云歸檔：合規(guī)數(shù)據(jù)的安全很重要

對(duì)于存儲(chǔ)合規(guī)相關(guān)的數(shù)據(jù)而言，云技術(shù)顯然非常合適。軟件即服務(wù)（Saas）供應(yīng)商也將其服務(wù)定義為一種更經(jīng)濟(jì)的方式，來(lái)將很少訪問而要求很高安全性和訪問控制的數(shù)據(jù)從主站點(diǎn)存儲(chǔ)上分離出來(lái)。不過專家提醒，在沒有仔細(xì)檢查第三方服務(wù)的情況下，將合規(guī)數(shù)據(jù)通過云歸檔的方式存放可能會(huì)帶來(lái)風(fēng)險(xiǎn)。

目前有很多不同類型的基于云的服務(wù)供應(yīng)商提供數(shù)據(jù)歸檔服務(wù)，從公有云存儲(chǔ)站點(diǎn)，比如亞馬遜的Simple Storage Service（S3）到專業(yè)提供合規(guī)數(shù)據(jù)歸檔的供應(yīng)商。

提供合規(guī)數(shù)據(jù)歸檔的云服務(wù)供應(yīng)商一直在努力平息在數(shù)據(jù)安全性、可控性和業(yè)務(wù)穩(wěn)定性方面的問題。“做這行的人都有一段時(shí)間的業(yè)務(wù)經(jīng)驗(yàn)，他們知道他們?cè)谧鍪裁矗?rdquo;ESG資深咨詢分析師Brian Baineau如是說(shuō)。

不過并不是所有人都深信所有問題都解決了。以下是一份綱要，列出供應(yīng)商如何緩解應(yīng)用基于云的合規(guī)數(shù)據(jù)歸檔時(shí)通常會(huì)有的顧慮，以及仍然遺留的問題。

云技術(shù)中的安全性

許多知名的業(yè)務(wù)和服務(wù)供應(yīng)商（包括微軟在內(nèi)，其在2010年12月表示有未經(jīng)授權(quán)的用戶從起B(yǎng)POS上下載了數(shù)據(jù)）都尷尬地對(duì)外透露過信息泄露事件，這使得管理員對(duì)于云供應(yīng)商中高度敏感的合規(guī)相關(guān)數(shù)據(jù)的物理和虛擬安全性頗具質(zhì)疑。

“我們正在談?wù)摰氖谦@取這些團(tuán)體內(nèi)最為關(guān)鍵的部分?jǐn)?shù)據(jù)”George Tziahanas是法律和合規(guī)解決方案的Autonomy公司的全球總裁，“這著實(shí)是這些公司的命脈，是高度機(jī)密的。”

一些供應(yīng)商定位其符合第70號(hào)審計(jì)標(biāo)準(zhǔn)（SAS70），Type I或Type II，作為安全性衡量的標(biāo)準(zhǔn)證明。Gartner公司的研究副總裁Jay Heiser解釋了這兩者的不同。“SAS70 Type I由審計(jì)從業(yè)人員發(fā)布，用以證明相應(yīng)的控制流程足以處理合同中的服務(wù)級(jí)別要求，”他說(shuō)。根據(jù)Heiser的說(shuō)法，SAS 70 Type II審計(jì)要求審計(jì)員到現(xiàn)場(chǎng)檢查服務(wù)供應(yīng)商是否遵從了相應(yīng)的流程。

不過Heiser警告表示，SAS 70審計(jì)“并非是一項(xiàng)認(rèn)證，而是一項(xiàng)證明”其中問題在于審計(jì)并非基于任何最佳實(shí)踐或工業(yè)標(biāo)準(zhǔn)；SAS 70僅僅是審計(jì)報(bào)告的一種形式。根據(jù)Heiser的觀點(diǎn)，一項(xiàng)成功的SAS 70 Type I審計(jì)只意味著服務(wù)供應(yīng)商的過程可以滿足其在合約上的承諾。“它不會(huì)承諾任何實(shí)際服務(wù)的質(zhì)量，”他說(shuō)道。

Heiser同時(shí)表示，他建議企業(yè)在云服務(wù)供應(yīng)商的選取時(shí)，在候選公司中至少進(jìn)行以下四部的調(diào)查：

1.準(zhǔn)備并通過調(diào)查問卷的方式服務(wù)供應(yīng)商的基本服務(wù)信息、設(shè)備信息和安全措施。Heiser提到SharedAssessments.org和Cloud Security Alliance (CSA)已經(jīng)提供了相應(yīng)的調(diào)查問卷供管理員參考使用。

