云計(jì)算的保密和透明度沖突

　　企業(yè)和行業(yè)分析師已經(jīng)厭倦云計(jì)算供應(yīng)商這種“不問不說”的態(tài)度，沒有保密協(xié)議，也不回答問題，并且數(shù)據(jù)中心的位置和操作都被當(dāng)作國家安全機(jī)密一樣保密。而公共云服務(wù)供應(yīng)商則認(rèn)為他們的這種保密機(jī)制是適用于云模式的，并且所有云服務(wù)供應(yīng)商都是這樣做的。

　　供應(yīng)商們經(jīng)常拿出第70號服務(wù)機(jī)構(gòu)審計(jì)準(zhǔn)則(簡稱SAS70)審計(jì)證書來平息用戶的顧慮，雖然有些供應(yīng)商甚至都沒有SAS70證書。

　　“用戶存儲在谷歌云服務(wù)中的數(shù)據(jù)是安全的，”谷歌產(chǎn)品營銷經(jīng)理AdamSwidler近日在Gartner安全會議上表示，他強(qiáng)調(diào)了谷歌的多租戶分布式模式“將數(shù)據(jù)分散在很多硬盤”，這樣在這個(gè)“硬化的Linux堆棧”中能對硬盤中的所有文件的所有片段進(jìn)行快速更新，這個(gè)過程被稱之為“模糊文件”。

　　Swidler承認(rèn)對于云服務(wù)數(shù)據(jù)中心的位置的保密是因?yàn)?ldquo;這存在安全風(fēng)險(xiǎn)問題”，不過，谷歌正在試圖擴(kuò)大云服務(wù)的透明度。

　　目前來看，谷歌即使公開部分信息或者依據(jù)保密協(xié)議公開信息都是不能滿足每個(gè)人的要求的，Swindler表示，總會有些人想要更詳細(xì)的信息。

　　數(shù)據(jù)中心的位置是合同協(xié)議(涉及大量立法和司法問題)中的大問題。例如，數(shù)據(jù)的位置在某些數(shù)據(jù)隱私法律(歐盟的法律)中屬于重要問題。雖然用戶通常都很關(guān)心他們的數(shù)據(jù)的物理位置，但是谷歌認(rèn)為數(shù)據(jù)物理存儲位置的觀念有點(diǎn)過時(shí)，不過很多人都不同意這個(gè)觀點(diǎn)。

　　用戶想要知道云服務(wù)供應(yīng)商的數(shù)據(jù)中心的位置，PitneyBowes公司的OnDemand分公司(向企業(yè)和政府客戶供應(yīng)軟件即服務(wù)應(yīng)用程序，如城市地圖服務(wù))的總經(jīng)理KurtJackson表示。

　　關(guān)于云計(jì)算透明度和保密的爭論導(dǎo)致了一種文化沖突，即傳統(tǒng)的處理數(shù)據(jù)外包和新型云計(jì)算方式之間的沖突。

　　Gartner研究公司分析師JohnPescatore表示，我們無法知道谷歌“將數(shù)據(jù)分散在很多地方”的技術(shù)是否能提高安全性，因?yàn)槲覀儧]辦法對其進(jìn)行評估。在Gartner安全會議中，他認(rèn)為公共云服務(wù)供應(yīng)商的SAS70證書對于某些客戶來說行得通，但并不是所有客戶都信任SAS70，從安全水平來看，這個(gè)證書是沒有意義的，只是能夠取悅審計(jì)官。

　　Pescatore認(rèn)為，持有某種機(jī)密數(shù)據(jù)的企業(yè)不太可能會選擇公共云計(jì)算服務(wù)，除非將來某一天，他們能夠確定他們最愛使用的安全機(jī)制都在云環(huán)境中運(yùn)行。

　　云計(jì)算對傳統(tǒng)的審計(jì)和安全觀念帶來挑戰(zhàn)，這可能是一種需要解決的全新的審計(jì)方式。

　　“如果你的服務(wù)供應(yīng)商不向你提供有關(guān)安全進(jìn)程和規(guī)劃方面的信息，則你不能信任這個(gè)供應(yīng)商，”Nemertes研究所分析師AndreasAntonopoulos表示。

　　“模糊安全”這種舊觀念完全是誤導(dǎo)，它是指采取完全保密的方式能夠加強(qiáng)安全性，“這是行不通的，總是有人知道某些安全信息，”Antonpoulos表示。如果有人試圖用這個(gè)舊思想來說服你的公司接受他們的產(chǎn)品，最好是掉頭就走。

