雲端法規遵循是一種藝術也是一種科學,藉由遵循一些雲端使用標準來達成產業規範以及地區、國家與國際法律的要求。常見的法規要求包括:健康保險可攜性與責任法案 (HIPAA)、支付卡產業資料安全標準 (PCI DSS) 以及金融服務現代化法案 (GLBA)。
企業一旦上了雲端,就會開始擔心雲端供應商如何協助他們符合各種法規的要求,例如歐洲的通用資料保護法 (GDPR) 或美國的 HIPAA。所以,企業一開始就必須先想好這方面的問題,而不能等到雲端服務已經開始運作了再來討論。
只不過,企業經常會發覺自己比遠原先預定的更早移轉至雲端,如此一來事情就會變得複雜。雲端的基本原則之一就是廠商應該提供一個自助式服務介面來讓客戶很輕鬆地設定、變更或退出雲端服務。
比較不確定的是,客戶端該由誰來負責做這件事,結果最後就是任何人都有可能。使用者所需要的就只有一張企業信用卡,所以各部門很可能爭相將資料移轉至雲端,這就形成了所謂的「影子 IT」(Shadow IT),這個詞大家應該不陌生,而且因為雲端特性的關係,這個詞最近經常被提及。
雲端治理
所謂的治理,對企業來說是指高階經理人與董事會的監督,而雲端治理則是將這樣的概念延伸至雲端。治理是一件很重要的工作,若缺乏治理,企業有很多關於目標和目的的問題就沒有答案,這樣會讓雲端及其資安的管理變得非常困難。
任何公司在踏入雲端之前都應先想好自己邁入雲端的目標和目的為何。而這些目標和目的還必須受到一些適用法律、法規與合約的限制。除了法務層面之外,雲端治理還必須引導員工走向正確的道路來協助公司達成其目標和目的。
如果發生嚴重錯誤,雲端可能衍生複雜的問題,不僅使用者無法完成自己的工作,甚至還會害公司需要上法院。總之,企業董事會和高階管理階層必須對雲端表示關愛和關心。
法律與規範
任何有關法規遵循的討論,首先要釐清的就是法律。企業及企業的律師,都必須先釐清企業有哪些法律必須遵守,此外,也要了解相關的罰則。一旦釐清之後,企業必須設置什麼樣的資安控管來讓企業符合適用的法律和規範?
例如像歐盟 GDPR 這樣的法規對於個人資訊安全的要求相當嚴格。此外,GDPR 對其定義的資料之處理與儲存地點也有非常明確的規範。這一點之所以可能成為問題,就在於雲端的運作方式。但儘管如此,絕大多數的雲端廠商還是能夠藉由一些控管措施來達成歐盟 GDPR 的要求。
合約是一種雙方或多方的正式協議,當一家公司跟人家簽約時,就有義務遵守合約的條款,因此違反合約可能會使得公司必須承擔嚴重的罰鍰。
凡負責處理或儲存信用卡資訊的公司,大致上都會跟信用卡公司簽訂合約,合約上就會要求他們必須達到支付卡產業資料安全標準 (PCI-DSS)。
凡要處理信用卡資料的廠商都必須簽訂合約並且履行該標準的 12 項資安要求。至於他們必須達到的要求等級,視每年處理的交易量而定。
除此之外,企業也需要看看他們與客戶之間的契約,是否有規範他們哪些工作可以或不可以在雲端上處理。當他們採用某一種雲端形態 (公有雲、私有雲、社群雲等等) 時,是否會對法規遵循造成任何影響?
許多企業都會導入一些標準 (如 ISO 27001 或 NIST SP 800-53) 來當成資安控管的基礎。如果企業決定採用 ISO 27001 作為標準,那麼企業必須妥善訓練自己的員工好讓資安控管能夠落實,當然雲端也包含在內。事實上,ISO 已經將雲端相關的控管獨立出來,定義在 ISO 27017 當中。
企業要了解自己對於法律、規範及合約的符合程度,一個方法就是透過稽核。稽核分為內部或外部兩種,所謂內部稽核,就是由企業自己的稽核人員來執行,可提供一種自我評量來判斷自己的合規程度。不過內部稽核的結果可能會有失真的問題,因為稽核人員的結論有可能偏頗。
為了提供一種較為客觀公正的觀點,企業可聘請一家獨立的第三方機構來執行稽核。此處所討論的雲端稽核,是由雲端供應商所做的稽核。
絕大多數的雲端供應商都不會歡迎客戶到他們的資料中心自己做稽核,所以客戶只能仰賴第三方機構的稽核。
稽核報告
稽核的結果通常會有一份稽核報告,這類報告都採用美國會計師協會 (AICPA) 的標準格式。所有企業都可索取 SOC 2® 稽核報告。SOC 2® 報告是專為服務機構而設計,例如雲端服務供應商。報告會指出其是否遵照 (舉例來說) ISO 27001 或 NIST Cybersecurity Framework (CSF) 當中所定義的控管措施。這些控管措施將依照 AICPA 的五項信賴服務標準來評量:
這些報告可分成第一類 (Type 1) 和第二類 (Type 2)。第一類報告會顯示控管措施在某個時間點的狀態,以及控管措施的設計和安裝達到什麼樣的適切性。第二類報告會顯示控管措施在一段期間內 (例如 6 個月) 的運作成效。
雲端消費者應該索取這些報告,但雲端供應商不一定願意提供,因為裡面可能會有一些業務相關的敏感資訊。此外,也可以選擇 SOC 3® 報告,這就是一般通用性的報告。其內容當中有關雲端供應商業務的資訊非常少,所以基本上這類報告就只是讓客戶知道稽核機構是否願意為雲端供應商提供背書。