对于存储合规相关的数据而言,云技术显然非常合适。软件即服务(Saas)供应商也将其服务定义为一种更经济的方式,来将很少访问而要求很高安全性和访问控制的数据从主站点存储上分离出来。不过专家提醒,在没有仔细检查第三方服务的情况下,将合规数据通过云归档的方式存放可能会带来风险。
目前有很多不同类型的基于云的服务供应商提供数据归档服务,从公有云存储站点,比如亚马逊的Simple Storage Service(S3)到专业提供合规数据归档的供应商。
提供合规数据归档的云服务供应商一直在努力平息在数据安全性、可控性和业务稳定性方面的问题。“做这行的人都有一段时间的业务经验,他们知道他们在做什么,”ESG资深咨询分析师Brian Baineau如是说。
不过并不是所有人都深信所有问题都解决了。以下是一份纲要,列出供应商如何缓解应用基于云的合规数据归档时通常会有的顾虑,以及仍然遗留的问题。
云技术中的安全性
许多知名的业务和服务供应商(包括微软在内,其在2010年12月表示有未经授权的用户从起BPOS上下载了数据)都尴尬地对外透露过信息泄露事件,这使得管理员对于云供应商中高度敏感的合规相关数据的物理和虚拟安全性颇具质疑。
“我们正在谈论的是获取这些团体内最为关键的部分数据”George Tziahanas是法律和合规解决方案的Autonomy公司的全球总裁,“这着实是这些公司的命脉,是高度机密的。”
一些供应商定位其符合第70号审计标准(SAS70),Type I或Type II,作为安全性衡量的标准证明。Gartner公司的研究副总裁Jay Heiser解释了这两者的不同。“SAS70 Type I由审计从业人员发布,用以证明相应的控制流程足以处理合同中的服务级别要求,”他说。根据Heiser的说法,SAS 70 Type II审计要求审计员到现场检查服务供应商是否遵从了相应的流程。
不过Heiser警告表示,SAS 70审计“并非是一项认证,而是一项证明”其中问题在于审计并非基于任何最佳实践或工业标准;SAS 70仅仅是审计报告的一种形式。根据Heiser的观点,一项成功的SAS 70 Type I审计只意味着服务供应商的过程可以满足其在合约上的承诺。“它不会承诺任何实际服务的质量,”他说道。
Heiser同时表示,他建议企业在云服务供应商的选取时,在候选公司中至少进行以下四部的调查:
1.准备并通过调查问卷的方式服务供应商的基本服务信息、设备信息和安全措施。Heiser提到SharedAssessments.org和Cloud Security Alliance (CSA)已经提供了相应的调查问卷供管理员参考使用。
2.检查每家云服务供应商的上游供应商信息。
3.检查所有第三方的证明信息,比如SAS 70或ISO/IEC 27001:2005。
4.到现场去。Heiser提到服务供应商通常会根据你的业务价值让你访问他们的现场情况。
三家提供基于云服务的服务供应商——Autonomy,Mimecast和Symantec公司——通过高级数据保护技术和加密技术解决用户在安全性方面的顾虑。
Autonomy管理超过17PB的合规相关数据,并且同步地将数据写入多块独立的物理设备中,并可能位于不同位置,采用不同格式。
根据Mimecast技术讲师Orlando Scott-Cowley的说法,Mimecast同样将其数据存储在不同的设备上并位于不同的位置,因此即便偷取整块磁盘驱动器或机架也无法取得任何有用的信息。该公司同样采用加密技术保护所有用户数据并未每位用户分配一个256位的高级加密标准(AES)密钥。作为进一步的安全措施,Scott-Cowley说,Mimecast还为每位用户分配一个用户号,并且为相应的数据标记上该用户号。用户只能查看有一致客户号的数据。
Symantec则在用户数据传输至数据中心过程中对其加密,并在存放过程中使用一个256位的AES密钥。
你知道你的数据存放在哪里么?
