關(guān)注三大公共云的數(shù)據(jù)隱私問題

在云遷移的時候，我們最關(guān)注的問題莫過于數(shù)據(jù)隱私問題，據(jù)市場統(tǒng)計可知，向云轉(zhuǎn)移預(yù)計會在未來五年帶來1萬億美元的直接或間接支出，就是說，對于企業(yè)那就是一筆巨大的開銷。用戶的隱私永遠都是企業(yè)的首要問題，說到如何打消客戶的這些顧慮，以便擴大業(yè)務(wù)，云服務(wù)提供商確實面臨挑戰(zhàn)。

　　　　數(shù)據(jù)隱私問題在2016年的受關(guān)注度達到了空前的高度，這主要歸因于這幾個因素：蘋果公司與FBI圍繞加密的iPhone展開了曠日持久的爭論，歐洲出臺了新法規(guī)，以及人們一直擔(dān)憂美國國家安全局和政府訪問愛德華·斯諾登披露的個人信息。

　　JD·謝里（JD Sherry）是總部位于丹佛的解決方案提供商OpTIv Security公司的副總裁，他說：“毫無疑問，數(shù)據(jù)隱私是向云端遷移時最關(guān)注的問題。”

　　這個障礙對許多公司的收入來說是個關(guān)鍵問題，因為據(jù)研究公司Gartner聲稱，向云轉(zhuǎn)移預(yù)計會在未來五年帶來1萬億美元的直接或間接支出。同樣，研究公司IDC預(yù)測，到2020年，一半以上的IT基礎(chǔ)設(shè)施支出將投入到云。

　　艾倫·福爾肯（Allen Falcon）是總部位于馬薩諸塞州韋斯特伯勒的解決方案提供商Cumulus Global的首席執(zhí)行官，他表示，每當(dāng)他與客戶談?wù)撨w移到云端，總是會談到安全或隱私這個話題，這個話題有時由客戶自己提出，有時由Cumulus Global提出。

　　如果接受教育，客戶在隱私和安全方面的顧慮更容易打消，但是“不夠迅速”，他說。查爾斯·拉迪（Charles Radi）是總部位于波士頓的云解決方案提供商Cloud Technology Partners的副總裁兼首席云架構(gòu)師，該公司服務(wù)于企業(yè)市場。據(jù)他聲稱，最大的企業(yè)客戶同樣存在那些顧慮。

　　拉迪說：“我們在處理幾乎每一個客戶的［隱私］問題。這是個永遠繞不開的話題。”拉迪表示，Cloud Technology Partners的企業(yè)客戶尤其在政府訪問、隱私法規(guī)以及將安全工具從內(nèi)部環(huán)境遷移到云環(huán)境等方面顧慮重重。

　　獨立安全顧問兼《保護云安全》作者維克·溫克勒（Vic Winkler）表示，這種顧慮主要是由混淆和困惑引起的。

　　溫克勒在接受CRN的采訪時說：“如今很難站在一個深思熟慮的角度來探討網(wǎng)絡(luò)安全的這些話題，原因是一大堆的虛假信息和不同觀點令人困惑。說到如何打消客戶的這些顧慮，以便擴大業(yè)務(wù)，云服務(wù)提供商確實面臨挑戰(zhàn)。如果它們想要擴大業(yè)務(wù)，勢必要打消這些顧慮。”

　　但是，說到公共云的數(shù)據(jù)隱私，這些顧慮的根據(jù)又有多充分？如果你問一問各大云服務(wù)提供商本身，它們說：根據(jù)不是很充分。

　　微軟公司副總裁兼副法律總顧問尼爾·薩格斯（Neal Suggs）說：“這是你的數(shù)據(jù)。這不是我們的數(shù)據(jù)。通常來說，我們設(shè)計的系統(tǒng)和流程確保將數(shù)據(jù)當(dāng)作是你的數(shù)據(jù)，而不是我們的數(shù)據(jù)。微軟的運作有賴于信任。”

　　薩格斯表示，微軟制定的云戰(zhàn)略基于四大支柱，數(shù)據(jù)使用、控制和隱私共同構(gòu)成了一大支柱，另外三大支柱是安全、合規(guī)和透明。那些支柱并不僅僅局限于設(shè)計公司的系統(tǒng)、已到位的流程、加密技術(shù)、審計流程，以及這種文化：“尊重客戶生成的內(nèi)容是客戶的內(nèi)容，未經(jīng)客戶同意，我們無權(quán)使用。”

