Gartner最近的一項(xiàng)研究預(yù)測(cè)了所有云領(lǐng)域的業(yè)務(wù)都將持續(xù)在兩位數(shù)的增長(zhǎng)當(dāng)中。

但將關(guān)鍵功能外包給第三方還請(qǐng)用戶們重點(diǎn)關(guān)注一下安全問(wèn)題。當(dāng)企業(yè)將IT業(yè)務(wù)運(yùn)行在內(nèi)部時(shí)，則可以進(jìn)行安全協(xié)議的定義與控制。但當(dāng)依靠云服務(wù)供應(yīng)商時(shí)，你又怎么能了解到安全協(xié)議存在哪里?并且它們是怎樣執(zhí)行的呢?

為了解決這些問(wèn)題，云產(chǎn)業(yè)本身也在不斷演變與調(diào)整其架構(gòu)。通過(guò)定義云的安全標(biāo)準(zhǔn)則是最佳的解決方法——在其行業(yè)范圍內(nèi)提供一個(gè)統(tǒng)一的標(biāo)準(zhǔn)，使其成為云服務(wù)供應(yīng)商公認(rèn)的認(rèn)證標(biāo)準(zhǔn)。通過(guò)貫徹與廣泛采用這類(lèi)標(biāo)準(zhǔn)，潛在的云客戶將使用評(píng)估工具對(duì)云服務(wù)提供商進(jìn)行安全評(píng)估。

但是，很多業(yè)內(nèi)的云服務(wù)提供商還未采用統(tǒng)一的標(biāo)準(zhǔn)。他們采納了自己所認(rèn)可的準(zhǔn)則，現(xiàn)有的各種協(xié)議則致使了迷惑性引導(dǎo)的產(chǎn)生。

云安全聯(lián)盟

規(guī)模最大且參與者眾多的安全標(biāo)準(zhǔn)機(jī)構(gòu)是CSA或稱(chēng)作云安全聯(lián)盟(Cloud Security Alliance)。其中包括亞馬遜網(wǎng)絡(luò)服務(wù)公司、微軟、甲骨文、紅帽、RackSpace和Salesforce公司等(還包括幾十個(gè)企業(yè))，最有前景的云服務(wù)企業(yè)都支持CSA。

CSA已經(jīng)開(kāi)發(fā)出一個(gè)合規(guī)標(biāo)準(zhǔn)，被稱(chēng)作為CCM或云控制矩陣(Cloud Control Matrix)。該標(biāo)準(zhǔn)被整理到Excel電子表格當(dāng)中，CCM涉獵十多個(gè)云基礎(chǔ)設(shè)施領(lǐng)域，包括風(fēng)險(xiǎn)管理和安全信息等。CCM已超越了其本身安全問(wèn)題的范疇，當(dāng)中還包含了政府、法律法規(guī)和硬件架構(gòu)等合規(guī)解決措施。

CCM闡述了數(shù)百條標(biāo)準(zhǔn)。例如，從類(lèi)別“設(shè)施安全-安全區(qū)域授權(quán)”當(dāng)中，你可以找到如下控制規(guī)范：安全區(qū)域的入口和出口應(yīng)受到限制，并監(jiān)視物理訪問(wèn)控制機(jī)制以確保只有經(jīng)過(guò)授權(quán)的人員才可以進(jìn)入。

顯然，該標(biāo)準(zhǔn)講的是云服務(wù)供應(yīng)商設(shè)施的物理安全問(wèn)題。但標(biāo)準(zhǔn)并不完全支配其實(shí)施的行動(dòng)。

針對(duì)客戶對(duì)云服務(wù)供應(yīng)商的評(píng)估，如果該廠商可以向你保證一個(gè)審計(jì)標(biāo)準(zhǔn)，并在提供符合(在本例中)CCM V1.3控制規(guī)范FS-04的情況下，這將遠(yuǎn)遠(yuǎn)優(yōu)于一無(wú)所知或是簡(jiǎn)單地聽(tīng)取供應(yīng)商一面之詞的境況。

