您的位置: 网界网 > 安全 > 正文

确保云中的数据安全

2015年07月01日 19:56:06 | 作者:e-works | 来源:Zdnet至顶网 | 查看本文手机版

摘要:云计算的早期采用者已经在引吭高歌,对云计算提供的弹性、可扩展性以及灵活性赞不绝口,这最终引起了企业的注意。但随着公有云变得越来越成熟,有关隐私以及数据主权的关注正在阻碍拥有国际用户的组织部署云服务。

标签
云安全
数据安全
云服务

云计算[注]的早期采用者已经在引吭高歌,对云计算提供的弹性、可扩展性以及灵活性赞不绝口,这最终引起了企业的注意。但随着公有云[注]变得越来越成熟,有关隐私以及数据主权的关注正在阻碍拥有国际用户的组织部署云服务

云服务商喜欢将云描述为超越物理位置以及政治管辖权限制的无限资源,但事实并非如此。因为你的数据在云中并不意味着其不受当地法律的监管。而且,去年有关美国政府监视范围的启示已经给很多组织使用公有服务的意愿蒙上了一层阴影,尤其是由美国公司所提供的公有云服务。

对于拥有欧洲用户的组织来说,问题尤为严重,因为欧洲拥有严格的数据隐私规则。Clarify360公司是一家云以及数据中心外包咨询公司,该公司融 合云与数据中心业务副总裁Jo Peterson说云计算绝不会受这些限制。如果公司的顾客受特定规则的支配,那么其所在的公司应该也不例外。

云技术合作伙伴公司(CTP)是一家总部位于波士顿的云咨询公司,该公司的高级副总裁John Treadway说:“这将导致很多无故抱怨、耗时的严格评估以及不理想的解决方案,对使用云的用户来说这一切都将转换为更高的使用成本。事情会慢到要去 律师事务所咨询的地步。现在使用云的用户正在支付额外的费用来处理这些问题。”

现在是11点,你知道你的数据在哪儿吗?

使用云服务供应商的远程数据中心具有巨大的激励作用。对于有用户远离大本营的组织来说,使用其他基础设施获得数据的机会可能有助于组织减少大量的资本支出。

Peterson说:组织考虑进入特定区域时,要考虑的第一件事就是给定数据中心的技术特性,比如延迟、连通性、数据共享以及应用相关性以及可移动性。

但即使远程托管工作负载在技术上是可行的,仍旧要考虑合规性。

Peterson说“用户往往受困于合规性。无论企业是否决定进入特定的市场,最终数据主权规则往往是决定性因素。”

Peterson说:“企业会问‘我们是否想服务于这一市场?收入足以抵消额外的成本吗?如果答案是肯定的,那么我们必须按照游戏规则办事。’”

实际上,不同国家对本国公民的个人数据应该保存在哪儿以及如何被管理的看法有很大的不同。不同国家有关数据应该如何保存、迁移以及保护的法律同样有很大不同。数据主权规则有时被称之为“避风港”,在不同国家间的差异很大,实际上甚至在不同省以及州之间都有差异。

Carbon60 Networks是一家主机托管供应商,该公司的CIO[注] Kelly Beardmore说,加拿大不列颠哥伦比亚省针对公有以及私有组织的法律有明显的区别。公共部门的数据不能离开本省,但其他省并未如此严格。

CTP公司的Treadway说尽管没人关注,但美国马萨诸塞州的法律也有类似的规定,禁止本区域的数据离开本州。

最典型同时可能是最有效的避风港法律在德国。作为欧盟的成员国,从理论上讲德国应该遵守EU Directive 94/46/EC,也就是数据保护指令,禁止将隐私以及数据转移到成员国范围之外。

实际上,德国的规定超过了EU法律的要求,规定即使是出于维护以及灾难恢复的目的,德国的数据必须保留在本国。

这使得与欧洲最大的经济体德国做生意的组织陷入了困境。他们应该将所有的数据保留在本地还是应该将德国的数据保留在德国,同时使用其他数据中心保留剩下的数据?

