|
對于存儲合規(guī)相關(guān)的數(shù)據(jù)而言���,云技術(shù)顯然非常合適�����。軟件即服務(wù)(Saas)供應(yīng)商也將其服務(wù)定義為一種更經(jīng)濟(jì)的方式����,來將很少訪問而要求很高安全性和訪問控制的數(shù)據(jù)從主站點(diǎn)存儲上分離出來�。不過專家提醒,在沒有仔細(xì)檢查第三方服務(wù)的情況下����,將合規(guī)數(shù)據(jù)通過云歸檔的方式存放可能會帶來風(fēng)險(xiǎn)。
目前有很多不同類型的基于云的服務(wù)供應(yīng)商提供數(shù)據(jù)歸檔服務(wù)��,從公有云存儲站點(diǎn)�����,比如亞馬遜的Simple Storage Service(S3)到專業(yè)提供合規(guī)數(shù)據(jù)歸檔的供應(yīng)商�。
提供合規(guī)數(shù)據(jù)歸檔的云服務(wù)供應(yīng)商一直在努力平息在數(shù)據(jù)安全性����、可控性和業(yè)務(wù)穩(wěn)定性方面的問題����。“做這行的人都有一段時間的業(yè)務(wù)經(jīng)驗(yàn)�,他們知道他們在做什么,”ESG資深咨詢分析師Brian Baineau如是說�。
不過并不是所有人都深信所有問題都解決了。以下是一份綱要���,列出供應(yīng)商如何緩解應(yīng)用基于云的合規(guī)數(shù)據(jù)歸檔時通常會有的顧慮��,以及仍然遺留的問題���。
云技術(shù)中的安全性
許多知名的業(yè)務(wù)和服務(wù)供應(yīng)商(包括微軟在內(nèi),其在2010年12月表示有未經(jīng)授權(quán)的用戶從起B(yǎng)POS上下載了數(shù)據(jù))都尷尬地對外透露過信息泄露事件�����,這使得管理員對于云供應(yīng)商中高度敏感的合規(guī)相關(guān)數(shù)據(jù)的物理和虛擬安全性頗具質(zhì)疑����。
“我們正在談?wù)摰氖谦@取這些團(tuán)體內(nèi)最為關(guān)鍵的部分?jǐn)?shù)據(jù)”George Tziahanas是法律和合規(guī)解決方案的Autonomy公司的全球總裁,“這著實(shí)是這些公司的命脈��,是高度機(jī)密的。”
一些供應(yīng)商定位其符合第70號審計(jì)標(biāo)準(zhǔn)(SAS70)�����,Type I或Type II��,作為安全性衡量的標(biāo)準(zhǔn)證明�����。Gartner公司的研究副總裁Jay Heiser解釋了這兩者的不同�。“SAS70 Type I由審計(jì)從業(yè)人員發(fā)布,用以證明相應(yīng)的控制流程足以處理合同中的服務(wù)級別要求��,”他說���。根據(jù)Heiser的說法����,SAS 70 Type II審計(jì)要求審計(jì)員到現(xiàn)場檢查服務(wù)供應(yīng)商是否遵從了相應(yīng)的流程����。
不過Heiser警告表示�,SAS 70審計(jì)“并非是一項(xiàng)認(rèn)證�,而是一項(xiàng)證明”其中問題在于審計(jì)并非基于任何最佳實(shí)踐或工業(yè)標(biāo)準(zhǔn)����;SAS 70僅僅是審計(jì)報(bào)告的一種形式。根據(jù)Heiser的觀點(diǎn)�,一項(xiàng)成功的SAS 70 Type I審計(jì)只意味著服務(wù)供應(yīng)商的過程可以滿足其在合約上的承諾。“它不會承諾任何實(shí)際服務(wù)的質(zhì)量�����,”他說道�。
Heiser同時表示,他建議企業(yè)在云服務(wù)供應(yīng)商的選取時��,在候選公司中至少進(jìn)行以下四部的調(diào)查:
1.準(zhǔn)備并通過調(diào)查問卷的方式服務(wù)供應(yīng)商的基本服務(wù)信息��、設(shè)備信息和安全措施�。Heiser提到SharedAssessments.org和Cloud Security Alliance (CSA)已經(jīng)提供了相應(yīng)的調(diào)查問卷供管理員參考使用。
