在今天的文章中，我們將通過(guò)十個(gè)問(wèn)題幫助企業(yè)管理者快速評(píng)估自己可能面臨的云服務(wù)安全風(fēng)險(xiǎn)。

目前安全團(tuán)隊(duì)正致力于幫助業(yè)務(wù)線用戶以及其他IT從業(yè)人員以盡可能安全的方式享受云技術(shù)帶來(lái)的諸多便利，這同時(shí)也使安全力量開始越來(lái)越多地扮演起值得依賴的顧問(wèn)角色。軟件即服務(wù)(簡(jiǎn)稱SaaS)、基礎(chǔ)設(shè)施即服務(wù)(簡(jiǎn)稱IaaS)以及平臺(tái)即服務(wù)(簡(jiǎn)稱PaaS)產(chǎn)品在帶來(lái)可擴(kuò)展性、靈活性以及便利性的同時(shí)，卻也讓企業(yè)面臨著更為可觀的風(fēng)險(xiǎn)成本。考慮到這一點(diǎn)，我們需要信息安全專家的幫助來(lái)評(píng)估各家潛在云服務(wù)供應(yīng)商，從而更好地預(yù)測(cè)此類未來(lái)可能出現(xiàn)的風(fēng)險(xiǎn)因素。

在這里，我們匯總了來(lái)自多位專家的十個(gè)必答問(wèn)題，大家不妨首先聽(tīng)聽(tīng)服務(wù)供應(yīng)商給出的回復(fù)、然后再考慮是否要與其簽訂合作協(xié)議。

你們是否會(huì)在協(xié)議中承諾，將通過(guò)UI以及API對(duì)用戶何時(shí)執(zhí)行何種操作進(jìn)行追蹤?

“對(duì)服務(wù)供應(yīng)商而言，很重要的一點(diǎn)就是協(xié)助防止錯(cuò)誤與惡意行動(dòng)的發(fā)生——當(dāng)用戶們了解到審計(jì)機(jī)制的存在，他們會(huì)以更為嚴(yán)謹(jǐn)?shù)姆绞绞褂梅?wù)平臺(tái)，同時(shí)也能夠阻止他們利用此類平臺(tái)作為攻擊活動(dòng)的載體。除此之外，審計(jì)追蹤機(jī)制的存在也有助于排除故障并分析導(dǎo)致問(wèn)題的原因。”

--CloudBolt Software公司CTO Bernard Sanders

我們雙方在數(shù)據(jù)保護(hù)工作中各自扮演怎樣的角色?

“必須認(rèn)識(shí)到，企業(yè)需要在保護(hù)自身數(shù)據(jù)安全的工作當(dāng)中扮演至關(guān)重要的角色。而了解數(shù)據(jù)的具體訪問(wèn)方式——即使是在有云服務(wù)供應(yīng)商介入的前提下——對(duì)于風(fēng)險(xiǎn)管理工作仍然非常關(guān)鍵。大部分云服務(wù)供應(yīng)商會(huì)要求將相關(guān)責(zé)任與安全部門進(jìn)行分擔(dān)，而企業(yè)客戶也不能想當(dāng)然地假定一切數(shù)據(jù)泄露問(wèn)題都該由服務(wù)供應(yīng)商負(fù)責(zé)。”

-- Elastica公司CEO Rehan Jalil

數(shù)據(jù)中心之內(nèi)的所有傳輸數(shù)據(jù)是否全部經(jīng)過(guò)加密，包括一切服務(wù)器到服務(wù)器傳輸數(shù)據(jù)?

“安全性的實(shí)際水平取決于體系中最薄弱的那一環(huán)。盡管客戶與服務(wù)供應(yīng)商之間利用加密機(jī)制保護(hù)數(shù)據(jù)流量、從而確保數(shù)據(jù)完整性及保密性的作法已經(jīng)相當(dāng)普遍，但目前仍沒(méi)有多少服務(wù)供應(yīng)商會(huì)在企業(yè)自有環(huán)境內(nèi)部對(duì)服務(wù)器之間的通信內(nèi)容進(jìn)行加密。有這種情況下，一旦整個(gè)體系出現(xiàn)突破口、攻擊者往往能夠抓緊機(jī)會(huì)將其作為惡意活動(dòng)的契機(jī)。”

-- SystemExperts公司高級(jí)顧問(wèn)Paul Hill

供應(yīng)商采取怎樣的日志訪問(wèn)機(jī)制?

“聽(tīng)起來(lái)確實(shí)很簡(jiǎn)單，不過(guò)日志訪問(wèn)機(jī)制真的應(yīng)該成為評(píng)估服務(wù)供應(yīng)商時(shí)著重考量的一項(xiàng)標(biāo)準(zhǔn)。最終用戶不應(yīng)該能夠從數(shù)據(jù)中心里的服務(wù)器或者云服務(wù)供應(yīng)商處得到豐富的日志信息集，而企業(yè)也必須認(rèn)真考慮哪些信息可以、而哪些信息不能從供應(yīng)商處獲取。盡管某些信息可能與企業(yè)本身沒(méi)有任何關(guān)系，但也有一些非常重要的部分可能也會(huì)因此而徹底無(wú)法為企業(yè)客戶所掌握。而且在必要情況下，企業(yè)應(yīng)該嘗試通過(guò)談判提前商議與日志訪問(wèn)相關(guān)的事宜。”

-- NSS實(shí)驗(yàn)室研究主管Rob Ayoub

我們?nèi)绾未_保自身能夠順利中止或者“退出流程”，從而將服務(wù)轉(zhuǎn)移到其它供應(yīng)商的云環(huán)境之下?