有一些政府条例对数据可以存放的地点有区域限制。欧盟资料保护纲领(95/46/EC)要求其成员区域在向第三方国家传输数据时,必须确保这些国家可以对个人数据提供“充足的保护级别”。
管理员同样也不喜欢云服务供应商将数据分割在不同的数据中心中,甚至不同国家的数据中心中。Autonomy的Tziahanas说,“这些受到规范约束的公司想到的第一件事情就是必须明确他们的数据到底存放在哪里。”
“通常的云供应商,比如亚马逊和Google云和Autonomy最大的不同在于,你在特定的一段时间可以明确你的数据到底在哪里,”他补充说道。
Autonomy和Symantec允许潜在用户对其自己进行审计,以确保数据存放在公司宣称的那些地方。Symantec允许公司制定数据存放的数据中心,并且和该公司关联的邮件账户等也会指向到该数据中心。
从云中检索数据
此外,管理员对于云服务供应商还有的一项顾虑就是快速检索数据的能力。
“从合规或法律的角度讲,任何时候你存放的信息,你都要可以将其取回,”Phil Favaro是Symantec公司一位电子发现方面的律师,他说道。其实受合规约束的公司不仅要求在特定时间段内存储制定的数据,并且当需要内部或政府审计以及电子发现方面需求时,有义务到法庭、合规主题和管理层来快速取回数据和原始数据。
“你是否能够快速浏览你的虚拟文件柜,并在七天之内根据法庭要求找出与之想顺应的资料?”Favaro问道,“我有这样的一个问题,这非常重要,云供应商是否能够提供这样一种结构,如果没有这样一种结构的话,公司会和法院或监管机构惹上麻烦。”
Ponemon学院LLC安全调查中心近期的一项研究发现合规以及存储非结构化的信息每年平均花费了企业约210万元,却无法进行企业智能化的资本管理。
该学院的成立者兼主席,Larry Ponemon说道,这项研究关注大约100家公司的至少1,000的IT席位,这些人私下都认为云是一项降低合规成本的途径。不过,他提醒将记录放在云端并非是完美的答案。
“我和近20家企业谈过,几乎每家企业都提到使用云或管理服务可能会在很大程度上改善这些问题,”Ponemon说道, “我想云确实是提供这样一种服务,不过,正因为是云,它无法解决这样的问题,谁访问了什么数据,以及为什么。他们只是简单地访问它。”
Ponemon说很重要的一点是,任何合规应用,云或者内部的,将记录视作文件级别。“其必须是文件级别而非卷级别的,”他说道,“很可能你只需要1,000条记录中的一条。”
服务水平协议的重要性
Autonomy和Mimecast通过严格的服务水平协议解决这方面的问题。“当有人听到‘云’这个词时,他们想到了亚马逊和Google,当他们独到这些恐怖的故事,并且理解他们的数据可能会被从这样一个基础架构上偷走,这完全是他们无法控制的,没有任何服务水平协议保证,”Mimecast的Scott-Cowley说。他说Mimecast确保100%的服务可用性,包括任何时间、地点通过网络界面访问归档后的邮件。
Autonomy所提供的服务水平协议涵盖了访问,数据多快可以被写入磁盘和目录,多快可以被调取供调查所用,数据可以多快通过政策过滤,以及用户可以多快地通过政策过滤推送出的信息中找到所需资料。“你可以存储每一天的数据,不过假设你没有一个很好的机制来对其进行访问,这些就是完全不相干的信息。”公司的Tziahanas说道。
通过严格的服务水平协议,本地化的服务,以及严格的安全性衡量,云数据归档服务市场正在日渐成熟。不过这并不非意味着每家服务供应商会使用相同的工具。“从风险管理角度看,你无法在‘云’前止步不前,”Gartner的Heiser说,“你必须深挖并发现供应商所谓的‘云’究竟是什么。”
这意味着挖掘得更深入一些,在所谓的工业标准安全性审计上更深入一些,可能的话实地考察服务供应商的设备。这一系列的防御措施可以使你在应对法院和监管机构时更为从容不迫。