所有潜在的云服务用户都会面临这样一个艰巨的问题:当供应商出于安全和实用性方面的考虑而拒绝透露重要的基础架构细节的时候,如何才能给予云供应商足够的信任来雇佣他们?
这些供应商表示不能够为用户开放他们的网络基础设施,这是为了防止这些细节的透露可能会给潜在的攻击者绘制进行安全攻击的蓝图。他们还认为回答客户问题也是需要付出高昂的时间代价的。
诚如某个供应商在今年早些时候所说的,客户将永远不会得到他们想要的透明程度。“我们不想让你像审查自己的基础架构那样来检查我们的基础架构,”谷歌的产品市场经理Adam Swidler在谈论到谷歌的云服务的时候说到。“这种检查的程度永远不可能比得上你检查自己的基础架构。因此你将不得不去更多地信任第三方验证。”
尽管客户可能无法穿越云供应商的数据中心来拷问他们的首席信息安全官,但是他们还是可以用提交所关注的问题的方式来完成这个步骤。这些问题的答案可能会帮助客户达到目的,云安全联盟曾经制作过一份问卷,企业可以在试探云服务供应商的适用性的时候,有目的性地采用这份问卷中的问题。
这份被称之为共识评估主动性问卷的文件是一个经过深思熟虑的云安全评估框架。“这一系列问题可以帮助企业对云供应商进行必要的评估过程,”CSA说。
一些关键问题:
- 供应商是否会进行用户可见的定期渗透测试和内外部安全审查?
- 用户是否可以自己进行脆弱性测试?
- 数据是否为每个用户都进行逻辑分段或者加密,这样用户的数据就不会无端丢失了。
- 供应商是否可以在数据丢失的情况下逐一恢复用户数据?
- 如何保护知识产权?
- 供应商是否会标记每个用户的虚拟和物理机,他们能否保证仅仅将数据存储在几个特定的国家?而鉴于数据存储法规的约束避免另一些国家?
- 供应商为用户而回应政府要求的策略是什么?
- 供应商保留用户数据的政策有哪些?是否能够遵循从供应商的网络上清除数据的用户政策?
- 是否会列出自己的资产清单并说明与自己的供应商之间的关系?
- 是否培训自己的员工并能证明该培训在自己以及其用户的安全控制之下?
在这些质疑中,其它的问题还包括他们是否检测和控制用户的访问权限,安全事件响应的性质和程度如何,包括供应商和用户的责任等等。
类似的问题不胜枚举,但是目的都是为了给用户提供良好的针对供应商的评估,同时为供应商在回应客户杞人忧天的态度的时候提供一种更为便捷的方式。
有些客户主张与较小的云供应商签约,因为他们可以更好地对其基础架构和程序进行访问,以此确保所需的服务水平。“这么做是值得的,”美国高尔夫协会IT主管Jessica Carroll说,正是出于这个原因,她选择了小一些的供应商。“这让你的想法变成了现实,这样你就可以掌握合同中所列出的一切,因为一切都很直观地摆在你的面前。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
翻译
相关推荐
-
云安全管理:彻底远离黑客攻击
每一次发生众所瞩目的泄漏事件后,许多人都忙不迭的将矛头指向云。然而只要有可靠的云管理和安全策略,就没什么害怕的。
-
混合云带来安全新挑战
如果说2013年是企业开始部署混合云策略的年份,那么正如专家们所预测的那样,2013年也将成为混合云安全开始受到重视的一年。
-
云中数据的安全性策略和做法
对于任何企业来说,数据安全始终是一大心病,而云计算往往会放大使用者对系统安全问题的焦虑。采取一些基本规则将有助于保护用户与他们的数据,以及你整个在云计算方面的投资。
-
如何管理开源软件的使用?
您的组织用开源软件吗?更可能是管理部门是否知道呢。因为没有管制,开源软件会引起遵守情况、许可证或者质量等问题……