【IT168 资讯】对于存储合规相关的数据而言，云技术显然非常合适。软件即服务(Saas)供应商也将其服务定义为一种更经济的方式，来将很少访问而要求很高安全性和访问控制的数据从主站点存储上分离出来。不过专家提醒，在没有仔细检查第三方服务的情况下，将合规数据通过云归档的方式存放可能会带来风险。

　　目前有很多不同类型的基于云的服务供应商提供数据归档服务，从公有云存储站点，比如亚马逊的Simple Storage Service(S3)到专业提供合规数据归档的供应商。

　　提供合规数据归档的云服务供应商一直在努力平息在数据安全性、可控性和业务稳定性方面的问题。“做这行的人都有一段时间的业务经验，他们知道他们在做什么，”ESG资深咨询分析师Brian Baineau如是说。

　　不过并不是所有人都深信所有问题都解决了。以下是一份纲要，列出供应商如何缓解应用基于云的合规数据归档时通常会有的顾虑，以及仍然遗留的问题。

　　云技术中的安全性

　　许多知名的业务和服务供应商(包括微软在内，其在2010年12月表示有未经授权的用户从起BPOS上下载了数据)都尴尬地对外透露过信息泄露事件，这使得管理员对于云供应商中高度敏感的合规相关数据的物理和虚拟安全性颇具质疑。

　　“我们正在谈论的是获取这些团体内最为关键的部分数据”George Tziahanas是法律和合规解决方案的Autonomy公司的全球总裁，“这着实是这些公司的命脉，是高度机密的。”

　　一些供应商定位其符合第70号审计标准(SAS70)，Type I或Type II,作为安全性衡量的标准证明。Gartner公司的研究副总裁Jay Heiser解释了这两者的不同。“SAS70 Type I由审计从业人员发布，用以证明相应的控制流程足以处理合同中的服务级别要求，”他说。根据Heiser的说法，SAS 70 Type II审计要求审计员到现场检查服务供应商是否遵从了相应的流程。

　　不过Heiser警告表示，SAS 70审计“并非是一项认证，而是一项证明”其中问题在于审计并非基于任何非常好的实践或工业标准;SAS 70仅仅是审计报告的一种形式。根据Heiser的观点，一项成功的SAS 70 Type I审计只意味着服务供应商的过程可以满足其在合约上的承诺。“它不会承诺任何实际服务的质量，”他说道。

　　Heiser同时表示，他建议企业在云服务供应商的选取时，在候选公司中至少进行以下四部的调查：

　　1.准备并通过调查问卷的方式服务供应商的基本服务信息、设备信息和安全措施。Heiser提到SharedAssessments.org和Cloud Security Alliance (CSA)已经提供了相应的调查问卷供管理员参考使用。

　　2.检查每家云服务供应商的上游供应商信息。

　　3.检查所有第三方的证明信息，比如SAS 70或ISO/IEC 27001:2005.

　　4.到现场去。Heiser提到服务供应商通常会根据你的业务价值让你访问他们的现场情况。

　　三家提供基于云服务的服务供应商--Autonomy,Mimecast和Symantec公司--通过高级数据保护技术和加密技术解决用户在安全性方面的顾虑。

　　Autonomy管理超过17PB的合规相关数据，并且同步地将数据写入多块独立的物理设备中，并可能位于不同位置，采用不同格式。

　　根据Mimecast技术讲师Orlando Scott-Cowley的说法，Mimecast同样将其数据存储在不同的设备上并位于不同的位置，因此即便偷取整块磁盘驱动器或机架也无法取得任何有用的信息。该公司同样采用加密技术保护所有用户数据并未每位用户分配一个256位的高级加密标准(AES)密钥。作为进一步的安全措施，Scott-Cowley说，Mimecast还为每位用户分配一个用户号，并且为相应的数据标记上该用户号。用户只能查看有一致客户号的数据。

　　Symantec则在用户数据传输至数据中心过程中对其加密，并在存放过程中使用一个256位的AES密钥。