最近这几年,企业上云已经成了大势所趋,但有一个问题常常让CIO和信息安全负责人睡不着觉:数据放到云上,安全到底有没有保障?这不是杞人忧天。上云带来了便利,也带来了新的合规挑战。数据存储在别人的服务器上,管理和控制权发生了转移,传统的安全边界也被打破了。今天我想围绕几个关键方面,聊聊云服务场景下数据安全合规需要注意的点。
第一个是责任共担模型。这是理解云安全的基础。云服务商和用户各自承担不同的安全责任,以IaaS为例,云服务商负责物理环境、网络基础设施、虚拟化层的安全,而用户负责自己部署的操作系统、应用、数据的安全。到了SaaS层面,服务商承担的责任更多一些,但用户仍然要管好自己的账号权限和数据使用行为。很多企业的误解在于,以为上了云就万事大吉了,安全全交给云服务商管。实际上,数据安全的责任永远都在数据所有者身上,出了事找的是你,不是云服务商。所以在选云服务之前,要先搞清楚责任边界,哪些事是自己要做的,哪些是服务商承诺的,写进合同里,白纸黑字。
第二个是数据存储位置和出境合规。这是云服务合规里争议较多的一块。很多云服务商在全球有多个数据中心,企业选择云服务时,数据可能会被存储到境外的数据中心。这就触及了数据出境的合规问题。如果你的业务处理的是中国境内的个人信息或者重要数据,按照相关法规的要求,数据原则上应该在境内存储。如果确实需要向境外提供,必须按照数据出境的合规路径来走,包括前面讲到的安全评估或者标准合同备案。选云服务商的时候,要确认他们在国内有没有合规的数据中心,数据会不会被自动同步到境外。同时要在服务协议里明确数据存储的地理位置,以及数据跨境传输的条件和限制。
第三个是访问控制和身份管理。上云之后,数据不再仅存在于企业的内网,而是可以通过互联网随时随地访问。这带来了便利,也增加了风险。如果账号密码泄露,攻击者可以直接从任何地方登录你的云控制台。所以云环境下的访问控制要比传统IT环境更加严格。建议的做法是:启用多因素认证,对所有管理员账号强制使用;遵循权限较小化原则,给每个账号只分配完成工作所必需的权限;定期审查账号和权限配置,及时回收离职人员和离职员工的账号权限。另外还要做好操作日志的记录和监控,一旦发现异常登录或者权限滥用,能够及时告警和处置。
第四个是数据加密。云环境下的数据加密有三个层面要实现:数据传输过程中的加密、数据存储状态的加密,以及数据使用过程中的保护。传输加密比较好理解,就是用TLS或者SSL协议加密通道,防止数据在传输过程中被窃听或篡改。存储加密是指把数据在存储介质上进行加密,即使存储介质被盗或者被非法访问,也无法读取数据。目前主要的云服务商都提供默认的存储加密功能,但企业要确认加密密钥是由谁管理的。如果由云服务商管理密钥,虽然方便,但意味着服务商侧有能力解密你的数据。如果对数据的敏感性要求比较高,建议使用自管理密钥或者硬件安全模块来掌握密钥的控制权。
第五个是合规认证和第三方审计。选择云服务商时,一定要看对方是否持有相关的合规认证。目前国内比较重要的是网络安全等级保护认证、云计算服务安全评估,国际上有ISO 27001信息安全管理体系认证、SOC报告、CSA STAR认证等。持有合规认证的云服务商,意味着他们的安全管理和技术水平通过了独立第三方的审查,可信度更高。但需要注意的是,认证本身是有有效期的,而且认证范围可能不覆盖你使用的全部服务。建议把服务商的合规认证列表作为选型的一个硬性条件,并在合同里要求服务商承诺持续保持认证状态并提供最新的合规报告。
最后,上云之后不要忘了定期做安全评估。不管是自评还是请第三方来做,都要覆盖云环境的各个方面。因为云上的配置变更很频繁,今天合规的配置,明天可能就因为一次修改变得不合规了。建议建立自动化的合规检查机制,定期扫描云资源配置,跟合规基线做对比,及时发现和修复偏离项。云服务数据安全合规不是一个一劳永逸的工作,而是一个持续跟进、动态调整的过程。但只要把基础打牢了,框架搭好了,上云的安全顾虑是可以有效管控的。