　　詹尼弗·林（Jennifer Lin）是谷歌云平臺主管云安全和網(wǎng)絡(luò)的產(chǎn)品管理主管，他贊同這種觀點，表示安全和數(shù)據(jù)隱私是客戶考慮向云遷移時提出的三大優(yōu)先事項之一。因而，她表示“安全和數(shù)據(jù)隱私日益成為谷歌考慮解決方案的一大差異化優(yōu)勢。”

　　林說：“用戶數(shù)據(jù)是用戶數(shù)據(jù)，我們想要確保自己保護用戶的數(shù)據(jù)。。。。。。我們要贏得客戶的信任，我們要向客戶表明我們并不訪問客戶數(shù)據(jù)。我認為，我們在面向公眾的官方網(wǎng)站上對這一點非常明確，還明確了我們?nèi)绾味x云遷移。”

　　亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）沒有安排一名高管接受本文的采訪。

　　馬克·古德曼（Marc Goodman）是全球安全顧問、未來學(xué)家兼《未來的犯罪》一書作者，他表示，隱私問題主要出現(xiàn)在隱私政策和客戶與云服務(wù)提供商簽訂的服務(wù)條款協(xié)議。他表示，那些服務(wù)條款大不一樣，因提供商而異;免費服務(wù)與收費服務(wù)的服務(wù)條款更是大相徑庭。

　　谷歌、微軟、亞馬遜網(wǎng)絡(luò)服務(wù)及其他大公司的云解決方案的收費版本往往“非常明確地表示”：用戶擁有數(shù)據(jù)，而不是云提供商擁有數(shù)據(jù)。他表示，免費的云服務(wù)就不是這樣，比如谷歌的Gmail和Google Drive。

　　古德曼說：“如果你不掏錢，你就不是客戶，而是產(chǎn)品。大大小小的公司需要關(guān)注它們使用的所謂的免費服務(wù)和服務(wù)條款。。。。。。‘我已閱讀并同意服務(wù)條款’可謂是網(wǎng)上最大的謊言。”

　　比如在谷歌的《數(shù)據(jù)處理修正案》中，該修正案概述了總部位于加州芒廷維尤的這家公司針對通過Google Apps服務(wù)存儲的數(shù)據(jù)制定的政策，包括解決方案提供商銷售的Google For Work解決方案，該公司明確表示不會將客戶數(shù)據(jù)用于客戶規(guī)定的范圍之外的任何用途，包括用于廣告目的。

　　微軟和總部位于西雅圖的亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）在各自的隱私政策和服務(wù)條款協(xié)議中也有類似條文，CRN審視了它們的政策和協(xié)議。

　　比如說，這與谷歌針對消費者谷歌帳戶的隱私政策形成了鮮明對比，谷歌在隱私政策中表示，由于眾多原因，包括改善服務(wù)、開發(fā)新服務(wù)，并且為用戶提供“更精準的搜索結(jié)果和廣告”，它收集關(guān)于服務(wù)使用的信息、針對特定設(shè)備的信息以及位置信息。

　　這是否意味著使用收費服務(wù)的公司企業(yè)就沒有公共云隱私和安全方面的顧慮呢？完全不是。

　　雖然客戶可能已全面審核了云服務(wù)提供商，但實際上，“有些使用云的公司熟悉云，而有些使用云的公司不熟悉云。”古德曼如是說。

　　古德曼表示，這方面的一個主要例子是員工規(guī)避公司批準的解決方案，改而使用配置起來更容易的常常免費的個人云服務(wù)。

　　據(jù)Gartner聲稱，到2020年，95%的云安全故障最終歸咎于客戶的錯誤。許多人無法支持云安全的共同責(zé)任模式：客戶自己負責(zé)確保數(shù)據(jù)安全，云服務(wù)提供商負責(zé)確?；A(chǔ)設(shè)施安全。

　　古德曼說：“你的數(shù)據(jù)可能存儲在員工的云端，而你渾然不知。。。。。。即使你使用Box或AWS――這些優(yōu)秀公司有規(guī)范的服務(wù)條款，現(xiàn)在你的員工拿來機密的季度報告、客戶線索、即將投放市場的產(chǎn)品的知識產(chǎn)權(quán)，存儲在云服務(wù)提供商處;由于你的員工存儲這些信息，提供商被授予了各種各樣的權(quán)限和訪問權(quán)。”