2.檢查每家云服務(wù)供應(yīng)商的上游供應(yīng)商信息�����。
3.檢查所有第三方的證明信息��,比如SAS 70或ISO/IEC 27001:2005���。
4.到現(xiàn)場去����。Heiser提到服務(wù)供應(yīng)商通常會根據(jù)你的業(yè)務(wù)價(jià)值讓你訪問他們的現(xiàn)場情況。
三家提供基于云服務(wù)的服務(wù)供應(yīng)商——Autonomy�,Mimecast和Symantec公司——通過高級數(shù)據(jù)保護(hù)技術(shù)和加密技術(shù)解決用戶在安全性方面的顧慮。
Autonomy管理超過17PB的合規(guī)相關(guān)數(shù)據(jù)���,并且同步地將數(shù)據(jù)寫入多塊獨(dú)立的物理設(shè)備中�,并可能位于不同位置�����,采用不同格式��。
根據(jù)Mimecast技術(shù)講師Orlando Scott-Cowley的說法�,Mimecast同樣將其數(shù)據(jù)存儲在不同的設(shè)備上并位于不同的位置,因此即便偷取整塊磁盤驅(qū)動器或機(jī)架也無法取得任何有用的信息����。該公司同樣采用加密技術(shù)保護(hù)所有用戶數(shù)據(jù)并未每位用戶分配一個256位的高級加密標(biāo)準(zhǔn)(AES)密鑰。作為進(jìn)一步的安全措施����,Scott-Cowley說,Mimecast還為每位用戶分配一個用戶號�����,并且為相應(yīng)的數(shù)據(jù)標(biāo)記上該用戶號���。用戶只能查看有一致客戶號的數(shù)據(jù)��。
Symantec則在用戶數(shù)據(jù)傳輸至數(shù)據(jù)中心過程中對其加密����,并在存放過程中使用一個256位的AES密鑰����。
你知道你的數(shù)據(jù)存放在哪里么?
有一些政府條例對數(shù)據(jù)可以存放的地點(diǎn)有區(qū)域限制�。歐盟資料保護(hù)綱領(lǐng)(95/46/EC)要求其成員區(qū)域在向第三方國家傳輸數(shù)據(jù)時,必須確保這些國家可以對個人數(shù)據(jù)提供“充足的保護(hù)級別”�����。
管理員同樣也不喜歡云服務(wù)供應(yīng)商將數(shù)據(jù)分割在不同的數(shù)據(jù)中心中���,甚至不同國家的數(shù)據(jù)中心中。Autonomy的Tziahanas說���,“這些受到規(guī)范約束的公司想到的第一件事情就是必須明確他們的數(shù)據(jù)到底存放在哪里。”
“通常的云供應(yīng)商����,比如亞馬遜和Google云和Autonomy最大的不同在于,你在特定的一段時間可以明確你的數(shù)據(jù)到底在哪里����,”他補(bǔ)充說道。
Autonomy和Symantec允許潛在用戶對其自己進(jìn)行審計(jì)����,以確保數(shù)據(jù)存放在公司宣稱的那些地方。Symantec允許公司制定數(shù)據(jù)存放的數(shù)據(jù)中心����,并且和該公司關(guān)聯(lián)的郵件賬戶等也會指向到該數(shù)據(jù)中心。
從云中檢索數(shù)據(jù)
此外��,管理員對于云服務(wù)供應(yīng)商還有的一項(xiàng)顧慮就是快速檢索數(shù)據(jù)的能力����。
“從合規(guī)或法律的角度講�����,任何時候你存放的信息��,你都要可以將其取回,”Phil Favaro是Symantec公司一位電子發(fā)現(xiàn)方面的律師���,他說道�。其實(shí)受合規(guī)約束的公司不僅要求在特定時間段內(nèi)存儲制定的數(shù)據(jù)���,并且當(dāng)需要內(nèi)部或政府審計(jì)以及電子發(fā)現(xiàn)方面需求時�����,有義務(wù)到法庭���、合規(guī)主題和管理層來快速取回?cái)?shù)據(jù)和原始數(shù)據(jù)。
