企业云安全审计要求与建议

ZDNET安全频道 09月12日 综合消息：如同合规要求一样，企业的云安全工作应该包含审计与保证。必须独立地实施审计，并且应该坚定地设计审计以便表现出最佳实践、恰当的资源，以及经过检验的协议及标准。

对于客户和服务提供商而言，内审和外审以及各种控制措施都是合情合理的、可为云计算效力的角色。在引入云计算的起步阶段，更多的透明度可能是增加利益相关者舒适度的最佳选择。审计是提供保证的方法之一，其保证运营风险管理活动得到彻底地检验和评审。

组织最高级别的治理要素（例如董事会和管理层）应该采纳并支持审计计划。对至关重要的系统及控制进行定期且独立的审计，包括伴随的审计记录和文档将会支持 提升效率和可靠性。 许多组织使用成熟度模型（例如CMM、PTQM）作为分析流程有效性的框架。在某些情况下更多采用的是统计性的风险管理方法（例如用于金融服务的巴塞尔协 议和偿付能力标准）。并且随着该领域的成熟，可以采用适用于职能部门、或业务线的更具专业性的风险模型。 对于云计算而言，我们需要修订和加强这些实践。正如信息技术模型一样，审计需要充分利用云计算的潜力，同时增大范围和规模来管理它诸多的新颖性。

当接洽（云计算）提供商时会牵涉到客户所属组织内适当的法务、采购以及合同团队。服务的标准条款可能并未涉及合规需求，需要就此进行协商。

对于受到高度监管的行业（例如金融业、医疗行业）来说，当使用云服务时应该考虑专门的合规要求。理解自身当前要求的组织应该考虑分布式IT模型的影响，包括云服务提供商运营于不同的地理位置以及不同的法律管辖区所带来的影响。

为每项工作负荷（例如整套的应用和数据），确定使用云服务将会如何影响现有的合规要求，特别是当与信息安全有关时。尽管有许多外包服务解决方案，组织仍需理解他们与哪个云服务合作伙伴正在处理并应当处理受监管的信息。受影响的策略以及流程的例子包括活动报告、日志、数据保持、事故响应、控制测试和隐私权策略。

各方都应该理解各自的合同职责。期望值的底线将会由于部署模型而有所不同，在IaaS模型中客户拥有更多的控制权和职责，对于SaaS解决方案而言服务提供商扮演着统治性的角色。特别重要的是彼此受约束的要求和责任，而不仅只是限于客户与他们直接的云服务提供商，而且也是在最终用户与提供商的云服务提供商之间。

遵守法规以及行业规定和要求（例如法规、技术、法律、合规、风险和安全等方面）是关键的，并且必须在要求确认阶段就解决。任何被处理、传输、存储的信息， 或是被看作是个人可识别信息（Personal Identifiable Information，简称PII）或私人信息都面临着世界范围内繁多的合规规定，这些合规可能随国家或地区的不同而有差异。既然云计算被设计为是位于 不同地区且可扩展的，解决方案中被存储、处理、传输或是检索的数据可能来自云服务提供商的众多场所或多个数据中心。一些法规明确规定的控制在某些云服务类 型（例如地理上的要求可能与分布式的存储不一致）下很难、或是根本不可能实现。客户与提供商必须就如何收集、存储，以及共享合规证据（如审计日志、活动报 告、系统配置）达成一致意见。

在实际工作中，可以遵循以下一些有益的建议和最佳实践：

• 建议首选那些具有“云意识”的审计人员，他们熟悉保证虚拟化与云技术的挑战以及优势。
• 建议要求云服务提供商提供SSAE 16 SOC2 或 ISAE 3402 类型2报告。这些报告将为审计人员和评估人员提供被承认的参考起点。
• 合同应该提供给第三方（例如由双方选择的中间方）来评审SLA的度量标准及合规性。
• 有权审计的条款赋予客户审计云提供商的能力，这支持在频繁地变化的云计算环境与法规内的可追溯性和透明度。使用有权审计的标准化规范来确保对彼此期望值的理解。最终，这个权利应由第三方的认证（例如ISO/IEC 27001或27017认证）所取代。
• 使用指定访问权限的透明度条款提供那些身处受到高度监管行业的用户（包括那些可将不合规作为刑事诉讼依据的行业）所需要的信息。该协议应该与自动产生或可直接访问的信息（例如日志、报告），以及推送的信息（例如系统架构、审计报告）区分开来。
• 云提供商应该定期（或是按需）地评审、更新并且发布他们的信息安全文档和GRC（Governance, Risk and Compliance，治理、风险和合规，简称GRC）流程。这些资料应该包括漏洞分析以及相关的补救措施决策和活动。
• 第三方审计人员应由云提供商和客户事先共同披露或选择。
• 各方应就采用一个共同的IT治理和安全控制认证保证框架（例如ISO或COBIT标准）达成一致。