　　對解決方案提供商來說，這是個現(xiàn)實的問題。比如說，Cumulus Global的福爾肯表示，他在自己的客戶那里看到過無數(shù)這種例子，包括公司數(shù)據(jù)丟失，或者事后認識到自己違反了監(jiān)管法規(guī)。比如說，一個客戶的員工使用文件共享服務(wù)的個人版本。福爾肯表示，員工離開公司后，這個客戶卻無法訪問該員工存儲在個人云帳戶上的企業(yè)數(shù)據(jù)。

　　另一個客戶的員工使用Dropbox的消費者版本，而Dropbox最近曝出了數(shù)據(jù)泄密事件。該員工將同一個密碼用于其Dropbox帳戶和工作電子郵件。福爾肯表示，然后黑客使用該密碼登錄到企業(yè)電子郵件帳戶，向該員工的所有聯(lián)系人發(fā)送依附在電子郵件中的惡意軟件。

　　在另一個例子中，一個客戶的一名員工與家人使用同一個帳戶，她使用的個人文件共享服務(wù)也與家人共享。結(jié)果，該員工的孩子刪除了各種敏感的公司文檔。福爾肯表示，這些事件只是眾多例子中的幾個而已。

　　福爾肯說：“我們對客戶的忠告是，如果有企業(yè)級服務(wù)，別使用免費服務(wù);他們不該使用消費者服務(wù)，無論是不是免費。”

　　作為解決方案提供商，福爾肯表示他的任務(wù)就是為客戶提供最佳信息和建議，幫助客戶在數(shù)據(jù)隱私方面做出決定。他表示，這包括評估業(yè)務(wù)需求、信息訪問、政策、法規(guī)要求、日常監(jiān)控和管理及更多環(huán)節(jié)。

　　據(jù)福爾肯聲稱，大多數(shù)公司選擇遵循Cumulus Global在數(shù)據(jù)隱私方面的建議。不過，他也遇到一些客戶使用免費消費級服務(wù)，而不是購買企業(yè)級服務(wù)，寧愿在數(shù)據(jù)隱私方面冒險。他表示，Cumulus Global對拒絕購買使用可靠數(shù)據(jù)隱私標準的解決方案的客戶避而遠之，如果涉及監(jiān)管方面的問題更是如此。

　　福爾肯說：“這會帶來責(zé)任。我們的觀點是，貴公司的價值足夠值得你購買企業(yè)級工具。”

　　今年，公共部門與私營部門之間的隱私爭論顯得尤為突出，先是蘋果公司與FBI圍繞去年參與圣貝納迪諾槍殺案的恐怖分子使用的一部加密的iPhone的隱私展開了一場非常公開的較量。FBI最終破解了iPhone，而不是繼續(xù)尋求法律手段、迫使蘋果解鎖手機。

　　最近，微軟在6月份贏得了重大勝利，案子的焦點是政府是否有權(quán)訪問存儲在美國境外的數(shù)據(jù)中心中的客戶電子郵件。在這起案子中――微軟在曼哈頓第二美國巡回上訴法院中贏得了3-0的裁決，微軟對要求訪問存儲在該公司在愛爾蘭都柏林一臺服務(wù)器上的電子郵件的搜查令提出了質(zhì)疑，表示這將為執(zhí)法部門訪問存儲在國外的美國電子郵件開一個危險的先例。

　　OpTIv的謝里稱這一隱私裁決是“云計算行業(yè)的巨大勝利”，表示政府訪問公共云信息是“一大挑戰(zhàn)”，對考慮轉(zhuǎn)移到云端的客戶來說是個障礙。他表示，對全球性客戶來說尤其如此。

　　尤其是微軟在云隱私問題上采取了強硬立場。今年4月份，該公司對美國司法部提起了訴訟，主張政府想要訪問客戶數(shù)據(jù)時，自己有權(quán)告知客戶。

　　那些問題非常切實而又重大，微軟聲稱自己在過去18個月接到了5624份聯(lián)邦搜查令和2576份禁聲令。

　　谷歌在最近的《透明度報告》中表示，從2015年7月至12月，它在美國接到了12523次數(shù)據(jù)請求，在79%的情況下出示了數(shù)據(jù)。

　　亞馬遜表示，從2015年1月至5月31日，它收到了813張傳票、25份搜查令、13次法庭指令以及國家安全部門的249次數(shù)據(jù)請求。

　　微軟在4月份的訴訟中表示，它在這個問題上采取強硬的立場，是由于政府暗自訪問云端數(shù)據(jù)引發(fā)的隱私問題“破壞了公眾對云隱私的信心，并削弱了微軟在客戶面前力求透明的權(quán)利。”微軟的薩格斯表示，問題的核心是客戶信任：微軟仍將是數(shù)據(jù)的“管家”，而不是數(shù)據(jù)的所有者。他表示，微軟會繼續(xù)要求政府訪問云端客戶數(shù)據(jù)方面做到透明，因為信任是其商業(yè)模式的關(guān)鍵，這就好比客戶信任銀行：他們的錢很安全，需要時又能取出來。

