如今,很多企業(yè)提高了云平臺的安全性和抵御外部攻擊者的能力,但他們仍然擔心云計算提供商如何使用與帳戶相關的數據方面缺乏透明度。
AWS、Microsoft、谷歌云等公共云取得了長足的進步,以提高對其用于支持和訪問用戶工作負載的流程的可見性。值得注意的是,他們增加了滿足HIPAA、GDPR和PCI等合規(guī)性標準的保證。然而,一些行業(yè)專家表示,這些主要的云計算提供商在云計算透明性方面做得還不夠。
這些批評人士希望云計算提供商提供更多關于他們如何使用在幕后收集的遙測和元數據的報告,他們希望看到一些云計算供應商有著更多的改變,以提供更多工具來跟蹤與用戶工作負載的直接交互。
數據訪問控制
所有云計算提供商都在遵從性框架方面對數據保護提供一定程度的控制。企業(yè)依靠這種監(jiān)督來維護與企業(yè)應用程序相關的所有數據的訪問、編輯或刪除方式的審計跟蹤。
云計算安全和合規(guī)解決方案提供商Qualys公司產品管理總監(jiān)HariSrinivasan表示:“作為全球擴展的一部分,云計算提供商正在越來越多地針對不同的區(qū)域法規(guī)標準來認證其環(huán)境、數據保護和隱私。”
涉及云中個人數據隱私的認證和標準(例如ISO27018)驗證了云計算提供商是否遵循特定的安全原則。這些標準以書面形式做出了具體保證,例如保證供應商不會與第三方共享數據,除非地方政府以適當的司法許可證提出要求。
工作流管理平臺提供商Kissflow公司產品管理副總裁DineshVaradharajan表示,云計算提供商還使用第三方供應商進行漏洞評估,以確保其內部系統(tǒng)穩(wěn)定并且沒有安全漏洞。企業(yè)應該請求這些合規(guī)性報告,以發(fā)現在遷移到云端時可能造成的安全漏洞。這些報告可幫助企業(yè)了解存儲和傳輸加密的工作原理,如何管理數據備份以及在合同終止時如何處理數據。
但是,Varadharajan認為,通過發(fā)布有關數據備份,已解決漏洞列表、內部審核和結果的統(tǒng)計信息,云計算提供商需要更加透明,這將為企業(yè)帶來更多的信心。
Varadharajan說:“總之,企業(yè)需要一個儀表板來連續(xù)監(jiān)視存儲的數據狀態(tài)。”
有關遙測和元數據的擔憂
許多云計算服務收集遙測數據以提高應用程序性能。這引發(fā)了企業(yè)和政府對云計算透明度的擔憂,他們擔心會對個人或企業(yè)信息造成損害。例如,德國黑森州的學校被禁止使用MicrosoftOffice軟件。在荷蘭,微軟公司與荷蘭司法和安全部合作,解決了與遙測有關的8個高級數據保護風險,以便該服務能夠在荷蘭使用。
機密計算有望提供更好的控制
在將來,云計算提供商可以通過更安全的計算服務為企業(yè)提供更好的數據控制。微軟、谷歌、英特爾和其他公司創(chuàng)建了機密計算聯(lián)盟,旨在簡化在不受硬件、操作系統(tǒng)和其他應用程序保護的區(qū)域中運行計算的過程。
這項工作仍處于初期階段,特別是因為這些工作負載往往更難以管理。但是它可以為關心工作負載保護的企業(yè)提供更好的安全性和更大的保證。谷歌公司提供了Asylo機密計算框架,而微軟公司提供Azure機密計算,以安全地運行工作負載。
但是現在沒有一家云計算供應商提供關于使用服務級別元數據的透明性。Srinivasan說,云計算供應商會跟蹤客戶的匿名使用情況和元數據,以發(fā)現其服務中的差距,并確定其他可以實現產品的用戶興趣。
無服務器監(jiān)控平臺提供商Lumigo公司首席執(zhí)行官兼聯(lián)合創(chuàng)始人ErezBerkner說,提供商對這些元數據的訪問可能也是其他業(yè)務領域競爭的客戶的主要擔憂。即使企業(yè)對其數據進行加密,云計算提供商仍可以訪問有關虛擬機數量和事務的信息,這是在其平臺上托管的產品或服務的使用和成功的重要標志。
文件共享、同步和備份供應商FileCloud公司首席運營官VenkatRamasamy說,云計算提供商可以利用這些信息來獲得自身的優(yōu)勢,例如提供競爭性服務或收購公司。因此,他們應該針對數據和元數據訪問生成透明度報告。
Ramasamy說,對用戶的另一種保護將是類似于金融行業(yè)所做的虛擬障礙。在這一計劃中,投資銀行部門與股票分析師群體互相隔離,以防止利益沖突,該部門擁有關于很多公司非公開的重要信息。如果將此應用于云計算,內部產品團隊將與為獨立軟件開發(fā)商(ISV)運行云計算市場的部門隔離開來。
云計算供應商提高訪問透明度
盡管存在一些擔憂,但有跡象表明云計算提供商愿意解決透明度問題,特別是在如何訪問用戶數據方面。
GoogleAccessTransparency使用戶能夠接收日志,該日志生成與用戶數據進行的所有員工互動的跟蹤。這對于提供系統(tǒng)審核很有幫助,并且可以促進確認符合各種類型法規(guī)(例如HIPAA和GDPR)的報告。此外,采用GoogleAccessApproval,用戶可以批準或拒絕谷歌公司工程師訪問谷歌云服務的客戶數據的請求。不過,谷歌公司保留在法律要求時訪問數據的權利,以應對安全事件。
微軟公司為Office365提供了名為客戶密碼箱的類似服務。該公司最近推出了Azure客戶密碼箱的預覽版,該預覽版使用戶可以更好地控制與Azure相關的所有數據的使用方式。
