专栏首页云计算D1net入云必备:云环境下的合规性保障指南

入云必备:云环境下的合规性保障指南

大家当然有能力确保自己的云方案遵循PCI DSS、HIPAA以及其它监管要求的合规条款,但仍需要凭借着大量调查与不懈努力获得证明合规性水平的必要解答及文件。

尽管众多企业都在内部私有云领域部署有高水平控制及定制方案,但在公有或者混合云环境下使用服务项目仍然带来相当严峻的合规性挑战。当然,云服务供应商们已经从帮助客户实现合规性当中发现了确切收益,而整个流程也处于不断改进当中。然而,如果大家正在考虑将数据迁移至云环境下——而这部分数据又必须符合合规监管要求——那么各位面前仍有很长的道路要走。

要让我合规,你要首先实现合规

截至目前,云服务供应商一直将主要精力放在为数据存储与云服务提供安全配置层面。换言之,云客户需要承担起遵循监管要求或者确保云服务供应商满足数据保护之相关合规条款。

好消息是,情况已经开始出现转机。除了一部分公有云供应商开始以积极态势帮助客户满足合规性要求之外,各监管机构及标准制定组织也开始意识到云服务的实际价值与普及水平。新的指导方针与合规性内容调整已经开始为云服务的安全使用提供理论基础。

举例来说,健康保险流通与责任法案(简称HIPAA)于2013年开始将云服务供应商纳入相关运营主体,这意味着云服务供应商也必须符合HIPAA之要求。PCI安全标准协会,即支付卡行业数据安全标准(简称PCI DSS)与支付应用数据安全标准背后之支持机构最近也发布了一份细则文件,开始将云服务纳入PCI背景当中。

在对云服务供应商进行考核时,首先应寻求一套基于标准之云环境以及一套能够满足我们所需遵守之各监管政策与规程的安全方案。大家还要确保已经认真查阅合同及服务水平协议内的语言表述,考量对象供应商是否满足云合规性要求。在理想情况下,云服务供应商应当有能力证明其满足合规性要求或标准,并能够且愿意通过审计验证这一能力。

提示:大家的云服务供应商应当拥有安全专业人员,并由其负责确保该云服务供应商解决方案与PCI DSS、HIPAA以及其它监管要求相匹配。

数据中心到底身在何处?

在云环境的合规性保障工作中,其主要障碍之一在于了解自己的数据被保存在何处。在审计期间,大家需要提供数据的实际所处位置,并说明采取何种措施为其提供保护。

我们必须要求云服务供应商通过说明文件解答其服务器的所在位置,对美国客户来说设施应当处于美国本土,且遵循各类监管及标准要求。如果某家云服务供应商不愿透露此类信息,请大家不要犹豫、马上将目光投向别处。即使监管不要求服务器设备位于美国境内,大家也必须清醒地意识到,位于国外的服务器可能受到外国政府的法律制约并引发潜在之隐私问题。

作为PCI DSS合规性要求的组成部分,一部分云服务供应商还提供令牌机制,旨在利用随机数字或者信令取代传统信用卡数据。令牌由PCI兼容性支付处理器负责处理,只有非PCI数据由云服务供应商负责打理。

访问控制是关键

在IT合规性监管工作当中,最大的难题主要源自确保为系统及数据访问流程提供合适的控制手段。在审计过程中,一家企业必须证明自身有能力为每一位用户提供访问级别控制,并展示其如何对这些级别进行维护。因此对云服务供应商而言,最重要的一点就是部署访问控制机制并保证其得到妥善实现。

询问这些准云服务供应商,了解他们是否愿意并有能力证明其对管理功能的职责划分实现手段,并能通过文件说明哪些用户访问过某套系统以及每用户能在哪个时间段访问哪些数据。此类信息对于满足多种不同监管要求意义重大,其中包括金融服务现代化法案(简称GLBA)——此法案要求金融机构保障客户非公开个人信息之开发性与保密性。

对闲置及使用中的数据进行加密

云服务供应商需要解决的另一个安全性难题源自多租户环境。为了保持低廉的运营成本,多数云服务供应商采用多租户架构,其中多家客户共同享有同一套软件应用虚拟实例。在这类架构当中,云服务供应商必须有能力证明其安全措施足以避免某一客户访问到其它客户之业务数据。不过,任何保存在或者经由云服务之数据都应当得到加密,从而满足大多数合规条款的实际要求。

