企業(yè)需要更多的云計算透明度

云計算提供商提高了對其平臺的可見性，但是企業(yè)仍然需要更多有關(guān)信息。

如今，很多企業(yè)提高了云平臺的安全性和抵御外部攻擊者的能力，但他們?nèi)匀粨?dān)心云計算提供商如何使用與帳戶相關(guān)的數(shù)據(jù)方面缺乏透明度。

AWS、Microsoft、谷歌云等公共云取得了長足的進步，以提高對其用于支持和訪問用戶工作負載的流程的可見性。值得注意的是，他們增加了滿足HIPAA、GDPR和PCI等合規(guī)性標準的保證。然而，一些行業(yè)專家表示，這些主要的云計算提供商在云計算透明性方面做得還不夠。

這些批評人士希望云計算提供商提供更多關(guān)于他們?nèi)绾问褂迷谀缓笫占倪b測和元數(shù)據(jù)的報告，他們希望看到一些云計算供應(yīng)商有著更多的改變，以提供更多工具來跟蹤與用戶工作負載的直接交互。

數(shù)據(jù)訪問控制

所有云計算提供商都在遵從性框架方面對數(shù)據(jù)保護提供一定程度的控制。企業(yè)依靠這種監(jiān)督來維護與企業(yè)應(yīng)用程序相關(guān)的所有數(shù)據(jù)的訪問、編輯或刪除方式的審計跟蹤。

云計算安全和合規(guī)解決方案提供商Qualys公司產(chǎn)品管理總監(jiān)Hari Srinivasan表示：“作為全球擴展的一部分，云計算提供商正在越來越多地針對不同的區(qū)域法規(guī)標準來認證其環(huán)境、數(shù)據(jù)保護和隱私。”

涉及云中個人數(shù)據(jù)隱私的認證和標準(例如ISO 27018)驗證了云計算提供商是否遵循特定的安全原則。這些標準以書面形式做出了具體保證，例如保證供應(yīng)商不會與第三方共享數(shù)據(jù)，除非地方政府以適當(dāng)?shù)乃痉ㄔS可證提出要求。

工作流管理平臺提供商Kissflow公司產(chǎn)品管理副總裁Dinesh Varadharajan表示，云計算提供商還使用第三方供應(yīng)商進行漏洞評估，以確保其內(nèi)部系統(tǒng)穩(wěn)定并且沒有安全漏洞。企業(yè)應(yīng)該請求這些合規(guī)性報告，以發(fā)現(xiàn)在遷移到云端時可能造成的安全漏洞。這些報告可幫助企業(yè)了解存儲和傳輸加密的工作原理，如何管理數(shù)據(jù)備份以及在合同終止時如何處理數(shù)據(jù)。

但是，Varadharajan認為，通過發(fā)布有關(guān)數(shù)據(jù)備份，已解決漏洞列表、內(nèi)部審核和結(jié)果的統(tǒng)計信息，云計算提供商需要更加透明，這將為企業(yè)帶來更多的信心。

Varadharajan說：“總之，企業(yè)需要一個儀表板來連續(xù)監(jiān)視存儲的數(shù)據(jù)狀態(tài)。”

有關(guān)遙測和元數(shù)據(jù)的擔(dān)憂

許多云計算服務(wù)收集遙測數(shù)據(jù)以提高應(yīng)用程序性能。這引發(fā)了企業(yè)和政府對云計算透明度的擔(dān)憂，他們擔(dān)心會對個人或企業(yè)信息造成損害。例如，德國黑森州的學(xué)校被禁止使用Microsoft Office軟件。在荷蘭，微軟公司與荷蘭司法和安全部合作，解決了與遙測有關(guān)的8個高級數(shù)據(jù)保護風(fēng)險，以便該服務(wù)能夠在荷蘭使用。

機密計算有望提供更好的控制

在將來，云計算提供商可以通過更安全的計算服務(wù)為企業(yè)提供更好的數(shù)據(jù)控制。微軟、谷歌、英特爾和其他公司創(chuàng)建了機密計算聯(lián)盟，旨在簡化在不受硬件、操作系統(tǒng)和其他應(yīng)用程序保護的區(qū)域中運行計算的過程。

這項工作仍處于初期階段，特別是因為這些工作負載往往更難以管理。但是它可以為關(guān)心工作負載保護的企業(yè)提供更好的安全性和更大的保證。谷歌公司提供了Asylo機密計算框架，而微軟公司提供Azure機密計算，以安全地運行工作負載。

但是現(xiàn)在沒有一家云計算供應(yīng)商提供關(guān)于使用服務(wù)級別元數(shù)據(jù)的透明性。Srinivasan說，云計算供應(yīng)商會跟蹤客戶的匿名使用情況和元數(shù)據(jù)，以發(fā)現(xiàn)其服務(wù)中的差距，并確定其他可以實現(xiàn)產(chǎn)品的用戶興趣。

無服務(wù)器監(jiān)控平臺提供商Lumigo公司首席執(zhí)行官兼聯(lián)合創(chuàng)始人Erez Berkner說，提供商對這些元數(shù)據(jù)的訪問可能也是其他業(yè)務(wù)領(lǐng)域競爭的客戶的主要擔(dān)憂。即使企業(yè)對其數(shù)據(jù)進行加密，云計算提供商仍可以訪問有關(guān)虛擬機數(shù)量和事務(wù)的信息，這是在其平臺上托管的產(chǎn)品或服務(wù)的使用和成功的重要標志。

文件共享、同步和備份供應(yīng)商FileCloud公司首席運營官Venkat Ramasamy說，云計算提供商可以利用這些信息來獲得自身的優(yōu)勢，例如提供競爭性服務(wù)或收購公司。因此，他們應(yīng)該針對數(shù)據(jù)和元數(shù)據(jù)訪問生成透明度報告。

Ramasamy說，對用戶的另一種保護將是類似于金融行業(yè)所做的虛擬障礙。在這一計劃中，投資銀行部門與股票分析師群體互相隔離，以防止利益沖突，該部門擁有關(guān)于很多公司非公開的重要信息。如果將此應(yīng)用于云計算，內(nèi)部產(chǎn)品團隊將與為獨立軟件開發(fā)商(ISV)運行云計算市場的部門隔離開來。

云計算供應(yīng)商提高訪問透明度

盡管存在一些擔(dān)憂，但有跡象表明云計算提供商愿意解決透明度問題，特別是在如何訪問用戶數(shù)據(jù)方面。

Google Access Transparency使用戶能夠接收日志，該日志生成與用戶數(shù)據(jù)進行的所有員工互動的跟蹤。這對于提供系統(tǒng)審核很有幫助，并且可以促進確認符合各種類型法規(guī)(例如HIPAA和GDPR)的報告。此外，采用Google Access Approval，用戶可以批準或拒絕谷歌公司工程師訪問谷歌云服務(wù)的客戶數(shù)據(jù)的請求。不過，谷歌公司保留在法律要求時訪問數(shù)據(jù)的權(quán)利，以應(yīng)對安全事件。

微軟公司為Office 365提供了名為客戶密碼箱的類似服務(wù)。該公司最近推出了Azure客戶密碼箱的預(yù)覽版，該預(yù)覽版使用戶可以更好地控制與Azure相關(guān)的所有數(shù)據(jù)的使用方式。