法律条文下不断规范的云计算

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　笔者非常坚定的相信云计算有着一些破坏性的价值，尤其是具有长期破坏能力的“公有云”。这正如云在经济上的帮助非常引人瞩目，因此，围绕它的安全和法律相关问题也将会得到最终的解决。

　　但是，最近我们注意到，已经出现了一些有趣的法律纠纷，集中在公有云上的私有信息保护上。最新的一份来自Gartner的分析师Andrew Walls的研究报告指出，企业会非常简单的认定，能够自主管理的IT环境要比公有云环境安全多了。

　　“当你建立起私有云并且开始思考，‘这就是我们旧数据中心的标准，我们现在只不过是改变了标准的操作方式，我们所做的并没有什么实质上的真正改变’，这是一个很大的问题，也正因此，数据中心的经理常常会在安全节目上表态，虚拟化将会造成什么样的实际影响。”

　　“他们认为这样会导致一些些的风险，因此不会去采用它。但是我从一个数据安全组织成员的丰富经验来看，公有云中的管理员遍布世界各地，在公有云中的数据犯罪案件并不会比在企业封闭的IT环境中高很多。”

　　所以，Walls认为，许多(大多数)IT组织并不了解虚拟化会如何改变安全格局，至于云计算则更加茫然。所以这些组织不能很好的管理公有云服务供应商提供的基础设备。Walls认为，云计算的大规模推广现阶段可能性不大。对于企业而言，这里边有太多的变数。

　　实际上，无论是从技术上还是企业组织的实际情况，有一个因素，对于企业和云服务商而言，都能增加安全风险的控制，这就是法律。如果忽视这个就意味着企业不能完整的评价IT环境的安全性。

　　有些法律影响着数据的管理和控制

　　这里有两个主要的“威胁”和法律以及云有关。首先是要明确法律用户，如何规定在数据存储上的安全问题和处罚措施，欧盟的数据隐私保护法可以作为一个参考。英国在1998年制定的数据保护法略有不同，而美国现行的出口管制法律则非常有意思，似乎可以作为一个参考标准。

　　“风险”是云服务供应商无法保证用户留在云端的数据已经他们在数据的传输过程中不会违法这些法律之一。在IaaS模式下，用户通常在这方面具有很大的责任，但在PaaS和SaaS的环境中，用户对于大部分数据，并不清楚它们的处理过程和存放的位置。归根结底，用户的数据是在法律约数的范围之外进行使用的，这就很大程度上导致了用户对于数据的不可控，在公有云中，这样的风险还会继续增加。

　　云计算缺乏判断

　　第二类是风险法律面对云计算而设立，但是，未来在全国范围内会有更多更邪恶的安全威胁，诸如如何对待云、云服务的供需双方都有什么权力以及用户如何确保数据和知识产权的完整性等等问题都尚未解决。

　　这里我们涉及到了美国宪法第四修正法案里关于禁止非法搜查的问题，在云计算上的安全问题我们可以参考下EMI和MP3tunes.com之间的官司纠纷。

　　三年前，百代唱片起诉它的创始人和CEO Michael Robertson，称其在互联网上故意侵犯版权，百代唱片表示，MP3tunes.com和它们的姐妹网站Sideload.com(一个数字媒体搜索引擎)在设计上有误导消费者侵犯版权的嫌疑。

　　Robertson辩护称，网站仅仅为最终用户提供了存储功能，根据之前的千年版数字安全版权保护条例，只要用户删除了包含有侵权的内容，就可以免于被起诉。

　　在这个案例中，云存储服务商找到了一个让他们免于刑责的方法，就是及时删除侵权数据。即使我们能够确认是MP3tunes的发现并且推动了侵权活动的进行，但是我们没有法律去证实这一点。发现问题没有，这里就出现了一个危机，云存储服务商可能因为规避法律问题而私自处理你的数据!

　　而另一方面的危机来自于物理设备所有权的控制，你的数据可能会遭受到。想象一下，你的云服务供应商被发现违反了联邦法律中涉及的内容，FBI决定扣押他们的服务器和磁盘上的内容以进行进一步的调查，这时候，你的数据……

　　在这个假设的情况下，你有可能得到你的数据备份吗?你有什么权利?根据2009年德州托管商案件，其中200名被检系统——其中绝大多数属于供应商的客户，而不是被调查供应商——得到的数据将会很少，补偿就不要想了。

　　没有单一的“更好的方案”云

　　我不想在这里夸大云计算的风险。我们已经在和托管、外包打交道很久了，这其中鲜有法律方面的“灾难性”问题。供应商一般都会意识到这些问题，并提供架构或功能，以帮助符合法律要求。从长远来看，这些问题会自我解救出来，在公有云环境将日益普及之前就得到解决。

　　然而，这里要明确指出的是，宣传币公有云“更安全”的私有云似乎只是炒作，这个论调无视了我们新生的云计算市场脆弱性这个关键的现实。直到市场的成熟，“更好的安全性”的问题才是我们应该考虑的，并且在风险前部署解决方案。考虑到这一点而言，公共和私有云都有自己的弱点和长处——这可能从公司到公司，甚至不同的应用程序都各具优劣。

　　这就是说，Walls作出关键的说明，和笔者的观点一致。仅仅因为一个私有云是在防火墙后面，并不意味着你的安全工作可以做的更少了，或者说更容易的确保私有云环境的安全。拥有一个数据中心并不会让你比任何一个公共云提供商自动“更安全”，企业想要获得更好的安全还是要靠自己。