大家當(dāng)然有能力確保自己的云方案遵循PCI DSS、HIPAA以及其它監(jiān)管要求的合規(guī)條款，但仍需要憑借著大量調(diào)查與不懈努力獲得證明合規(guī)性水平的必要解答及文件。

盡管眾多企業(yè)都在內(nèi)部私有云領(lǐng)域部署有高水平控制及定制方案，但在公有或者混合云環(huán)境下使用服務(wù)項(xiàng)目仍然帶來相當(dāng)嚴(yán)峻的合規(guī)性挑戰(zhàn)。當(dāng)然，云服務(wù)供應(yīng)商們已經(jīng)從幫助客戶實(shí)現(xiàn)合規(guī)性當(dāng)中發(fā)現(xiàn)了確切收益，而整個(gè)流程也處于不斷改進(jìn)當(dāng)中。然而，如果大家正在考慮將數(shù)據(jù)遷移至云環(huán)境下——而這部分?jǐn)?shù)據(jù)又必須符合合規(guī)監(jiān)管要求——那么各位面前仍有很長的道路要走。

[[130560]]

要讓我合規(guī)，你要首先實(shí)現(xiàn)合規(guī)

截至目前，云服務(wù)供應(yīng)商一直將主要精力放在為數(shù)據(jù)存儲(chǔ)與云服務(wù)提供安全配置層面。換言之，云客戶需要承擔(dān)起遵循監(jiān)管要求或者確保云服務(wù)供應(yīng)商滿足數(shù)據(jù)保護(hù)之相關(guān)合規(guī)條款。

好消息是，情況已經(jīng)開始出現(xiàn)轉(zhuǎn)機(jī)。除了一部分公有云供應(yīng)商開始以積極態(tài)勢幫助客戶滿足合規(guī)性要求之外，各監(jiān)管機(jī)構(gòu)及標(biāo)準(zhǔn)制定組織也開始意識(shí)到云服務(wù)的實(shí)際價(jià)值與普及水平。新的指導(dǎo)方針與合規(guī)性內(nèi)容調(diào)整已經(jīng)開始為云服務(wù)的安全使用提供理論基礎(chǔ)。

舉例來說，健康保險(xiǎn)流通與責(zé)任法案(簡稱HIPAA)于2013年開始將云服務(wù)供應(yīng)商納入相關(guān)運(yùn)營主體，這意味著云服務(wù)供應(yīng)商也必須符合HIPAA之要求。PCI安全標(biāo)準(zhǔn)協(xié)會(huì)，即支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(簡稱PCI DSS)與支付應(yīng)用數(shù)據(jù)安全標(biāo)準(zhǔn)背后之支持機(jī)構(gòu)最近也發(fā)布了一份細(xì)則文件，開始將云服務(wù)納入PCI背景當(dāng)中。

在對云服務(wù)供應(yīng)商進(jìn)行考核時(shí)，首先應(yīng)尋求一套基于標(biāo)準(zhǔn)之云環(huán)境以及一套能夠滿足我們所需遵守之各監(jiān)管政策與規(guī)程的安全方案。大家還要確保已經(jīng)認(rèn)真查閱合同及服務(wù)水平協(xié)議內(nèi)的語言表述，考量對象供應(yīng)商是否滿足云合規(guī)性要求。在理想情況下，云服務(wù)供應(yīng)商應(yīng)當(dāng)有能力證明其滿足合規(guī)性要求或標(biāo)準(zhǔn)，并能夠且愿意通過審計(jì)驗(yàn)證這一能力。

提示：大家的云服務(wù)供應(yīng)商應(yīng)當(dāng)擁有安全專業(yè)人員，并由其負(fù)責(zé)確保該云服務(wù)供應(yīng)商解決方案與PCI DSS、HIPAA以及其它監(jiān)管要求相匹配。

數(shù)據(jù)中心到底身在何處?

在云環(huán)境的合規(guī)性保障工作中，其主要障礙之一在于了解自己的數(shù)據(jù)被保存在何處。在審計(jì)期間，大家需要提供數(shù)據(jù)的實(shí)際所處位置，并說明采取何種措施為其提供保護(hù)。

[[130561]]

我們必須要求云服務(wù)供應(yīng)商通過說明文件解答其服務(wù)器的所在位置，對美國客戶來說設(shè)施應(yīng)當(dāng)處于美國本土，且遵循各類監(jiān)管及標(biāo)準(zhǔn)要求。如果某家云服務(wù)供應(yīng)商不愿透露此類信息，請大家不要猶豫、馬上將目光投向別處。即使監(jiān)管不要求服務(wù)器設(shè)備位于美國境內(nèi)，大家也必須清醒地意識(shí)到，位于國外的服務(wù)器可能受到外國政府的法律制約并引發(fā)潛在之隱私問題。

作為PCI DSS合規(guī)性要求的組成部分，一部分云服務(wù)供應(yīng)商還提供令牌機(jī)制，旨在利用隨機(jī)數(shù)字或者信令取代傳統(tǒng)信用卡數(shù)據(jù)。令牌由PCI兼容性支付處理器負(fù)責(zé)處理，只有非PCI數(shù)據(jù)由云服務(wù)供應(yīng)商負(fù)責(zé)打理。