　　Analysingthefineprint

　　法律專家注意到，洛杉磯市公布了與谷歌關(guān)于遷移到谷歌電子郵件和協(xié)作服務(wù)(由美國計(jì)算機(jī)科學(xué)公司提供IT服務(wù)協(xié)助)的合同。InformationLawGroup公司的律師DavidNavetta最近完成了對洛杉磯市與谷歌和美國計(jì)算機(jī)科學(xué)公司的合同的分析，以確定谷歌與美國計(jì)算機(jī)科學(xué)公司對于潛在數(shù)據(jù)泄漏和損害賠償各自承擔(dān)的責(zé)任。

　　他指出，谷歌被定義為美國計(jì)算機(jī)科學(xué)公司“分包商”，對于數(shù)據(jù)泄漏或者丟失，美國計(jì)算機(jī)科學(xué)公司需要為谷歌的行為或者錯(cuò)誤支付賠款，不過，他認(rèn)為數(shù)據(jù)丟失這一說話應(yīng)該進(jìn)行更加詳細(xì)的定義。

　　一般來說，對于評估和審批云服務(wù)合同的工作，總是會遇到相同的情況，即云服務(wù)供應(yīng)商堅(jiān)稱他們沒有時(shí)間談?wù)摷?xì)節(jié)或者不想做出改變。

　　“通常他們會說，‘我們不會專為一位客戶做這樣的改變’，”Navetta表示，安全和法律通常是屬于同一方面，而IT部門想要速戰(zhàn)速?zèng)Q以節(jié)省開支。他表示云服務(wù)供應(yīng)商通常不想讓客戶知道太多東西而讓他們對局面失去控制。

　　毫不奇怪，大公司和政府機(jī)構(gòu)會認(rèn)為能夠從云服務(wù)供應(yīng)商獲取更多讓步，但并不是所有企業(yè)都對合同有所顧慮。

　　Merit醫(yī)療系統(tǒng)公司網(wǎng)絡(luò)系統(tǒng)主管LincolnCannon表示他們公司在與谷歌Apps、Telania的eLeap銷售培訓(xùn)，以及Amazon的新公司網(wǎng)站開發(fā)三者間的云計(jì)算服務(wù)合同談判中都采取了幾個(gè)步驟，他們將樣本法律協(xié)議交給法律部門，來來回回進(jìn)行修改，直到各方都滿意為止。

　　并不是所有云服務(wù)供應(yīng)商都反復(fù)討論保密問題。

　　云基礎(chǔ)設(shè)施服務(wù)供應(yīng)商ReliaCloud有兩個(gè)數(shù)據(jù)中心，并約有100名云客戶在使用其新的基于殺毒軟件的環(huán)境，該環(huán)境建立在由Cloud.com設(shè)計(jì)的管理平臺，首席技術(shù)官JasonBaker表示。

　　不過，該托管服務(wù)供應(yīng)商的5000位客戶中，大部分客戶都選擇繼續(xù)使用該公司提供的更傳統(tǒng)的基于專用服務(wù)器的數(shù)據(jù)存儲方式。云計(jì)算的概念仍然很新，客戶都在試圖弄清楚云計(jì)算與傳統(tǒng)數(shù)據(jù)存儲的差異。但是Baker認(rèn)為，共享租戶且基于虛擬機(jī)的云服務(wù)所提供的高實(shí)用性是專用服務(wù)器所不能比的。

　　“這是更可靠的，”他表示，“如果你的應(yīng)用程序在物理環(huán)境中運(yùn)行，客戶可能會遭遇停機(jī)。但是在云計(jì)算環(huán)境中，我們有很多虛擬機(jī)，即使一個(gè)物理節(jié)點(diǎn)故障，則會在云環(huán)境中的另一個(gè)節(jié)點(diǎn)繼續(xù)進(jìn)行。”另外，使用一些API(應(yīng)用程序編程接口)能夠允許客戶的應(yīng)用程序感應(yīng)需要增加計(jì)算能力并立即執(zhí)行。

　　與某些云供應(yīng)商不同，Baker愿意告訴客戶正在使用的安全防御措施，例如防火墻等。

　　對客戶來說，目前的問題是云服務(wù)供應(yīng)商將公開多少信息。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]