深度解析:法律條文使云計算更規范
云計算與傳統應用模式相比有著突出的優勢。但是,云計算還有一些破壞性的價值。尤其是具有長期破壞能力的“公有云”。這正如云在經濟上的幫助非常引人矚目,因此,圍繞它的安全和法律相關問題也將會得到最終的解決。
但是,最近我們注意到,已經出現了一些有趣的法律糾紛,集中在公有云上的私有信息保護上。最新的一份來自Gartner的分析師AndrewWalls的研究報告指出,企業會非常簡單的認定,能夠自主管理的IT環境要比公有云環境安全多了。
“當你建立起私有云并且開始思考,‘這就是我們舊數據中心的標準,我們現在只不過是改變了標準的操作方式,我們所做的并沒有什么實質上的真正改變’,這是一個很大的問題,也正因此,數據中心的經理常常會在安全節目上表態,虛擬化將會造成什么樣的實際影響。”
“他們認為這樣會導致一些些的風險,因此不會去采用它。但是我從一個數據安全組織成員的豐富經驗來看,公有云中的管理員遍布世界各地,在公有云中的數據犯罪案件并不會比在企業封閉的IT環境中高很多。”
實際上,無論是從技術上還是企業組織的實際情況,有一個因素,對于企業和云服務商而言,都能增加安全風險的控制,這就是法律。如果忽視這個就意味著企業不能完整的評價IT環境的安全性。
有些法律影響著數據的管理和控制
這里有兩個主要的“威脅”和法律以及云有關。首先是要明確法律用戶,如何規定在數據存儲上的安全問題和處罰措施,歐盟的數據隱私保護法可以作為一個參考。英國在1998年制定的數據保護法略有不同,而美國現行的出口管制法律則非常有意思,似乎可以作為一個參考標準。
“風險”是云服務供應商無法保證用戶留在云端的數據已經他們在數據的傳輸過程中不會違法這些法律之一。在IaaS模式下,用戶通常在這方面具有很大的 責任,但在PaaS和SaaS的環境中,用戶對于大部分數據,并不清楚它們的處理過程和存放的位置。歸根結底,用戶的數據是在法律約數的范圍之外進行使用 的,這就很大程度上導致了用戶對于數據的不可控,在公有云中,這樣的風險還會繼續增加。
云計算缺乏判斷
第二類是風險法律面對云計算而設立,但是,未來在全國范圍內會有更多更邪惡的安全威脅,諸如如何對待云、云服務的供需雙方都有什么權力以及用戶如何確保數據和知識產權的完整性等等問題都尚未解決。
這里我們涉及到了美國憲法第四修正法案里關于禁止非法搜查的問題,在云計算上的安全問題我們可以參考下EMI和MP3tunes.com之間的官司糾紛。
三年前,百代唱片起訴它的創始人和CEOMichaelRobertson,稱其在互聯網上故意侵犯版權,百代唱片表示,MP3tunes.com和它們的姐妹網站Sideload.com(一個數字媒體搜索引擎)在設計上有誤導消費者侵犯版權的嫌疑。
Robertson辯護稱,網站僅僅為最終用戶提供了存儲功能,根據之前的千年版數字安全版權保護條例,只要用戶刪除了包含有侵權的內容,就可以免于被起訴。
在這個案例中,云存儲服務商找到了一個讓他們免于刑責的方法,就是及時刪除侵權數據。即使我們能夠確認是MP3tunes的發現并且推動了侵權活動的 進行,但是我們沒有法律去證實這一點。發現問題沒有,這里就出現了一個危機,云存儲服務商可能因為規避法律問題而私自處理你的數據!
而另一方面的危機來自于物理設備所有權的控制,你的數據可能會遭受到。想象一下,你的云服務供應商被發現違反了聯邦法律中涉及的內容,FBI決定扣押他們的服務器和磁盤上的內容以進行進一步的調查,這時候,你的數據……
在這個假設的情況下,你有可能得到你的數據備份嗎?你有什么權利?根據2009年德州托管商案件,其中200名被檢系統——其中絕大多數屬于供應商的客戶,而不是被調查供應商——得到的數據將會很少,補償就不要想了。
沒有單一的“更好的方案”云
我不想在這里夸大云計算的風險。我們已經在和托管、外包打交道很久了,這其中鮮有法律方面的“災難性”問題。供應商一般都會意識到這些問題,并提供架構或功能,以幫助符合法律要求。從長遠來看,這些問題會自我解救出來,在公有云環境將日益普及之前就得到解決。
然而,這里要明確指出的是,宣傳幣公有云“更安全”的私有云似乎只是炒作,這個論調無視了我們新生的云計算市場脆弱性這個關鍵的現實。直到市場的成 熟,“更好的安全性”的問題才是我們應該考慮的,并且在風險前部署解決方案。考慮到這一點而言,公共和私有云都有自己的弱點和長處——這可能從公司到公 司,甚至不同的應用程序都各具優劣。
這就是說,Walls作出關鍵的說明,和筆者的觀點一致。僅僅因為一個私有云是在防火墻后面,并不意味著你的安全工作可以做的更少了,或者說更容易的 確保私有云環境的安全。擁有一個數據中心并不會讓你比任何一個公共云提供商自動“更安全”,企業想要獲得更好的安全還是要靠自己。
云計算雖然給互聯網帶來了一次變革,但是,它的確定我們也必須清晰地認識到,這樣才能提高網絡安全服務的效率。
【編輯推薦】
