從概念上看，云計算似乎很普通。事實上，操作部署以及許可的簡單性才是“云”最誘人的資本。但問題是，深入探究后你發(fā)現(xiàn)要遵從“云”其實并不簡單，有很多問題需要思考。

　　大到政府法規(guī)，例如《薩班斯·奧克斯利法案》(SOX)以及歐盟數(shù)據(jù)保護法，小到行業(yè)法規(guī)，例如支付卡行業(yè)數(shù)據(jù)安全標準(PCIDSS)以及美國健康保險攜帶和責任法案(HIPAA)，云規(guī)則可謂無處不在。或許你已經(jīng)實現(xiàn)了內部掌控，但在向公共云計算基礎設施平臺抑或基于云的應用套件轉移的過程中，面對云供應商，你不得不放棄一些掌控。

　　這正是今天很多審計員、CIO和CEO的一大困擾。他們迫切地想知道：怎樣才能在大力發(fā)展“云”的同時遵守云規(guī)則，避免聲譽受損。一些分析師、供應商和顧問就這個問題給出了以下建議：

　　1.認清云對IT工作負載的影響

　　當你評估云供應商時，試著去尋找能在用戶身份、訪問管理、數(shù)據(jù)保護和事件響應方面提供良好策略的供應商。這是最基本的合規(guī)要求。然后，一旦你給未來的供應商具體制定合規(guī)要求，將很可能遭遇具體的“云”挑戰(zhàn)。

　　數(shù)據(jù)定位就是其中之一。舉例來說，歐盟數(shù)據(jù)保護法案禁止歐盟居民的個人信息外流。因此，你的云供應商必須確保將歐盟客戶的信息保存在歐洲的服務器上。

　　多租戶和清除配置也將帶來挑戰(zhàn)。公用云提供商采用多租戶架構來降低服務器工作負載，同時削減成本。但這就意味著將與其他企業(yè)共享服務器空間。因此，你必須清楚云服務商能提供何種保護措施，以避免向其他企業(yè)妥協(xié)。根據(jù)數(shù)據(jù)的重要程度，你可能需要對之加密。例如，美國健康保險攜帶和責任法案(HIPAA)就要求對用戶所有數(shù)據(jù)進行加密，不論數(shù)據(jù)是否正被使用。

　　隨著密碼身份認證技術越發(fā)復雜，為用戶清除配置也愈發(fā)具有挑戰(zhàn)性。不可否認，聯(lián)合身份管理計劃幫助用戶更方便地登陸至多個“云”，但也導致配置的清除更為棘手?！爱敼蛦T離開公司，你希望按一下按鈕，就可以自動關閉他們的Windows帳戶和所有企業(yè)內部應用程序。同時，你希望雇員的移動電話無權獲取企業(yè)信息，雇員無權接觸企業(yè)SaaS應用?！鄙矸莨芾砑昂弦?guī)工具提供商Centrify總裁TomKemp表示，目前看來，自動清除配置尚未實現(xiàn)基于云平臺和內部部署系統(tǒng)的同時應用。

　　2.跟蹤瞬息萬變的云標準

　　不論喜歡與否，你都是“云”的早期應用者。將哪些應用程序遷移到云?什么時候遷移?加深對云計算新標準的理解有利于做出更好的抉擇。

　　今天你可以參照SAS70TypeII和ISO27001兩大標準，以遵守金融和信息安全方面的政府及行業(yè)法規(guī)。但這些標準不一定適合公司發(fā)展。

　　“諸如ISO27001和SAS70的標準很有效，但可能已經(jīng)過時?！笔袌鲅芯抗綟orresterResearch的副總裁兼首席分析師JonathanPenn進一步表示，“當涉及數(shù)據(jù)安全，身份管理和管理員控制時，這些標準也并非很具體。我們必須讓用戶清楚即將發(fā)生的一切，而現(xiàn)在這近乎一個‘黑箱’?！?/p>

　　提高透明度是云安全聯(lián)盟(CSA)的一大目標。CSA成立3年來受到了用戶、審計師和服務提供商的廣泛歡迎，其主要目標是標準化審計框架，加強用戶和云供應商之間的溝通。

　　目前，GRC(監(jiān)控、風險和合規(guī))標準套件進展順利，它包含4大要素：云信托協(xié)議，云審計，共識評估倡議和云控制矩陣。其中，云控制矩陣以電子表格的形式羅列了企業(yè)遵守其IT控制領域標準須達到的基本要求，例如“人力資源-終止雇傭關系”。而共識評估倡議就用戶和審計師對供應商在控制領域的具體期望，提供了一份詳盡問卷。

