為了幫助緩解云計算安全問題,企業希望通過云計算合同和服務水平協議來減小其風險,Gartner表示,云計算安全仍然是企業公共云部署的主要抑制劑。
但Gartner云計算安全分析師Jay Heiser表示,在解決安全性、業務連續性和安全控制評估方面,SLA仍然“不到位”且“不令人滿意”。
他表示:“這方面的問題得到了很多的關注,但我們在合同中并沒有看到相應的改善,特別是在基礎設施即服務(IaaS)市場。”軟件即服務(SaaS)控制“很基本,但正在改進中”。
以下是云計算合同中的一些常見的和專家建議的安全規定及其效力和在其云合同中的出現率。
客戶按需審計
這些條款允許客戶審計供應商
有效性:部分有效,取決于供應商允許客戶檢查的程度
出現率:有時候
數據刪除證書
證明當服務過期時,數據將被刪除。
有效性: 高,有法律保障
出現率: 從來沒有
災難恢復
很多供應商聲稱,基于云服務的性質,云服務基本等同于災難恢復,但并不總是這樣,例如,當數據僅存儲在云供應商的單個位置而沒有異地備份的時候,這將會創造單點故障。
有效性:高,但很難核實。雖然供應商聲稱他們擁有強大的系統,但當要求他們提供證據時,他們總是有所保留。
出現率: 在合同條款中不常見
停機保障
當出現停機時,這將為用戶提供保障或者某種形式的賠償。
有效性: 部分有效。雖然這可能會對企業有所幫助,但這只是一種事后補救措施,不能從一開始防止停機事故。
出現率: 通常在合同條款中可見
加密
有效性: 各不相同。現在有多種加密方法。例如,當數據到達供應商的云環境時,供應商才對數據進行加密;用戶在發送到云環境之前,就對數據進行加密,第一種方式更加便宜,但安全性也更低。重要的因素是誰存儲加密密鑰以及誰能夠訪問密鑰,密鑰的副本越多,安全性就越低。請注意密鑰丟失的安全風險。
出現率: 這取決于供應商。第三方工具也可以用于提供加密服務。
評估
很多企業使用第三方安全服務來檢查其供應商的安全控制,例如ISO27001或者SOC1和SOC2審計。但是,但是在很多情況下,簡單地報告其符合這些審計的供應商并不能向最終用戶提供他們需要的信息,以根據其特定安全需求來評估供應商的系統。
有效性:據稱有效率不夠
出現率:常見
針對安全故障影響的全額賠償
在這種情況下,合同中會規定,如果發生安全泄露事故,供應商將負責賠償客戶的全部損失。
有效性:理論上很高
出現率: 從來沒有
攻擊保障
由第三方或者供應商提供保障,這可以幫助客戶彌補安全或數據丟失問題產生的損失。
有效性: 可能有幫助,但這像停機保障一樣,并不一定能夠激勵供應商避免事故的發生
出現率: 很少,但正在增加
協商安全條款
這允許客戶與供應商為某些程序或者數據協商更高級別的安全水平。
有效性: 可能很高
出現率: 主要針對大客戶
京公網安備 11010502049343號