雖然頗有吸引力的云計(jì)算聽(tīng)上去可以作為一種很不錯(cuò)的外包選擇，但是對(duì)企業(yè)和政府部門來(lái)說(shuō)，它同時(shí)也代表著一種對(duì)安全和法律問(wèn)題的普遍擔(dān)憂。云服務(wù)商常常會(huì)圍繞數(shù)據(jù)中心及其運(yùn)營(yíng)過(guò)程刻意營(yíng)造一種神秘氣氛，還大言不慚地聲稱這樣做可以提高安全性，哪怕讓所有人陷入黑暗中都無(wú)所謂。

數(shù)據(jù)中心的位置引發(fā)的安全擔(dān)憂

商業(yè)和工業(yè)分析家們極其討厭這種“不許問(wèn)，不告知“的云計(jì)算模式，在這個(gè)圈子中，盛行的是保密協(xié)議(NDA)，任何問(wèn)題都得不到回答，甚至連云服務(wù)商數(shù)據(jù)中心的位置和運(yùn)營(yíng)也好像是國(guó)家安全機(jī)密似地密不外泄。而公有云提供商們卻爭(zhēng)辯說(shuō)，此種對(duì)于保密的偏好是云服務(wù)模式所必須的。他們還常常舉出SAS-70 審計(jì)準(zhǔn)則作為擋箭牌，以安撫客戶們的憂慮。

“企業(yè)存儲(chǔ)在谷歌云中的數(shù)據(jù)是安全的，”谷歌產(chǎn)品營(yíng)銷總監(jiān)Adam Swidler在近期召開(kāi)的一次Gartner安全會(huì)議上如是說(shuō)。他還強(qiáng)調(diào)說(shuō)，谷歌的多租戶分布式模式必須“跨多個(gè)硬盤拼接數(shù)據(jù)”，所以在這“上百個(gè)Linux堆棧”中，就必須“對(duì)各個(gè)硬盤上所有文件的所有碎片進(jìn)行快速更新”，他稱此過(guò)程為“文件的無(wú)邊界化”。

Swidler承認(rèn)，有關(guān)數(shù)據(jù)存放的位置確實(shí)得有一定的密級(jí)，因?yàn)?ldquo;我們認(rèn)為暴露數(shù)據(jù)文件的存放位置可能會(huì)引發(fā)安全風(fēng)險(xiǎn)。”但是，“谷歌正在盡其可能地進(jìn)行一些開(kāi)放性嘗試。”

數(shù)據(jù)中心的位置問(wèn)題在云服務(wù)合同中是一個(gè)重要問(wèn)題，牽扯到立法和司法兩方面的問(wèn)題。舉例來(lái)說(shuō)，在某些數(shù)據(jù)隱私法律，如歐盟的一些法律中，數(shù)據(jù)的位置就是不允許公開(kāi)的。但是客戶們往往要關(guān)心他們的數(shù)據(jù)到底存放在了哪個(gè)物理位置上，而谷歌“則認(rèn)為，關(guān)心數(shù)據(jù)在物理上究竟存放在何處的概念多少已經(jīng)有些過(guò)時(shí)了，”Swidler說(shuō)。

然而，并非所有人都對(duì)此表示贊同。

很多客戶就是想知道云服務(wù)商的數(shù)據(jù)中心究竟在哪兒，必能寶下屬的OnDemand的部門經(jīng)理Kurt Jackson說(shuō)。該部門主要提供SaaS應(yīng)用，如用于市政、企業(yè)和政府客戶的地圖服務(wù)。

云服務(wù)商Terremark很樂(lè)意讓用戶對(duì)其數(shù)據(jù)中心進(jìn)行現(xiàn)場(chǎng)參觀，因?yàn)閿?shù)據(jù)中心的物理安全和網(wǎng)絡(luò)安全對(duì)于用戶是否決定采用Terremark 的服務(wù)甚為重要，Jackson說(shuō)。“如果數(shù)據(jù)中心在邁阿密，企業(yè)就知道自己的數(shù)據(jù)是在邁阿密，”他說(shuō)。“但是有些服務(wù)商則沒(méi)有這么透明。”

