。

沒(méi)有單一的“更好的方案”云

我不想在這里夸大云計(jì)算的風(fēng)險(xiǎn)。我們已經(jīng)在和托管、外包打交道很久了，這其中鮮有法律方面的“災(zāi)難性”問(wèn)題。供應(yīng)商一般都會(huì)意識(shí)到這些問(wèn)題，并提供架構(gòu)或功能，以幫助符合法律要求。從長(zhǎng)遠(yuǎn)來(lái)看，這些問(wèn)題會(huì)自我解救出來(lái)，在公有云環(huán)境將日益普及之前就得到解決。

然而，這里要明確指出的是，宣傳幣公有云“更安全”的私有云似乎只是炒作，這個(gè)論調(diào)無(wú)視了我們新生的云計(jì)算市場(chǎng)脆弱性這個(gè)關(guān)鍵的現(xiàn)實(shí)。直到市場(chǎng)的成 熟，“更好的安全性”的問(wèn)題才是我們應(yīng)該考慮的，并且在風(fēng)險(xiǎn)前部署解決方案?？紤]到這一點(diǎn)而言，公共和私有云都有自己的弱點(diǎn)和長(zhǎng)處——這可能從公司到公 司，甚至不同的應(yīng)用程序都各具優(yōu)劣。

這就是說(shuō)，Walls作出關(guān)鍵的說(shuō)明，和筆者的觀點(diǎn)一致。僅僅因?yàn)橐粋€(gè)私有云是在防火墻后面，并不意味著你的安全工作可以做的更少了，或者說(shuō)更容易的 確保私有云環(huán)境的安全。擁有一個(gè)數(shù)據(jù)中心并不會(huì)讓你比任何一個(gè)公共云提供商自動(dòng)“更安全”，企業(yè)想要獲得更好的安全還是要靠自己。

云計(jì)算雖然給互聯(lián)網(wǎng)帶來(lái)了一次變革，但是，它的確定我們也必須清晰地認(rèn)識(shí)到，這樣才能提高網(wǎng)絡(luò)安全服務(wù)的效率。

【編輯推薦】

1. Web云安全技術(shù)應(yīng)用
2. 當(dāng)內(nèi)網(wǎng)安全遇上云安全
3. 部署云安全如何提升企業(yè)網(wǎng)絡(luò)安全性