“你是否能夠快速瀏覽你的虛擬文件柜����,并在七天之內(nèi)根據(jù)法庭要求找出與之想順應(yīng)的資料?”Favaro問道�����,“我有這樣的一個問題,這非常重要����,云供應(yīng)商是否能夠提供這樣一種結(jié)構(gòu),如果沒有這樣一種結(jié)構(gòu)的話����,公司會和法院或監(jiān)管機(jī)構(gòu)惹上麻煩。”
Ponemon學(xué)院LLC安全調(diào)查中心近期的一項(xiàng)研究發(fā)現(xiàn)合規(guī)以及存儲非結(jié)構(gòu)化的信息每年平均花費(fèi)了企業(yè)約210萬元���,卻無法進(jìn)行企業(yè)智能化的資本管理��。
該學(xué)院的成立者兼主席�,Larry Ponemon說道�,這項(xiàng)研究關(guān)注大約100家公司的至少1,000的IT席位,這些人私下都認(rèn)為云是一項(xiàng)降低合規(guī)成本的途徑���。不過���,他提醒將記錄放在云端并非是完美的答案。
“我和近20家企業(yè)談過�,幾乎每家企業(yè)都提到使用云或管理服務(wù)可能會在很大程度上改善這些問題���,”Ponemon說道, “我想云確實(shí)是提供這樣一種服務(wù),不過����,正因?yàn)槭窃疲鼰o法解決這樣的問題�,誰訪問了什么數(shù)據(jù),以及為什么��。他們只是簡單地訪問它��。”
Ponemon說很重要的一點(diǎn)是�,任何合規(guī)應(yīng)用��,云或者內(nèi)部的����,將記錄視作文件級別。“其必須是文件級別而非卷級別的�����,”他說道���,“很可能你只需要1,000條記錄中的一條�����。”
服務(wù)水平協(xié)議的重要性
Autonomy和Mimecast通過嚴(yán)格的服務(wù)水平協(xié)議解決這方面的問題���。“當(dāng)有人聽到‘云’這個詞時����,他們想到了亞馬遜和Google��,當(dāng)他們獨(dú)到這些恐怖的故事���,并且理解他們的數(shù)據(jù)可能會被從這樣一個基礎(chǔ)架構(gòu)上偷走���,這完全是他們無法控制的,沒有任何服務(wù)水平協(xié)議保證���,”Mimecast的Scott-Cowley說���。他說Mimecast確保100%的服務(wù)可用性,包括任何時間�、地點(diǎn)通過網(wǎng)絡(luò)界面訪問歸檔后的郵件��。
Autonomy所提供的服務(wù)水平協(xié)議涵蓋了訪問���,數(shù)據(jù)多快可以被寫入磁盤和目錄,多快可以被調(diào)取供調(diào)查所用�����,數(shù)據(jù)可以多快通過政策過濾����,以及用戶可以多快地通過政策過濾推送出的信息中找到所需資料。“你可以存儲每一天的數(shù)據(jù)��,不過假設(shè)你沒有一個很好的機(jī)制來對其進(jìn)行訪問��,這些就是完全不相干的信息����。”公司的Tziahanas說道��。
通過嚴(yán)格的服務(wù)水平協(xié)議�����,本地化的服務(wù),以及嚴(yán)格的安全性衡量�����,云數(shù)據(jù)歸檔服務(wù)市場正在日漸成熟�����。不過這并不非意味著每家服務(wù)供應(yīng)商會使用相同的工具����。“從風(fēng)險(xiǎn)管理角度看,你無法在‘云’前止步不前�,”Gartner的Heiser說,“你必須深挖并發(fā)現(xiàn)供應(yīng)商所謂的‘云’究竟是什么���。”
這意味著挖掘得更深入一些�����,在所謂的工業(yè)標(biāo)準(zhǔn)安全性審計(jì)上更深入一些����,可能的話實(shí)地考察服務(wù)供應(yīng)商的設(shè)備。這一系列的防御措施可以使你在應(yīng)對法院和監(jiān)管機(jī)構(gòu)時更為從容不迫��。
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)��!虛擬主機(jī)域名注冊頂級提供商���!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