#p#

訪問控制是關(guān)鍵

在IT合規(guī)性監(jiān)管工作當(dāng)中，最大的難題主要源自確保為系統(tǒng)及數(shù)據(jù)訪問流程提供合適的控制手段。在審計(jì)過程中，一家企業(yè)必須證明自身有能力為每一位用戶提供訪問級(jí)別控制，并展示其如何對這些級(jí)別進(jìn)行維護(hù)。因此對云服務(wù)供應(yīng)商而言，最重要的一點(diǎn)就是部署訪問控制機(jī)制并保證其得到妥善實(shí)現(xiàn)。

詢問這些準(zhǔn)云服務(wù)供應(yīng)商，了解他們是否愿意并有能力證明其對管理功能的職責(zé)劃分實(shí)現(xiàn)手段，并能通過文件說明哪些用戶訪問過某套系統(tǒng)以及每用戶能在哪個(gè)時(shí)間段訪問哪些數(shù)據(jù)。此類信息對于滿足多種不同監(jiān)管要求意義重大，其中包括金融服務(wù)現(xiàn)代化法案(簡稱GLBA)——此法案要求金融機(jī)構(gòu)保障客戶非公開個(gè)人信息之開發(fā)性與保密性。

[[130562]]

對閑置及使用中的數(shù)據(jù)進(jìn)行加密

云服務(wù)供應(yīng)商需要解決的另一個(gè)安全性難題源自多租戶環(huán)境。為了保持低廉的運(yùn)營成本，多數(shù)云服務(wù)供應(yīng)商采用多租戶架構(gòu)，其中多家客戶共同享有同一套軟件應(yīng)用虛擬實(shí)例。在這類架構(gòu)當(dāng)中，云服務(wù)供應(yīng)商必須有能力證明其安全措施足以避免某一客戶訪問到其它客戶之業(yè)務(wù)數(shù)據(jù)。不過，任何保存在或者經(jīng)由云服務(wù)之?dāng)?shù)據(jù)都應(yīng)當(dāng)?shù)玫郊用?，從而滿足大多數(shù)合規(guī)條款的實(shí)際要求。

如果云服務(wù)供應(yīng)商采取了加密機(jī)制，請弄清楚他們具體使用哪種加密技術(shù)以及如何與何時(shí)加以運(yùn)用。千萬不要先入為主地認(rèn)為云服務(wù)供應(yīng)商擁有對數(shù)據(jù)進(jìn)行加密的全部責(zé)任。我們自己才應(yīng)該對使用中以及處于閑置狀態(tài)下的數(shù)據(jù)進(jìn)行保護(hù)。云服務(wù)供應(yīng)商僅僅需要為了幫助大家滿足這些要求而提供相關(guān)服務(wù)。一部分企業(yè)將數(shù)據(jù)保存在自己的內(nèi)部數(shù)據(jù)中心中，并利用云實(shí)現(xiàn)額外的存儲(chǔ)或處理任務(wù)。在這種情況下，大家最好能夠在數(shù)據(jù)進(jìn)入傳輸流程之前先一步對其進(jìn)行加密。

注意：根據(jù)HIPAA之要求，保存在磁盤驅(qū)動(dòng)器(包括歸屬于云服務(wù)供應(yīng)商之磁盤驅(qū)動(dòng)器)上的數(shù)據(jù)必須受到加密，此外還需要匹配備份副本，且每一塊驅(qū)動(dòng)器都必須始終被計(jì)算在內(nèi)。

讓云服務(wù)供應(yīng)商成為你的合作伙伴

云服務(wù)業(yè)界充斥著激烈的市場競爭。目前按實(shí)際使用量計(jì)費(fèi)已經(jīng)使得云服務(wù)成本相當(dāng)?shù)土?，而云服?wù)供應(yīng)商需要進(jìn)一步提升自身功能以吸引到客戶關(guān)注并拿下合作訂單。其中一種方式就是與大家的企業(yè)建立合作伙伴關(guān)系，并成為IT部門的一種擴(kuò)展與延伸。在這種情況下，大家值得多花點(diǎn)時(shí)間了解云服務(wù)供應(yīng)商的安全規(guī)程、應(yīng)急響應(yīng)以及災(zāi)難恢復(fù)機(jī)制、如何解決問題外加如何處理日志文件等等。

[[130563]]

更進(jìn)一步

應(yīng)用程序設(shè)計(jì)、監(jiān)控、應(yīng)急響應(yīng)以及災(zāi)難恢復(fù)都是重要的考量因素。大家需要確保自己的準(zhǔn)云服務(wù)供應(yīng)商有能力且有意愿解決上述難題。即使已經(jīng)盡職盡責(zé)做好前期調(diào)查工作，監(jiān)管政策本身也會(huì)隨時(shí)間而發(fā)生改變，這使得我們必須不斷重新審視自己的IT基礎(chǔ)設(shè)施與未來發(fā)展規(guī)劃。請確保自己的安全團(tuán)隊(duì)參與到任何政策或規(guī)程的修訂工作當(dāng)中，預(yù)祝各位在云發(fā)展旅程中一路高歌猛進(jìn)!

原文標(biāo)題：Your guide to compliance in the cloud