　　薩格斯說：“我們認為，我們使命的核心是信任感，如果我們無法贏得這種信任，就無法拓展業(yè)務(wù)。信任是我們關(guān)注的焦點。”

　　三大云服務(wù)提供商在各自的隱私政策中對于政府訪問都有具體的條文，聲稱只有在法律上必要時才允許訪問，會努力盡快向客戶告知訪問請求，除非法律禁止這么做。

　　Cloud Technology Partners的拉迪表示，要求訪問公共云數(shù)據(jù)的隱蔽傳票這個問題是企業(yè)客戶“最擔(dān)心的”。他表示，客戶的法律部門在努力把具體的條文寫入到云提供商合同中，保護自己，避免要求訪問數(shù)據(jù)的隱蔽傳票。他表示，解決方案提供商有助于落實某些控制措施，防止云服務(wù)提供商能夠訪問數(shù)據(jù)。比如說，Cloud Technology Partners建議加密所有的云端數(shù)據(jù)，并且在本地管理加密密鑰，而不是交由云服務(wù)提供商。

　　各國政府也在扮演更重要的角色，開始監(jiān)管云端數(shù)據(jù)隱私。歐盟最近出臺了《通用數(shù)據(jù)保護條例》，更新了如何保護數(shù)據(jù)、國家之間如何共享數(shù)據(jù)方面的標準。條例規(guī)定，公司必須告知個人為何收集他們的數(shù)據(jù)，并提供訪問其數(shù)據(jù)的方法。這還防止數(shù)據(jù)被永久保存，需要為大量數(shù)據(jù)設(shè)立數(shù)據(jù)保護官。云服務(wù)提供商同樣受制于這些條例，條例于2018年5月生效。

　　企業(yè)戰(zhàn)略集團（ESG）跟蹤分析云安全的高級分析師道格·卡希爾（Doug Cahill）表示，混亂帶來了機會，說到駕馭云方面的數(shù)據(jù)隱私和監(jiān)管問題方面更是如此。許多公司越來越意識到，它們在數(shù)據(jù)隱私方面存在問題，卻不知道如何開始解決，卡希爾稱這個因素為“云安全就緒缺口。”

　　“我認為，許多公司很清楚地意識到存在問題，這就是為什么對渠道商來說是大好機會。有能力幫助客戶的合作伙伴能夠幫助客戶在向云遷移的過程中一開始就整合安全。”

　　Cloud Technology Partners的拉迪表示，這很重要，因為許多公司已經(jīng)期望加快采用云。他表示，企業(yè)開始把大量的客戶數(shù)據(jù)、機密數(shù)據(jù)和個人身份信息數(shù)據(jù)遷移到云端。解決方案提供商有責(zé)任幫助它們順利遷移，同時滿足安全和隱私要求。

　　作者古德曼表示，提供用戶教育和培訓(xùn)也是合作伙伴要扮演的重要角色。他表示，這對于將關(guān)注和認識轉(zhuǎn)化為實際行動來說尤為重要。

　　他說：“人們甚至不知道向外包的IT人員提出的問題，所以人們在這方面需要好好補補知識。。。。。。董事會層面的培訓(xùn)很關(guān)鍵，管理團隊層面的培訓(xùn)很關(guān)鍵，培訓(xùn)對你的所有員工來說很關(guān)鍵。”

　　謝里同意這一觀點，表示公司用戶在期望向云遷移時，OpTIv等解決方案提供商扮演“可信賴的顧問”這一重要角色，通過設(shè)計、咨詢、廠商合作和先進的云安全功能，“與客戶肩并肩”。

　　謝里表示，站在可信賴的顧問這個立場很重要，他預(yù)計，在今后6至18個月，云計算的發(fā)展會迎來“劇變”。她表示，許多公司在安全和數(shù)據(jù)隱私方面公司仍然滯后。

　　謝里說：“最終，我們在竭力鼓勵客戶信任我們，把我們當(dāng)作在向云遷移的過程中是其可信賴的安全顧問。”