NIST、IEEE和ENISA

這些標(biāo)準(zhǔn)機(jī)構(gòu)向全世界分享了一個(gè)有愛(ài)的名字，它們讀起來(lái)似乎是一輪拼字游戲。他們也正在開(kāi)發(fā)自己的準(zhǔn)則，其中也覆蓋到了云服務(wù)安全性的問(wèn)題。

NIST，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所，該機(jī)構(gòu)在去年公布了其公共云計(jì)算安全和隱私準(zhǔn)則。不同于CSA的CCM標(biāo)準(zhǔn)，NIST的指導(dǎo)方針則是針對(duì)云客戶及其相關(guān)細(xì)節(jié)的——對(duì)于潛在的云服務(wù)提供商，客戶應(yīng)考慮提出哪些咨詢(xún)問(wèn)題。

IEEE，電氣和電子工程師協(xié)會(huì)，已著手開(kāi)發(fā)自己的云安全標(biāo)準(zhǔn)。并稱(chēng)其為P2301項(xiàng)目-云可移植性和互操作性指南-IEEE的標(biāo)準(zhǔn)定義主要集中在云供應(yīng)商之間的互操作性上。

雖然安全只是互操作標(biāo)準(zhǔn)的一個(gè)方面，但云客戶互操作本身就是一個(gè)關(guān)鍵，以避免對(duì)云服務(wù)供應(yīng)商產(chǎn)生潛在的依賴(lài)。若沒(méi)有這些標(biāo)準(zhǔn)，因此則很容易在云服務(wù)供應(yīng)商之間產(chǎn)生數(shù)據(jù)的移動(dòng)和流程的更改?？蛻魧⒛軌蛞源丝ㄗ」?yīng)商，這也將成為一個(gè)關(guān)于安全的法律責(zé)任標(biāo)準(zhǔn)。

為了不被冷落，歐洲網(wǎng)絡(luò)與信息安全局或稱(chēng)作ENISA也已頒布了其速成的安全標(biāo)準(zhǔn)：云合同安全服務(wù)水平監(jiān)測(cè)指南。該指南面向公共云客戶，ENISA將引導(dǎo)用戶向云供應(yīng)商提出細(xì)節(jié)性問(wèn)題，以確保云供應(yīng)商能夠嚴(yán)格遵守安全協(xié)議。

謹(jǐn)防SAS 70

在這個(gè)云服務(wù)快速發(fā)展的世界中，這個(gè)SAS 70標(biāo)準(zhǔn)的光芒正在逐漸消退，該標(biāo)準(zhǔn)是美國(guó)會(huì)計(jì)師協(xié)會(huì)審計(jì)準(zhǔn)則委員會(huì)所頒布的審計(jì)標(biāo)準(zhǔn)的一部分。雖然它最初的設(shè)計(jì)是用來(lái)監(jiān)督企業(yè)遵守財(cái)務(wù)報(bào)告規(guī)則的，但一些云服務(wù)供應(yīng)商依然使用SAS 70來(lái)作為一個(gè)所謂的安全協(xié)議認(rèn)證。

包括Gartner在內(nèi)的一些批評(píng)家說(shuō)，在為客戶提供有用的安全保障下，SAS 70具備明顯的不足。有人認(rèn)為該審計(jì)標(biāo)準(zhǔn)已與云服務(wù)安全性原意相去甚遠(yuǎn)，根本無(wú)法滿足現(xiàn)代威脅評(píng)估的需求。此外，SAS 70已被批評(píng)為是一種瞬時(shí)標(biāo)準(zhǔn)，它基本上是無(wú)法反應(yīng)服務(wù)供應(yīng)商持續(xù)表現(xiàn)的。

高調(diào)的云服務(wù)，類(lèi)似亞馬遜遇到的一些“挫折”，雖然其技術(shù)遵從SAS 70準(zhǔn)則，但它仍對(duì)審核標(biāo)準(zhǔn)蒙上了污點(diǎn)。因此，現(xiàn)如今當(dāng)客戶評(píng)估云服務(wù)提供商時(shí)，都被警告不要把太多的重點(diǎn)放在SAS 70認(rèn)證上。Gartner建議用自我評(píng)估和協(xié)商過(guò)的審計(jì)程序來(lái)完善補(bǔ)充SAS 70標(biāo)準(zhǔn)。