与此同时,全世界各地的云供应商都在部署数据中心资源。例如AWS在全世界已经拥有7个地区以及26个可选区域服务全球用户。IBM SoftLayer现在有13个数据中心,只有两个位于美国以外——一个在荷兰阿姆斯特丹,一个在新加坡。IBM SoftLayer产品创新副总裁Mark Jones说公司计划投资12亿美元将数据中心的总数增加到40个,初步考虑的城市包括香港、伦敦、多伦伦、墨西哥、法兰克福以及巴黎。

针对诸如加拿大以及澳大利亚等国家避免个人数据离开本国边界的要求,IBM计划构建多个数据中心,这样用户就能够在IBM SoftLayer 云中迁移数据,维护或者进行灾难恢复时数据仍旧在本国的边界以内,不用担心与数据主权法律发生冲突。

没消息就是坏消息

不仅仅是合理确定数据的位置,同样要确保数据不会被移动,即使是进行维护活动时也要满足该要求。早期的云采用者认为这些保证措施并非总是很到位。

总部位于美国的人员配置供应商最近承担了一个项目,将全球16个CRM软件实例整合到Salesforce.com,另外在AWS上运行定制代码。负责该项目的IT主管[注]说让Salesforce符合避风港规程的要求简直是小菜一碟,但这对AWS来说却是个灾难。

有一家禁止员工公开发表言论的公司,该公司的IT主管说“AWS对谈论避风港、安全、国际数据以及你想在哪儿保存数据根本不感兴趣。”

从之前的多次会议以及邮件沟通情况来看,AWS对该话题并不感兴趣。该IT主管回忆说“看来AWS针对数据主权并没有做任何事,每个合规性问题都是一个独特的事件。”

该公司并未决定放弃使用AWS(+本站微信networkworldweixin),而是决定解决该问题并将所有数据加密保存在美国,法律顾问认为这样做应该能够满足国际用户对合规性的要求。

尽管这看起来像是一个优雅的解决方案,被网络安全专家所认同,但对IT来说同样是个负担。为避免承担责任,AWS拒绝管理该顾客的加密密钥,有时亚马逊的其他服务比如RDS也会采取同样的方式。IT主管说“安全人士爱加密,而我只希望易于管理。”

同时,在谈到数据主权时其他服务供应商开始强调透明度。例如,iLand是一家数据中心位于美国和爱尔兰的VMware vCloud 供应商,该公司重点描述了其数据移动策略。

iLand产品管理及市场副总裁Lilac Schoenbeck说:”某些云服务的特性之一就是在多个区域之间均衡负载而且未必会告诉你。”而iLand恰恰相反,”如果你想,我们会出于灾难恢复的考虑均衡负载,但这完全取决于客户的决定。”

Schoenbeck说: “相反,AWS不仅不提供上述信息,而且对其究竟做了什么同样不是很透明。这可能要比没有保证还要糟糕。”亚马逊拒绝就此发表评论。

美国数据泄露的启示

去年美国国家安全局(NSA)监视云供应商的启示带来了某些难以接受的事实,并威胁禁止使用位于美国的云服务。

451 Research公司EMEA服务研究主管Rory Duncan说这非但扼杀掉云市场,同时对数据主权以及隐私权的关注已经蔓延到美国之外。某些服务商销售他们自己的云服务,而其他服务商只是转售支持本地语言并提供本地服务的全球云服务。

增加的价值有哪些?他们承认只在欧洲保存数据还不够。Duncan说“顾客对全球供应商说我们想要云服务,但是我们希望这些服务位于波兰并能够复制到法国东南部。”

Duncan相信位于美国的服务供应商通过与本地供应商合作能够获得巨大成功。一般来讲直销模式在欧洲并非一个很好的销售方式,供应商可以通过与本地供应商建立合作伙伴关系,重新销售云服务。他们发现自己已经不再被视为美国公司了。

Duncan说主动回避美国云供应商是否合乎情理仍旧在争论中,FUD(恐惧、不确定性以及怀疑)肯定会加剧这种争论。我们真正要思考的是用户应该考虑使用哪些云服务,而且并非只有欧洲人需要思考这个问题。

参考资料

1.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

2.公有云:(Public Cloud)是第三方提供一般公众或大型产业集体使用的云端基础设施,拥有它的组织出售云端服务,系统服务提供者借由租借方式提供客户有能力部署及使用云端服务。它能...详情>>

3.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:网络安全 lin_hongji@cnw.com.cn]