關(guān)于云計(jì)算究竟應(yīng)該透明還是神秘的爭(zhēng)論正在引發(fā)一場(chǎng)文化沖突，沖突的一方是傳統(tǒng)的數(shù)據(jù)處理外包模式，另一方則是新起的云計(jì)算使用模式及其觀念模式。

Gartner分析師John Pescatore認(rèn)為，不太可能簡(jiǎn)單地弄清楚，谷歌“在上百萬(wàn)個(gè)地點(diǎn)處理數(shù)據(jù)”的技術(shù)究竟是更安全還是更不安全，因?yàn)闆](méi)有可對(duì)其進(jìn)行評(píng)估的手段。 Pescatore在Gartner的安全會(huì)議上做演講說(shuō)，任何公有云服務(wù)商的SAS-70證書對(duì)于一些客戶來(lái)說(shuō)可能會(huì)認(rèn)為是合適的，但是別的客戶則不會(huì)這么看。“從安全等級(jí)上看，SAS-70是相當(dāng)無(wú)意義的，但是它能讓審計(jì)人員相當(dāng)輕松。”

“不透明即安全”是一種誤導(dǎo)

云計(jì)算還在挑戰(zhàn)著傳統(tǒng)的審計(jì)和安全概念，有必要形成一種新的審計(jì)手段。

“如果你的服務(wù)商不能為你提供有關(guān)安全流程的信息，以及為達(dá)安全目的而必須采取的措施和計(jì)劃，那么你就不能信任這家服務(wù)商，”美國(guó)《Network World》專欄作家Andreas Antonopoulos說(shuō)。

“不透明即安全“的陳舊理念是企圖對(duì)所有事情保持沉默和神秘感，以為如此便能最好地保障安全，這顯然是一種誤導(dǎo)。“這種理念是行不通的。因?yàn)榭倳?huì)有人知道你的秘密，”Antonopoulos說(shuō)。如果有人企圖用“不透明即安全”來(lái)說(shuō)服你的企業(yè)上鉤，那你最好“盡快離他遠(yuǎn)遠(yuǎn)的”。

法律專家們注意到了洛杉磯市和谷歌簽訂的云服務(wù)合同，該市將會(huì)在IT服務(wù)公司CSC的幫助下遷移到谷歌的e-mail和協(xié)作服務(wù)上去。

信息法律集團(tuán)的首席律師David Navetta最近完成了對(duì)洛杉磯市與谷歌和CSC簽訂的各項(xiàng)合同，這些合同規(guī)定了每一方在可能的數(shù)據(jù)泄漏和危險(xiǎn)賠償方面的責(zé)任。

他注意到，谷歌在合同中把CSC定義為一家“子承包商”，“因此，在破壞保密協(xié)議或丟失城市數(shù)據(jù)方面，CSC有責(zé)任為谷歌的行為或失誤買單。”但是他認(rèn)為，“數(shù)據(jù)丟失”這一術(shù)語(yǔ)應(yīng)在合同中規(guī)定得更為清晰才行。

Navetta稱，一般在談到評(píng)估和批準(zhǔn)云服務(wù)合同的工作時(shí)，總會(huì)遇上這樣的情形，云服務(wù)商聲稱時(shí)間緊迫，因而堅(jiān)持說(shuō)他們已沒(méi)有時(shí)間討論合同細(xì)節(jié)，不希望再做任何改動(dòng)。

“服務(wù)商的常用措辭一般是：‘我們不可能為了一個(gè)客戶更改一遍合同。’”Navetta說(shuō)。他說(shuō)服務(wù)商一般都不希望“讓客戶看到蓋子下面的東西”，會(huì)利用所謂保密性“來(lái)達(dá)成交易，讓你失去控制權(quán)。”所以毫不奇怪，很多大企業(yè)和政府部門期待能從云服務(wù)商那里獲得這方面更多的讓步。

然而并非所有的組織都會(huì)對(duì)與云服務(wù)商簽訂的合同感到不快。

原文鏈接：http://www.cioage.com/art/201107/93256.htm