云歸檔:合規(guī)數(shù)據(jù)的安全很重要 |
發(fā)布時間: 2012/9/17 17:07:29 |
對于存儲合規(guī)相關(guān)的數(shù)據(jù)而言,云技術(shù)顯然非常合適。軟件即服務(wù)(Saas)供應(yīng)商也將其服務(wù)定義為一種更經(jīng)濟(jì)的方式,來將很少訪問而要求很高安全性和訪問控制的數(shù)據(jù)從主站點存儲上分離出來。不過專家提醒,在沒有仔細(xì)檢查第三方服務(wù)的情況下,將合規(guī)數(shù)據(jù)通過云歸檔的方式存放可能會帶來風(fēng)險。 目前有很多不同類型的基于云的服務(wù)供應(yīng)商提供數(shù)據(jù)歸檔服務(wù),從公有云存儲站點,比如亞馬遜的Simple Storage Service(S3)到專業(yè)提供合規(guī)數(shù)據(jù)歸檔的供應(yīng)商。 提供合規(guī)數(shù)據(jù)歸檔的云服務(wù)供應(yīng)商一直在努力平息在數(shù)據(jù)安全性、可控性和業(yè)務(wù)穩(wěn)定性方面的問題。“做這行的人都有一段時間的業(yè)務(wù)經(jīng)驗,他們知道他們在做什么,”ESG資深咨詢分析師Brian Baineau如是說。 不過并不是所有人都深信所有問題都解決了。以下是一份綱要,列出供應(yīng)商如何緩解應(yīng)用基于云的合規(guī)數(shù)據(jù)歸檔時通常會有的顧慮,以及仍然遺留的問題。 云技術(shù)中的安全性 許多知名的業(yè)務(wù)和服務(wù)供應(yīng)商(包括微軟在內(nèi),其在2010年12月表示有未經(jīng)授權(quán)的用戶從起B(yǎng)POS上下載了數(shù)據(jù))都尷尬地對外透露過信息泄露事件,這使得管理員對于云供應(yīng)商中高度敏感的合規(guī)相關(guān)數(shù)據(jù)的物理和虛擬安全性頗具質(zhì)疑。 “我們正在談?wù)摰氖谦@取這些團(tuán)體內(nèi)最為關(guān)鍵的部分?jǐn)?shù)據(jù)”George Tziahanas是法律和合規(guī)解決方案的Autonomy公司的全球總裁,“這著實是這些公司的命脈,是高度機(jī)密的。” 一些供應(yīng)商定位其符合第70號審計標(biāo)準(zhǔn)(SAS70),Type I或Type II,作為安全性衡量的標(biāo)準(zhǔn)證明。Gartner公司的研究副總裁Jay Heiser解釋了這兩者的不同。“SAS70 Type I由審計從業(yè)人員發(fā)布,用以證明相應(yīng)的控制流程足以處理合同中的服務(wù)級別要求,”他說。根據(jù)Heiser的說法,SAS 70 Type II審計要求審計員到現(xiàn)場檢查服務(wù)供應(yīng)商是否遵從了相應(yīng)的流程。 不過Heiser警告表示,SAS 70審計“并非是一項認(rèn)證,而是一項證明”其中問題在于審計并非基于任何最佳實踐或工業(yè)標(biāo)準(zhǔn);SAS 70僅僅是審計報告的一種形式。根據(jù)Heiser的觀點,一項成功的SAS 70 Type I審計只意味著服務(wù)供應(yīng)商的過程可以滿足其在合約上的承諾。“它不會承諾任何實際服務(wù)的質(zhì)量,”他說道。 Heiser同時表示,他建議企業(yè)在云服務(wù)供應(yīng)商的選取時,在候選公司中至少進(jìn)行以下四部的調(diào)查: 1.準(zhǔn)備并通過調(diào)查問卷的方式服務(wù)供應(yīng)商的基本服務(wù)信息、設(shè)備信息和安全措施。