“我們必須清醒地認(rèn)識(shí)到，任何一段合作關(guān)系都不可能永遠(yuǎn)持續(xù)下去。也就是說(shuō)，企業(yè)需要考慮如何順暢地解除與當(dāng)前云服務(wù)供應(yīng)商的合作關(guān)系。因此作為一大重點(diǎn)，企業(yè)應(yīng)當(dāng)將以下內(nèi)容納入到與云服務(wù)供應(yīng)商簽訂的合約當(dāng)中：

注明供應(yīng)商將如何協(xié)助整個(gè)過(guò)渡過(guò)程，包括將企業(yè)客戶的數(shù)據(jù)進(jìn)行交還或者有效提供給第三方。

在政策中規(guī)定服務(wù)供應(yīng)商應(yīng)如何銷毀企業(yè)客戶的數(shù)據(jù)或者對(duì)其進(jìn)行電子清除，這樣客戶就能夠有理有據(jù)地確信自己的數(shù)據(jù)不再存留于服務(wù)供應(yīng)商的系統(tǒng)當(dāng)中、從而免除受到潛在攻擊或者進(jìn)行電子取證的可能性。

服務(wù)供應(yīng)商需要利用獨(dú)立的第三方對(duì)其退出規(guī)程的有效性進(jìn)行審核與驗(yàn)證。”

-- Accuvant公司CISO辦公室副總裁Renee Guttmann

服務(wù)器、流程以及數(shù)據(jù)的物理位置究竟在哪里?

“盡管云計(jì)算往往被認(rèn)為是一種能夠跨越國(guó)界的靈活解決方案，但云服務(wù)供應(yīng)商卻必須保證企業(yè)客戶的全部執(zhí)行流程及數(shù)據(jù)存在于真實(shí)的地理位置，而且不同國(guó)家對(duì)于數(shù)據(jù)隱私及安全的法律法規(guī)要求亦有所區(qū)別。請(qǐng)注意選擇那些立足于您所在的國(guó)家，而且能確保所有客戶資產(chǎn)都被托管在同一國(guó)家之內(nèi)的供應(yīng)商。”

-- iSIGHT Partners公司經(jīng)理Stephen Ellis

誰(shuí)能夠在云環(huán)境下查看企業(yè)數(shù)據(jù)?

“與內(nèi)部數(shù)據(jù)中心的情況一樣，云服務(wù)供應(yīng)商的基礎(chǔ)設(shè)施也會(huì)由專門的技術(shù)支持團(tuán)隊(duì)負(fù)責(zé)維護(hù)。因此，請(qǐng)務(wù)必了解這些能夠查看到我們數(shù)據(jù)內(nèi)容的工作人員。供應(yīng)商會(huì)采取哪些內(nèi)部控制機(jī)制來(lái)避免未經(jīng)授權(quán)的查閱、復(fù)制或者將客戶信息以郵件形式發(fā)送出去?”

-- Adallom公司戰(zhàn)略副總裁Danelle Au

供應(yīng)商為正常運(yùn)行時(shí)間提供怎樣的服務(wù)水平協(xié)議(簡(jiǎn)稱SLA)?

“大部分供應(yīng)商都提供99.9%的正常運(yùn)行時(shí)間，這意味著每個(gè)月的非計(jì)劃停機(jī)時(shí)長(zhǎng)大約為45分鐘。即使是出現(xiàn)了有違這一服務(wù)水平協(xié)議的狀況，我們的賬戶也往往只能得到一定比例的月費(fèi)‘信用’折扣作為補(bǔ)償——這與停機(jī)給實(shí)際業(yè)務(wù)帶來(lái)的損失相比幾乎可以忽略不計(jì)。因此，選擇一家能夠提供理想正常運(yùn)行時(shí)間的云服務(wù)供應(yīng)商對(duì)于正在尋求理想云解決方案以滿足具體需求的企業(yè)客戶而言至關(guān)重要。”

-- Konica Minolta Business Solutions公司All covered部門高級(jí)云架構(gòu)師Nick Zeigler

你們是否具備ISO27001:2013認(rèn)證資質(zhì)?如果答案是肯定的，那么認(rèn)證的涵蓋范疇具體如何?

“這個(gè)問(wèn)題的目標(biāo)在于了解一家云服務(wù)供應(yīng)商是否符合公認(rèn)的信息安全標(biāo)準(zhǔn)，同時(shí)確認(rèn)對(duì)方的整套業(yè)務(wù)體系是否都被涵蓋在認(rèn)證范圍之內(nèi)——包括其業(yè)務(wù)系統(tǒng)、操作系統(tǒng)以及運(yùn)營(yíng)平臺(tái)，而非單純其中的某一項(xiàng)。”

-- Mimecast公司網(wǎng)絡(luò)安全專家Orlando Scott-Cowley

供應(yīng)商是否允許客戶對(duì)生產(chǎn)環(huán)境或者其它經(jīng)過(guò)設(shè)計(jì)的測(cè)試環(huán)境進(jìn)行定期滲透測(cè)試?

“對(duì)于企業(yè)而言，滲透測(cè)試是一種常見(jiàn)的檢驗(yàn)方式，能夠確保自身系統(tǒng)得到恰當(dāng)保護(hù)并有能力免受攻擊影響。允許客戶執(zhí)行此類測(cè)試的云服務(wù)供應(yīng)商顯然愿意以更為透明的方式將自身安全實(shí)踐置于監(jiān)督之下，同時(shí)也表明其對(duì)自己的系統(tǒng)安全性及可靠性更具信心。”

-- SystemExperts公司高級(jí)顧問(wèn)Paul Hill