“监管机构主要是担心潜在风险方面缺乏透明度的问题。”
欧洲市场监管机构近日警告金融市场的参与者不要“过分依赖”云服务提供商,并敦促它们给出证据,以表明制定的云退出战略经过了明确测试。欧洲证券及市场管理局(ESMA)近日发布了一份草拟的咨询文件《外包给云服务提供商方面的准则草案》,文件中附有相关的评论意见。文件为众多交易公司制定了一套云准则,旨在帮助它们“识别、应对和关注”ESMA认为将生产级应用程序或其他任何服务“外包”给云而面临的诸多风险。欧洲监管机构和政策制定者仍对美国的云计算公司所带来的“集中风险”保持警惕。
的确,该文件是在欧洲计划周四披露其自己的本地云服务提供商(名为“Gaia-X”)的细节这个背景下发布的。此举旨在以此抗衡美国的超大规模计算公司,欧洲各国政府对于美国云计算公司的霸主地位日益感到不满。ESMA在文件中列出了一套指南,包括不太可能使任何有经验的首席信息安全官(CISO)感到惊讶的一系列安全要求。比如说,它希望市场参与者确保“在公司和CSP(云服务提供商)之间明确划分信息安全方面的角色和职责,包括与威胁检测、事件管理和补丁管理有关的角色和职责”。(而共担责任仍在许多企业引发问题。)其他安全建议包括网络和应用程序逻辑分段方面的指南。正如ESMA特别指出的那样:“应考虑采取适当级别的隔离网络(比如,云共享环境中的租户隔离,Web、应用程序逻辑、操作系统、网络、数据库管理系统即DBMS和存储层等方面的操作隔离)和处理环境(比如测试环境、用户验收测试环境、开发环境和生产环境)。”ESMA建议,企业应“制定并实施全面、记录完备并经过充分测试的退出计划”。它们还应该“确保云外包书面协议列有CSP方面的义务,即有条不紊地将外包的业务职能和所有相关数据从CSP和任何子外包商转移到公司指定的另一家CSP或直接转移到该公司。”(ESMA征求外界在2020年9月1日之前给予反馈)。ESMA补充道,公司还应该“执行与外包的业务职能相称的业务影响分析,以确定需要什么样的人力资源及其他资源才能实施退出策略。”欧洲证券及市场管理局主席Steven Maijoor在一份相应的声明中特别指出:“云外包可以为公司及其客户带来诸多好处,比如降低成本、提高运营效率和灵活性。但是它也带来了需要认真应对的重大挑战和风险,尤其是在数据保护和信息安全方面。金融市场的参与者应注意不要过于依赖云服务提供商。”企业数据专业公司Cloudera的金融服务总经理Richard Harmon博士对IT外媒《Computer Business Review》说:“我认为,监管机构方面的问题主要是担心潜在风险方面缺乏透明度。因此,如果不了解哪些关键应用程序在哪家云提供商的环境中运行方面的任何数据,它们实际上对潜在的系统性云集中风险影响一无所知。”他补充说:“此外,它们可以利用这些数据开发模拟模型,以评估一家或多家公共云提供商的故障引发的广泛破坏可能导致何种类型的连锁效应。这将帮助它们量化风险、能够制定极其有效的应急计划,并评估潜在政策的效果,从而最大程度地减小任何破坏带来的影响。”ESMA表示,拟议的准则与欧洲银行业管理局(EBA)发布并于2019年2月列入EBA准则的类似建议相一致,与欧洲保险和职业养老金管理局在2020年2月发布的准则也相一致。完整文件《外包给云服务提供商方面的准则草案》可点击“阅读原文”获取~~