2.檢查每家云服務(wù)供應(yīng)商的上游供應(yīng)商信息。

3.檢查所有第三方的證明信息，比如SAS 70或ISO/IEC 27001:2005。

4.到現(xiàn)場(chǎng)去。Heiser提到服務(wù)供應(yīng)商通常會(huì)根據(jù)你的業(yè)務(wù)價(jià)值讓你訪問他們的現(xiàn)場(chǎng)情況。

三家提供基于云服務(wù)的服務(wù)供應(yīng)商——Autonomy，Mimecast和Symantec公司——通過高級(jí)數(shù)據(jù)保護(hù)技術(shù)和加密技術(shù)解決用戶在安全性方面的顧慮。

Autonomy管理超過17PB的合規(guī)相關(guān)數(shù)據(jù)，并且同步地將數(shù)據(jù)寫入多塊獨(dú)立的物理設(shè)備中，并可能位于不同位置，采用不同格式。

根據(jù)Mimecast技術(shù)講師Orlando Scott-Cowley的說(shuō)法，Mimecast同樣將其數(shù)據(jù)存儲(chǔ)在不同的設(shè)備上并位于不同的位置，因此即便偷取整塊磁盤驅(qū)動(dòng)器或機(jī)架也無(wú)法取得任何有用的信息。該公司同樣采用加密技術(shù)保護(hù)所有用戶數(shù)據(jù)并未每位用戶分配一個(gè)256位的高級(jí)加密標(biāo)準(zhǔn)（AES）密鑰。作為進(jìn)一步的安全措施，Scott-Cowley說(shuō)，Mimecast還為每位用戶分配一個(gè)用戶號(hào)，并且為相應(yīng)的數(shù)據(jù)標(biāo)記上該用戶號(hào)。用戶只能查看有一致客戶號(hào)的數(shù)據(jù)。

Symantec則在用戶數(shù)據(jù)傳輸至數(shù)據(jù)中心過程中對(duì)其加密，并在存放過程中使用一個(gè)256位的AES密鑰。

你知道你的數(shù)據(jù)存放在哪里么？

有一些政府條例對(duì)數(shù)據(jù)可以存放的地點(diǎn)有區(qū)域限制。歐盟資料保護(hù)綱領(lǐng)（95/46/EC）要求其成員區(qū)域在向第三方國(guó)家傳輸數(shù)據(jù)時(shí)，必須確保這些國(guó)家可以對(duì)個(gè)人數(shù)據(jù)提供“充足的保護(hù)級(jí)別”。

管理員同樣也不喜歡云服務(wù)供應(yīng)商將數(shù)據(jù)分割在不同的數(shù)據(jù)中心中，甚至不同國(guó)家的數(shù)據(jù)中心中。Autonomy的Tziahanas說(shuō)，“這些受到規(guī)范約束的公司想到的第一件事情就是必須明確他們的數(shù)據(jù)到底存放在哪里。”

“通常的云供應(yīng)商，比如亞馬遜和Google云和Autonomy最大的不同在于，你在特定的一段時(shí)間可以明確你的數(shù)據(jù)到底在哪里，”他補(bǔ)充說(shuō)道。

Autonomy和Symantec允許潛在用戶對(duì)其自己進(jìn)行審計(jì)，以確保數(shù)據(jù)存放在公司宣稱的那些地方。Symantec允許公司制定數(shù)據(jù)存放的數(shù)據(jù)中心，并且和該公司關(guān)聯(lián)的郵件賬戶等也會(huì)指向到該數(shù)據(jù)中心。

從云中檢索數(shù)據(jù)

此外，管理員對(duì)于云服務(wù)供應(yīng)商還有的一項(xiàng)顧慮就是快速檢索數(shù)據(jù)的能力。

“從合規(guī)或法律的角度講，任何時(shí)候你存放的信息，你都要可以將其取回，”Phil Favaro是Symantec公司一位電子發(fā)現(xiàn)方面的律師，他說(shuō)道。其實(shí)受合規(guī)約束的公司不僅要求在特定時(shí)間段內(nèi)存儲(chǔ)制定的數(shù)據(jù)，并且當(dāng)需要內(nèi)部或政府審計(jì)以及電子發(fā)現(xiàn)方面需求時(shí)，有義務(wù)到法庭、合規(guī)主題和管理層來(lái)快速取回?cái)?shù)據(jù)和原始數(shù)據(jù)。