Heiser提到SharedAssessments.org和Cloud Security Alliance (CSA)已經(jīng)提供了相應(yīng)的調(diào)查問卷供管理員參考使用。 2.檢查每家云服務(wù)供應(yīng)商的上游供應(yīng)商信息。 3.檢查所有第三方的證明信息,比如SAS 70或ISO/IEC 27001:2005。 4.到現(xiàn)場去。Heiser提到服務(wù)供應(yīng)商通常會根據(jù)你的業(yè)務(wù)價值讓你訪問他們的現(xiàn)場情況。 三家提供基于云服務(wù)的服務(wù)供應(yīng)商——Autonomy,Mimecast和Symantec公司——通過高級數(shù)據(jù)保護(hù)技術(shù)和加密技術(shù)解決用戶在安全性方面的顧慮。 Autonomy管理超過17PB的合規(guī)相關(guān)數(shù)據(jù),并且同步地將數(shù)據(jù)寫入多塊獨立的物理設(shè)備中,并可能位于不同位置,采用不同格式。 根據(jù)Mimecast技術(shù)講師Orlando Scott-Cowley的說法,Mimecast同樣將其數(shù)據(jù)存儲在不同的設(shè)備上并位于不同的位置,因此即便偷取整塊磁盤驅(qū)動器或機(jī)架也無法取得任何有用的信息。該公司同樣采用加密技術(shù)保護(hù)所有用戶數(shù)據(jù)并未每位用戶分配一個256位的高級加密標(biāo)準(zhǔn)(AES)密鑰。作為進(jìn)一步的安全措施,Scott-Cowley說,Mimecast還為每位用戶分配一個用戶號,并且為相應(yīng)的數(shù)據(jù)標(biāo)記上該用戶號。用戶只能查看有一致客戶號的數(shù)據(jù)。 Symantec則在用戶數(shù)據(jù)傳輸至數(shù)據(jù)中心過程中對其加密,并在存放過程中使用一個256位的AES密鑰。 你知道你的數(shù)據(jù)存放在哪里么? 有一些政府條例對數(shù)據(jù)可以存放的地點有區(qū)域限制。歐盟資料保護(hù)綱領(lǐng)(95/46/EC)要求其成員區(qū)域在向第三方國家傳輸數(shù)據(jù)時,必須確保這些國家可以對個人數(shù)據(jù)提供“充足的保護(hù)級別”。 管理員同樣也不喜歡云服務(wù)供應(yīng)商將數(shù)據(jù)分割在不同的數(shù)據(jù)中心中,甚至不同國家的數(shù)據(jù)中心中。Autonomy的Tziahanas說,“這些受到規(guī)范約束的公司想到的第一件事情就是必須明確他們的數(shù)據(jù)到底存放在哪里。” “通常的云供應(yīng)商,比如亞馬遜和Google云和Autonomy最大的不同在于,你在特定的一段時間可以明確你的數(shù)據(jù)到底在哪里,”他補(bǔ)充說道。 Autonomy和Symantec允許潛在用戶對其自己進(jìn)行審計,以確保數(shù)據(jù)存放在公司宣稱的那些地方。Symantec允許公司制定數(shù)據(jù)存放的數(shù)據(jù)中心,并且和該公司關(guān)聯(lián)的郵件賬戶等也會指向到該數(shù)據(jù)中心。 從云中檢索數(shù)據(jù) 此外,管理員對于云服務(wù)供應(yīng)商還有的一項顧慮就是快速檢索數(shù)據(jù)的能力。 “從合規(guī)或法律的角度講,任何時候你存放的信息,你都要可以將其取回,”Phil Favaro是Symantec公司一位電子發(fā)現(xiàn)方面的律師,他說道。其實受合規(guī)約束的公司不僅要求在特定時間段內(nèi)存儲制定的數(shù)據(jù),并且當(dāng)需要內(nèi)部或政府審計以及電子發(fā)現(xiàn)方面需求時,有義務(wù)到法庭、合規(guī)主題和管理層來快速取回數(shù)據(jù)和原始數(shù)據(jù)。 “你是否能夠快速瀏覽你的虛擬文件柜,并在七天之內(nèi)根據(jù)法庭要求找出與之想順應(yīng)的資料?”Favaro問道,“我有這樣的一個問題,這非常重要,云供應(yīng)商是否能夠提供這樣一種結(jié)構(gòu),如果沒有這樣一種結(jié)構(gòu)的話,公司會和法院或監(jiān)管機(jī)構(gòu)惹上麻煩。” Ponemon學(xué)院LLC安全調(diào)查中心近期的一項研究發(fā)現(xiàn)合規(guī)以及存儲非結(jié)構(gòu)化的信息每年平均花費了企業(yè)約210萬元,卻無法進(jìn)行企業(yè)智能化的資本管理。 該學(xué)院的成立者兼主席,Larry Ponemon說道,這項研究關(guān)注大約100家公司的至少1,000的IT席位,這些人私下都認(rèn)為云是一項降低合規(guī)成本的途徑。不過,他提醒將記錄放在云端并非是完美的答案。 “我和近20家企業(yè)談過,幾乎每家企業(yè)都提到使用云或管理服務(wù)可能會在很大程度上改善這些問題,”Ponemon說道, “我想云確實是提供這樣一種服務(wù),不過,正因為是云,它無法解決這樣的問題,誰訪問了什么數(shù)據(jù),以及為什么。他們只是簡單地訪問它。” Ponemon說很重要的一點是,任何合規(guī)應(yīng)用,云或者內(nèi)部的,將記錄視作文件級別。“其必須是文件級別而非卷級別的,”他說道,“很可能你只需要1,000條記錄中的一條。” 服務(wù)水平協(xié)議的重要性 Autonomy和Mimecast通過嚴(yán)格的服務(wù)水平協(xié)議解決這方面的問題。“當(dāng)有人聽到‘云’這個詞時,他們想到了亞馬遜和Google,當(dāng)他們獨到這些恐怖的故事,并且理解他們的數(shù)據(jù)可能會被從這樣一個基礎(chǔ)架構(gòu)上偷走,這完全是他們無法控制的,沒有任何服務(wù)水平協(xié)議保證,”Mimecast的Scott-Cowley說。他說Mimecast確保100%的服務(wù)可用性,包括任何時間、地點通過網(wǎng)絡(luò)界面訪問歸檔后的郵件。 Autonomy所提供的服務(wù)水平協(xié)議涵蓋了訪問,數(shù)據(jù)多快可以被寫入磁盤和目錄,多快可以被調(diào)取供調(diào)查所用,數(shù)據(jù)可以多快通過政策過濾,以及用戶可以多快地通過政策過濾推送出的信息中找到所需資料。“你可以存儲每一天的數(shù)據(jù),不過假設(shè)你沒有一個很好的機(jī)制來對其進(jìn)行訪問,這些就是完全不相干的信息。”公司的Tziahanas說道。 通過嚴(yán)格的服務(wù)水平協(xié)議,本地化的服務(wù),以及嚴(yán)格的安全性衡量,云數(shù)據(jù)歸檔服務(wù)市場正在日漸成熟。不過這并不非意味著每家服務(wù)供應(yīng)商會使用相同的工具。“從風(fēng)險管理角度看,你無法在‘云’前止步不前,”Gartner的Heiser說,“你必須深挖并發(fā)現(xiàn)供應(yīng)商所謂的‘云’究竟是什么。” 這意味著挖掘得更深入一些,在所謂的工業(yè)標(biāo)準(zhǔn)安全性審計上更深入一些,可能的話實地考察服務(wù)供應(yīng)商的設(shè)備。這一系列的防御措施可以使你在應(yīng)對法院和監(jiān)管機(jī)構(gòu)時更為從容不迫。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |