大家当然有能力确保自己的云方案遵循PCI DSS、HIPAA以及其它监管要求的合规条款,但仍需要凭借着大量调查与不懈努力获得证明合规性水平的必要解答及文件。
尽管众多企业都在内部私有云领域部署有高水平控制及定制方案,但在公有或者混合云环境下使用服务项目仍然带来相当严峻的合规性挑战。当然,云服务供应商们已经从帮助客户实现合规性当中发现了确切收益,而整个流程也处于不断改进当中。然而,如果大家正在考虑将数据迁移至云环境下——而这部分数据又必须符合合规监管要求——那么各位面前仍有很长的道路要走。
要让我合规,你要首先实现合规
截至目前,云服务供应商一直将主要精力放在为数据存储与云服务提供安全配置层面。换言之,云客户需要承担起遵循监管要求或者确保云服务供应商满足数据保护之相关合规条款。
好消息是,情况已经开始出现转机。除了一部分公有云供应商开始以积极态势帮助客户满足合规性要求之外,各监管机构及标准制定组织也开始意识到云服务的实际价值与普及水平。新的指导方针与合规性内容调整已经开始为云服务的安全使用提供理论基础。
举例来说,健康保险流通与责任法案(简称HIPAA)于2013年开始将云服务供应商纳入相关运营主体,这意味着云服务供应商也必须符合HIPAA之要求。PCI安全标准协会,即支付卡行业数据安全标准(简称PCI DSS)与支付应用数据安全标准背后之支持机构最近也发布了一份细则文件,开始将云服务纳入PCI背景当中。
在对云服务供应商进行考核时,首先应寻求一套基于标准之云环境以及一套能够满足我们所需遵守之各监管政策与规程的安全方案。大家还要确保已经认真查阅合同及服务水平协议内的语言表述,考量对象供应商是否满足云合规性要求。在理想情况下,云服务供应商应当有能力证明其满足合规性要求或标准,并能够且愿意通过审计验证这一能力。
提示:大家的云服务供应商应当拥有安全专业人员,并由其负责确保该云服务供应商解决方案与PCI DSS、HIPAA以及其它监管要求相匹配。
数据中心到底身在何处?
在云环境的合规性保障工作中,其主要障碍之一在于了解自己的数据被保存在何处。在审计期间,大家需要提供数据的实际所处位置,并说明采取何种措施为其提供保护。
我们必须要求云服务供应商通过说明文件解答其服务器的所在位置,对美国客户来说设施应当处于美国本土,且遵循各类监管及标准要求。如果某家云服务供应商不愿透露此类信息,请大家不要犹豫、马上将目光投向别处。即使监管不要求服务器设备位于美国境内,大家也必须清醒地意识到,位于国外的服务器可能受到外国政府的法律制约并引发潜在之隐私问题。
作为PCI DSS合规性要求的组成部分,一部分云服务供应商还提供令牌机制,旨在利用随机数字或者信令取代传统信用卡数据。令牌由PCI兼容性支付处理器负责处理,只有非PCI数据由云服务供应商负责打理。
#p#
访问控制是关键
在IT合规性监管工作当中,最大的难题主要源自确保为系统及数据访问流程提供合适的控制手段。在审计过程中,一家企业必须证明自身有能力为每一位用户提供访问级别控制,并展示其如何对这些级别进行维护。因此对云服务供应商而言,最重要的一点就是部署访问控制机制并保证其得到妥善实现。
询问这些准云服务供应商,了解他们是否愿意并有能力证明其对管理功能的职责划分实现手段,并能通过文件说明哪些用户访问过某套系统以及每用户能在哪个时间段访问哪些数据。此类信息对于满足多种不同监管要求意义重大,其中包括金融服务现代化法案(简称GLBA)——此法案要求金融机构保障客户非公开个人信息之开发性与保密性。
对闲置及使用中的数据进行加密
云服务供应商需要解决的另一个安全性难题源自多租户环境。为了保持低廉的运营成本,多数云服务供应商采用多租户架构,其中多家客户共同享有同一套软件应用虚拟实例。在这类架构当中,云服务供应商必须有能力证明其安全措施足以避免某一客户访问到其它客户之业务数据。不过,任何保存在或者经由云服务之数据都应当得到加密,从而满足大多数合规条款的实际要求。
如果云服务供应商采取了加密机制,请弄清楚他们具体使用哪种加密技术以及如何与何时加以运用。千万不要先入为主地认为云服务供应商拥有对数据进行加密的全部责任。我们自己才应该对使用中以及处于闲置状态下的数据进行保护。云服务供应商仅仅需要为了帮助大家满足这些要求而提供相关服务。一部分企业将数据保存在自己的内部数据中心中,并利用云实现额外的存储或处理任务。在这种情况下,大家最好能够在数据进入传输流程之前先一步对其进行加密。
注意:根据HIPAA之要求,保存在磁盘驱动器(包括归属于云服务供应商之磁盘驱动器)上的数据必须受到加密,此外还需要匹配备份副本,且每一块驱动器都必须始终被计算在内。
让云服务供应商成为你的合作伙伴
云服务业界充斥着激烈的市场竞争。目前按实际使用量计费已经使得云服务成本相当低廉,而云服务供应商需要进一步提升自身功能以吸引到客户关注并拿下合作订单。其中一种方式就是与大家的企业建立合作伙伴关系,并成为IT部门的一种扩展与延伸。在这种情况下,大家值得多花点时间了解云服务供应商的安全规程、应急响应以及灾难恢复机制、如何解决问题外加如何处理日志文件等等。
更进一步
应用程序设计、监控、应急响应以及灾难恢复都是重要的考量因素。大家需要确保自己的准云服务供应商有能力且有意愿解决上述难题。即使已经尽职尽责做好前期调查工作,监管政策本身也会随时间而发生改变,这使得我们必须不断重新审视自己的IT基础设施与未来发展规划。请确保自己的安全团队参与到任何政策或规程的修订工作当中,预祝各位在云发展旅程中一路高歌猛进!
原文标题:Your guide to compliance in the cloud