“你是否能夠快速瀏覽你的虛擬文件柜，并在七天之內(nèi)根據(jù)法庭要求找出與之想順應(yīng)的資料？”Favaro問道，“我有這樣的一個(gè)問題，這非常重要，云供應(yīng)商是否能夠提供這樣一種結(jié)構(gòu)，如果沒有這樣一種結(jié)構(gòu)的話，公司會(huì)和法院或監(jiān)管機(jī)構(gòu)惹上麻煩。”

Ponemon學(xué)院LLC安全調(diào)查中心近期的一項(xiàng)研究發(fā)現(xiàn)合規(guī)以及存儲(chǔ)非結(jié)構(gòu)化的信息每年平均花費(fèi)了企業(yè)約210萬(wàn)元，卻無(wú)法進(jìn)行企業(yè)智能化的資本管理。

該學(xué)院的成立者兼主席，Larry Ponemon說(shuō)道，這項(xiàng)研究關(guān)注大約100家公司的至少1,000的IT席位，這些人私下都認(rèn)為云是一項(xiàng)降低合規(guī)成本的途徑。不過，他提醒將記錄放在云端并非是完美的答案。

“我和近20家企業(yè)談過，幾乎每家企業(yè)都提到使用云或管理服務(wù)可能會(huì)在很大程度上改善這些問題，”Ponemon說(shuō)道, “我想云確實(shí)是提供這樣一種服務(wù)，不過，正因?yàn)槭窃�，它無(wú)法解決這樣的問題，誰(shuí)訪問了什么數(shù)據(jù)，以及為什么。他們只是簡(jiǎn)單地訪問它。”

Ponemon說(shuō)很重要的一點(diǎn)是，任何合規(guī)應(yīng)用，云或者內(nèi)部的，將記錄視作文件級(jí)別。“其必須是文件級(jí)別而非卷級(jí)別的，”他說(shuō)道，“很可能你只需要1,000條記錄中的一條。”

服務(wù)水平協(xié)議的重要性

Autonomy和Mimecast通過嚴(yán)格的服務(wù)水平協(xié)議解決這方面的問題。“當(dāng)有人聽到‘云’這個(gè)詞時(shí)，他們想到了亞馬遜和Google，當(dāng)他們獨(dú)到這些恐怖的故事，并且理解他們的數(shù)據(jù)可能會(huì)被從這樣一個(gè)基礎(chǔ)架構(gòu)上偷走，這完全是他們無(wú)法控制的，沒有任何服務(wù)水平協(xié)議保證，”Mimecast的Scott-Cowley說(shuō)。他說(shuō)Mimecast確保100%的服務(wù)可用性，包括任何時(shí)間、地點(diǎn)通過網(wǎng)絡(luò)界面訪問歸檔后的郵件。

Autonomy所提供的服務(wù)水平協(xié)議涵蓋了訪問，數(shù)據(jù)多快可以被寫入磁盤和目錄，多快可以被調(diào)取供調(diào)查所用，數(shù)據(jù)可以多快通過政策過濾，以及用戶可以多快地通過政策過濾推送出的信息中找到所需資料。“你可以存儲(chǔ)每一天的數(shù)據(jù)，不過假設(shè)你沒有一個(gè)很好的機(jī)制來(lái)對(duì)其進(jìn)行訪問，這些就是完全不相干的信息。”公司的Tziahanas說(shuō)道。

通過嚴(yán)格的服務(wù)水平協(xié)議，本地化的服務(wù)，以及嚴(yán)格的安全性衡量，云數(shù)據(jù)歸檔服務(wù)市場(chǎng)正在日漸成熟。不過這并不非意味著每家服務(wù)供應(yīng)商會(huì)使用相同的工具。“從風(fēng)險(xiǎn)管理角度看，你無(wú)法在‘云’前止步不前，”Gartner的Heiser說(shuō)，“你必須深挖并發(fā)現(xiàn)供應(yīng)商所謂的‘云’究竟是什么。”

這意味著挖掘得更深入一些，在所謂的工業(yè)標(biāo)準(zhǔn)安全性審計(jì)上更深入一些，可能的話實(shí)地考察服務(wù)供應(yīng)商的設(shè)備。這一系列的防御措施可以使你在應(yīng)對(duì)法院和監(jiān)管機(jī)構(gòu)時(shí)更為從容不迫。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]