云服务供应商也应该是安全和法规遵从的教练吗?这种概念并没有那么奇怪,而且一些行业专家和内部人士说,这样还可以在云计算的进程中免除双方的痛苦。
担保和法规咨询公司BrightLine CPAs & Associates Inc.的负责人Doug Barbin说,在云服务供应商世纪提供的安全策略和维护以及客户最终自己负责处理的事务之间通常存在断节。
Barbin 在最近的Gartner Catalyst 大会上说“在这些虚拟化的环境中,……一台(虚拟机)可能有一个标准的Windows安装;虚拟机是用户通过了的,用户拥有对虚拟机的管理访问权限。”他说,至于谁来负责维护和补丁等事务,这还是个灰色区。
Barbin在他的客户中遇到的最大挑战是“预期代沟”.客户通常不能理解在保证指定的云服务满足公司的法规要求给予云服务供应商的法规责任方面,他们的职责从哪里开始,又在何处结束。他说:“前提是你外包,而且要照顾好;用户并不总是能认识到他们也有责任保护环境的安全。”
云法规是一条双行道
Gartner的副总,也是着名分析师的Dan Blum说,这样的场景说明了云服务供应商为什么应该指导用户如何顺应云环境。有经验的云服务供应商会逐步进入、分享他们的理解、指导用户作出必要的变更,他说,这种服务最终对双方都有价值。
托管和网络服务供应商Savvis Inc.的安全服务副总Chris Richter表示同意。他说,Savvis Inc.帮助客户准备的事件包括Payment Card Industry,或PCI 法规的审计,或ealth Insurance Portability and Accountability Act的法规审计。Richter说,如果客户从定制计算迁移到云,它还帮助他们重新架构他们的环境。他补充说,这种迁移的时期是公司改善安全控制的最佳时间。他提到了曾经看到过“杂乱得惊人的数据中心”,而且他可以帮助在迁移到云环境的过程中清理干净。他说:“这迫使客户遵守那些行为准则。”
数据分类似乎是Richter客户最弱的一项。在回应中,他已经提醒他们不要把高价值数据以及敏感数据与在同一网段上公开使用的数据混合。Richter说:“他们甚至把这些数据中心运行在相同的服务器上,然后他们经常会错误地在其上采取很少的安全控制,或者在很多情况下,花费太多的资金。”
Richter说:“迁移到云非常好,有规则流程锁定安全控制。”他对未来云客户有什么建议呢?“帮助我们就是帮助自己。”