随着云计算逐渐发展成为一种可行的且具有高性价比的整体系统、甚至整体商业流程外包方式,如何通过执行安全策略和相关法规,来保持组织自身的合规性已经成为一个课题,并且变得越来越困难,特别是如何演示给审计者和评估者更是一个难题。
目前IT技术相关的法律法规在编写时大多没有将云计算考虑在内。通常情况审计者和评估者可能对云计算不熟悉,有时候也许使用过特定的云服务。基于以上情况,云的消费者需要理解以下几点:
· 使用特定云服务时的监管法规适用性
· 云提供商和消费者在合规责任上的区别
· 云提供商提供合规所需资料的能力
· 云消费者需要协助云提供商缩小和审计者/评估者之间的差异.
建议
• 引入法律和合同团队。云提供商的标准服务可能无法满足你的合规需求;因此法律和合同团队的早期介入对于保证云服务合同条款满足合规和审计要求是有好处的。
• 审计条款的权利。由于云和管理环境的动态变化特点,消费者经常需要审计云提供商的能力。特别是当云消费者有合规责任时,审计合同条款的权利应该可以随时获得。随着云提供商获得了相关的认证,这种需求应该会逐渐减少,稍后我们会介绍ISO/IEC 27001认证的相关内容。
• 分析合规的范围。对于给定的应用和数据,确定组织遵守的合规条例是否会受到使用云服务的影响。
• 分析合规条例对数据安全的影响。潜在的云服务消费者应该考虑哪种应用和数据适合以云服务的形式提供,以及这种服务合规的范围。
• 审核相关的合作伙伴和服务提供商。这是保证服务提供商不会对合规起负面作用的基本指导。基础的做法是,评估那些处理有合规性要求的数据的服务提供商,进而评估这些服务提供商的安全控制手段。有些合规性法规对如何访问和管理第三方厂商风险有专门的说明。对于那些没有在自身IT和业务服务中采用云架构的组织,也需要了解其云业务合作伙伴在处理数据时是否遵从合规性法规。
• 理解合同中的数据保护责任和相关的合同。云服务模型要求,消费者或者是云服务提供商都有责任部署安全控制策略。相对于SaaS(软件即服务)来说,IaaS(基础架构即服务)场景中的消费者具有较高的控制度和责任。从一个安全控制标准点来看,这意味着IaaS的消费者将需要为合规部署很多安全控制点。在SaaS场景中,云服务提供商必须提供必需的(安全)控制。从合同的角度来看,理解特殊的需求,并保证云服务合同和服务水平协议(SLA)可以最终解决合规性的问题。
• 分析合规条例对提供商基础架构的影响。将基础架构迁移到云服务上同样需要慎重的分析。某些管理要求决定了控制策略很难,或者不可能以云服务类型进行部署。
• 分析合规条例对政策和规程的影响。将数据和应用迁移到云服务上将可能对政策和规程产生影响。消费者应该评估那些与合规条例相关的政策和规程,有关的例子包括活动报告、日志、数据保存、事故响应、控制测试以及隐私政策等。
• 准备满足合规需求的证据。 如何从大量的合规条例和要求中收集合规的证据将是一个挑战。云服务的消费者应该指定出收集和存储合规证据的流程,包括日志、事件报告、系统配置备份、变更管理报告和其他流程输出资料。基于云服务模型,云提供商可能需要提供类似的大量信息。
• 审计师的资质和选择。在很多时候组织没有权利去选择审计师或安全评估人员。如果组织有一定选择的权利(selection input),由于很多审计师对云和虚拟化技术不熟悉,强烈建议选择一个对云有一定了解的审计师。询问一下关于IaaS/PaaS/SaaS相关术语的熟悉程度是一个不错的开始点。
• 云提供商的SAS 70 Type II。提供商应该有最低级别的审计声明,因为其要为审计师和评估人员提供一个可识别的参考点。由于SAS 70 Type II只保证文档中安全控制的实施,所以理解SAS 70 Type II审计的范围和安全控制是否满足你的要求是同等重要的。
• 云提供商通过ISO/IEC 27001/27002的计划。提供关键服务的云提供商应该在信息安全管理系统中达到ISO/IEC 27001的标准。如果云提供商没有通过ISO/IEC 27001的认证,他们应该证明与ISO 27002实践的契合程度。
• ISO/IEC 27001/27002的范围(Scoping)。云安全联盟正在业内呼吁未通过ISO/IEC 27001认证的云提供商联合起来,以保证范围定义没有忽略关键的认证准则。