　　基于CSA等聯(lián)盟，包括行業(yè)團體、政府機構的共同努力，未來幾年內，新標準將會層出不窮。CSA已經(jīng)與ISO(國際標準化組織)，ITU(國際電信聯(lián)盟)，NIST(美國國家標準和技術協(xié)會)正式結盟，以幫助這些組織進一步完善標準。據(jù)調研公司ForresterResearch報道，截至2010年底，已有48個行業(yè)團體致力于云安全相關標準的研究。[nextpage]

　　3.關注SLA

　　不管貴公司的規(guī)模與狀態(tài)如何，都不要假定云供應商標準的合同條款滿足您的需求。從檢查供應商的合同開始進行嚴格的評估。

　　MichaelLarner是HoganLovells律師事務所的一名律師，這是他提供的建議。HoganLovells律師事務所在云合規(guī)性及安全問題上具有豐富的經(jīng)驗。Larner經(jīng)常幫助客戶就服務水平協(xié)議(servicelevelagreements，SLA)與云供應商進行談判，他說首先從風險效益分析開始，了解云供應商標準的合同條款是否能夠滿足您對合規(guī)性的要求。如果不滿足合規(guī)性要求，那就要決定需要與云供應商進行哪些交涉以增加舒適度。

　　貴公司的規(guī)模能夠為交涉增加砝碼，但是如果小型的公司是云供應商試圖拓展新行業(yè)，那么小型公司也能夠找到對應的交涉砝碼。總之，在任何情況下都不要害怕去和云供應商進行談判。

　　Larner說：“有太多的公司都認為如果他們在面對一個大型的云供應商，那么這個這個云供應商是不會和他們進行談判的。實際上，你可能會發(fā)現(xiàn)為了提升貴公司的舒適度，該云供應商樂意為你而破例?！?/p>

　　Larner說，如果云對您來說是陌生的，您可能發(fā)現(xiàn)以非關鍵數(shù)據(jù)開始是樹立信心的一種很好的方式。

　　但是嚴格的評估不應該僅僅以全面的SLA結束。NiravMehta是RSA公司的云計算戰(zhàn)略總監(jiān)，他說您應該繼續(xù)密切關注云供應商?！半m然有一個很好的SLA，但是如果供應商的云服務中斷，業(yè)務連續(xù)性將發(fā)生什么?”Mehta認為在將來為確保備份最好的戰(zhàn)略是使用多個云。

　　4.安全優(yōu)先

　　Forrester公司的Penn說，為最好地理解潛在的風險與收益，您應該盡早與安全小組討論。

　　“在適當?shù)沫h(huán)境中安全及合規(guī)性問題才能提上日程。”Penn說，“企業(yè)主管能夠理解安全問題而且能夠在風險級別與提供的減緩某些風險的預算之間進行權衡是非常重要的?！?/p>

　　遷移到云中通過在安全委員會中正式確認風險評估功能，可能為安全與企業(yè)的目標更加永久地保持一致提供機會。安全委員會能夠幫助評估風險并提供符合企業(yè)戰(zhàn)略目標的預算建議。

　　你同樣應該重視大量安全服務及云供應商合作伙伴提供的安全創(chuàng)新。Dome9是Amazon的合作伙伴，它解決云相關的技術問題—當不使用云服務器的SSH以及其他端口時，Dome9就關閉這些端口，這樣已經(jīng)獲得訪問權限的攻擊者就不能登錄到云服務器中了。

　　DaveMeizlik是Dome9的銷售副總裁，他說：“在企業(yè)中，這些端口默認是打開的。但是在云中當你的云服務器不需要工作時，你希望能夠關閉它們。而你不能在每次服務器關閉時都給云提供者打電話，讓它幫你關閉相應的端口”

　　云計算可能提供了某些風險，但是當安全創(chuàng)新迎頭趕上后，這些風險將減少。即使在今天，根據(jù)Forrester公司的Penn所說，“云服務的安全問題不會像其他IT趨勢比如智能手機或者社交媒體蔓延那樣如此令大多數(shù)企業(yè)安全團隊感到擔憂。從根本上說，對于云應用來說，安全問題將逐漸減少而不會引起越來越多的關注。”