如果云服务供应商采取了加密机制,请弄清楚他们具体使用哪种加密技术以及如何与何时加以运用。千万不要先入为主地认为云服务供应商拥有对数据进行加密的全部责任。我们自己才应该对使用中以及处于闲置状态下的数据进行保护。云服务供应商仅仅需要为了帮助大家满足这些要求而提供相关服务。一部分企业将数据保存在自己的内部数据中心中,并利用云实现额外的存储或处理任务。在这种情况下,大家最好能够在数据进入传输流程之前先一步对其进行加密。

注意:根据HIPAA之要求,保存在磁盘驱动器(包括归属于云服务供应商之磁盘驱动器)上的数据必须受到加密,此外还需要匹配备份副本,且每一块驱动器都必须始终被计算在内。

让云服务供应商成为你的合作伙伴

云服务业界充斥着激烈的市场竞争。目前按实际使用量计费已经使得云服务成本相当低廉,而云服务供应商需要进一步提升自身功能以吸引到客户关注并拿下合作订单。其中一种方式就是与大家的企业建立合作伙伴关系,并成为IT部门的一种扩展与延伸。在这种情况下,大家值得多花点时间了解云服务供应商的安全规程、应急响应以及灾难恢复机制、如何解决问题外加如何处理日志文件等等。

更进一步

应用程序设计、监控、应急响应以及灾难恢复都是重要的考量因素。大家需要确保自己的准云服务供应商有能力且有意愿解决上述难题。即使已经尽职尽责做好前期调查工作,监管政策本身也会随时间而发生改变,这使得我们必须不断重新审视自己的IT基础设施与未来发展规划。请确保自己的安全团队参与到任何政策或规程的修订工作当中,预祝各位在云发展旅程中一路高歌猛进!

本文分享自微信公众号 - 云计算D1net(D1Net02),作者:核子可乐译

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-03-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 云服务使用成本过高?五款工具帮你顺利缩减云开支

    随着将更多工作负载逐步转移到云环境当中,大家可能发现准确并及时地追踪自己的月度云计算账单并不像原本想象中的那么简单。当然,使用云服务供应商的产品肯定要比自行购买...

    静一
  • 信息泄露事件频发 到底是不是云服务的错

    在5月初,国内首个基于大数据的网络犯罪研究报告正式发布。报告显示,中国公民已经泄漏的个人信息多达11.27亿条,数目大的惊人。那么让我们回顾一下过去的2014年...

    静一
  • 注意这五点 跳出云供应商的计费陷阱

    有一个公认的事实是,将业务迁移到云上将有助于节约小型业务的成本。然而,使用云服务是要付出一些关联代价的,虽然那些代价一开始看起来微不足道,但如果你不加以关注的话...

    静一
  • 云服务使用成本过高?五款工具帮你顺利缩减云开支

    随着将更多工作负载逐步转移到云环境当中,大家可能发现准确并及时地追踪自己的月度云计算账单并不像原本想象中的那么简单。当然,使用云服务供应商的产品肯定要比自行购买...

    静一
  • 小朋友学C语言(16):斐波那契数列的非递归实现

    一、斐波那契简介 斐波那契数列指的是这样一个数列 1, 1, 2, 3, 5, 8, 13, 21, 34, 55, 89, 144, 233,377,610,...

    海天一树
  • 动态 | 杉数科技的第二届 AI 大师圆桌会,探讨「从链到网」产学结合的无限可能

    这家成立于 2016 年的公司由五位斯坦福大学教授及博士创立,以运筹学泰斗、冯·诺依曼奖得主叶荫宇教授为核心,联合商学院、运筹学及决策分析与风险分析等专业的四位...

    AI科技评论
  • PromQL 使用基础

    Prometheus 通过指标名称(metrics name)以及对应的一组标签(label)唯一定义一条时间序列。指标名称反映了监控样本的基本标识,而 lab...

    我是阳明
  • 基于WDF的PCI/PCIe接口卡Windows驱动程序(4)- 驱动程序代码(源文件)

    原文出处:http://www.cnblogs.com/jacklu/p/4687325.html

    用户7043923
  • 多线程同步中的门道

      在涉及到多线程的开发时,线程同步的考虑是不可缺少的,否则很可能会造成各种超出预料的错误结果。以自己的学习经历来说,对于刚开始接触线程同 步的人可能会感觉非常...

    哲洛不闹
  • ​借助云开发数据库实现小程序列表上拉刷新功能丨云开发101

    上一期101专栏中,我们介绍了如何借助云开发数据库实现小程序的列表触底自动加载功能,相对应的,小程序列表上拉刷新又该如何实现呢?本期专栏就来为大家解答。

    腾讯云开发TCB

扫码关注云+社区

领取腾讯云代金券