云计算的四条规则性建议_云资讯

中国IDC圈8月17日报道：当对云供应商进行评估时，寻找鉴定用户身份和访问管理策略；数据保护和应急响应方面提供良好策略的供应商。这些都是最基本的合规要求。然后，一旦你给未来的供应商制定具体的合规要求，就很可能会面临具体的云挑战。

1、注意云对IT工作负载的新挑战

数据定位是其中之一。以欧盟数据保护法为例，这一法案禁止欧盟居民的个人信息外流。为符合法规要求，你的云供应商应该把欧盟客户的信息放在欧洲的服务器上。

多租户和清楚配置同样构成了挑战。公有云供应商使用多租户以便优化服务器工作负载和降低成本。但是，这就意味着你需要和其他企业共享服务器空间。因此，你应该了解你的云供应商提供的保护措施防止向任何妥协。根据数据的关键程度来决定是否加密。以美国健康保险携带和责任法案（HIPPA）为例，要求所有的用户数据设置密码，不管数据是否正在使用。

随着密码身份认证技术越发复杂，为用户清除配置也愈发具有挑战性。不可否认，联合身份管理计划帮助用户更方便地登陆至多个“云”，但也导致配置的清除更为棘手。

“当雇员离开公司，你希望按一下按钮，就可以自动关闭他们的Windows帐户和所有企业内部应用程序。同时，你希望雇员的移动电话无权获取企业信息，雇员无权接触企业SaaS应用。”身份管理及合规工具提供商Centrify总裁TomKemp表示，目前看来，自动清除配置尚未实现基于云平台和内部部署系统的同时应用。

2、追踪瞬息万变的云标准

现在，你可以参照SAS70TypeII和ISO27001两大标准，遵守金融和信息安全方面的政府以及行业法规，但不能担保，这些法规是适合公司发展的。

“ISO27001和SAS70的标准是很有帮助的，但可能已经落伍了”美国福雷斯特研究公司的副总裁兼首席分析师JonathanPenn表示，“它们没有对数据安全、身份鉴定、管理员控制等诸如此类事情做出详细的规定。我们必须让用户清楚即将发生的一切。现在它基本上是一个”黑箱“。”

提高对用户的透明的是云安全联盟的重要目标，CSA公司创办三年来快速在用户、审计师、服务供应商中深受欢迎。云安全联盟的一个重要目标是标准化审计框架和促进用户和云供应商间的沟通。

以现在遵守的法规为例，GRC（监控、风险和合规）标准套件进展顺利，它包含4大要素：云信托协议、云审计、共识评估倡议、云控制矩阵。其中，云控制矩阵以电子表格的形式罗列了企业遵守其IT控制领域标准须达到的基本要求，例如“人力资源-终止雇佣关系”。而共识评估倡议就用户和审计师对供应商在控制领域的具体期望，提供了一份详尽问卷调查。

在CSA等联盟、行业团体、政府机构的共同努力，未来几年内，新标准会层出不穷。CSA已经与国际标准化组织（ISO）、国际电信联盟（ITU）、美国国家标准和技术协会（NIST）实现正式联盟，以帮助这些组织进一步完善标准。据ForresterResearch公司报道，截至2010年底，已有48个行业团体致力于云安全相关标准的研究。

3、认真对待SLA

不管你的企业规模和状态如何，都不要轻信云供应商的合同条款满足你的要求。一切要从认真尽职检查供应商的合同开始。

这是HoganLovells律师事务所的一名律师——MichaelLarnei提供的建议。HoganLovells是一家在云合规性及安全问题上具有丰富经验的国际律师事务所。Larner经常帮助客户就服务水平协议（servicelevelagreements，SLA）与云供应商进行谈判，他表示首先从风险效益分析开始，了解云供应商的标准合同条款是否满足您对合规性的需求。如果不满足合规性要求，就要决定需要与云供应商进行谈判以增加舒适度。

公司的规模能够为谈判增加砝码，但小型公司也能够找到谈判的砝码，那就要小型的公司是云供应商试图拓展新行业。总而言之，在任何情况下都不要害怕和云供应商进行谈判。

Larner表示“很多公司认为一个大的云供应商不会和他们进行谈判。事实上，你可以提升你的舒适度来让云供应商乐意为你破例的。”

如果你对云不是很了解，不妨以非关键性数据开始，你就会发现这是一个很好的办法。Larner补充道。

但是严格的评估不应该仅仅以全面的SLA结束。RSA公司的云计算战略总监NiravMehta表示你应该继续密切关注云供应商。“你可能有一个很好的SLA，但是如果供应商的云服务中断，业务连续性会发生什么？”

4、优先考虑安全性问题

为了更好的理解企业的潜在风险以及利益，你应该尽可能早地与云安全小组进行讨论，Forrester公司的Penn认为。

“在适当的环境中安全及合规性问题才能提上日程。”Penn说，“重要的是：企业主管能够理解安全问题而且能够在风险级别与提供的降低某些风险的预算之间进行权衡。”

在向云迁移的过程中，通过安全委员会正式的风险评估功能，为企业提供一个以更持久的方式实现企业安全和企业目标联盟的机会。安全委员会能够帮助评估风险并做出符合企业战略目标的预算建议。

云计算可能带来了某些风险，但是当安全创新迎头赶上后，这些风险自然会减少。即使在今天，根据Forrester公司的Penn所说，“云服务的安全问题不会像其他IT趋势比如智能手机或者社交媒体的蔓延那样，令大多数企业对安全问题感到担忧。从根本上说，对于云应用，安全问题将逐渐减少而不会引起越来越多的关注。”