隨著企業(yè)大數(shù)據(jù)量的增長,企業(yè)對于部署云計算也開始提上了日程。然而,由于企業(yè)對于云供應(yīng)商無法清楚的了解所提供的云服務(wù)的安全性,因此,企業(yè)有必要在選擇云提供商之前對其進行漏洞評估和滲透測試。
了解云應(yīng)用程序或云服務(wù)背后的情況有時候很困難,但也不全然是這樣。對云服務(wù)提供商的審計通常先要弄清楚:審查、了解和評估的需要,但通常企業(yè)不是根據(jù)他們面臨的風(fēng)險來選擇審查云供應(yīng)商的。
在對云服務(wù)供應(yīng)商進行審計之前,企業(yè)要確定好目標(biāo),弄清楚你關(guān)心的是什么,你想要保護什么等。如果云服務(wù)存儲的數(shù)據(jù)被泄露的話,可能會對企業(yè)造成影響,那么應(yīng)該更加積極地對供應(yīng)商進行評估,否則后果不堪設(shè)想。合理分配你的時間、資金和資源,不要將過多時間(超過必要的時間)花在評估第三方上,花一些時間在其他工作上,例如提供更好的安全保護來降低企業(yè)風(fēng)險。請確保涵蓋了所有風(fēng)險點,例如數(shù)據(jù)中轉(zhuǎn)、存儲、評估控制、供應(yīng)商員工訪問、日志記錄、應(yīng)用程序安全、物理安全和第三方集成等。
不要這樣做:不要帶著巨大的清單列表和問卷調(diào)查來開始審計。我們都面對過這樣的調(diào)查表,我們都討厭這樣的表,沒有人想要回答這些繁復(fù)的問題,更重要的是,沒有人愿意檢查答案是否正確。這些問題從來不能準(zhǔn)確定義被評估的風(fēng)險或者服務(wù),反而會浪費雙方的時間。開始評估前,先弄清楚第三方的控制情況,企業(yè)需要面對哪些審計,企業(yè)已經(jīng)符合了哪些合規(guī)標(biāo)準(zhǔn)等。明確你的目標(biāo)和關(guān)注焦點將能夠幫助指導(dǎo)評估過程,特別是在云環(huán)境----基礎(chǔ)設(shè)施和應(yīng)用程序與傳統(tǒng)企業(yè)環(huán)境中的截然不同,而且發(fā)展迅速。
漏洞評估和滲透測試是驗證你的云服務(wù)供應(yīng)商安全態(tài)勢的最好方法。從筆者的經(jīng)驗來看,大多數(shù)云服務(wù)供應(yīng)商都?xì)g迎潛在客戶對他們的基礎(chǔ)設(shè)施進行漏洞評估,只要是在商定的時間范圍內(nèi),并且他們的團隊愿意回答各種問題。有時候也會碰到不愿意合作的供應(yīng)商,而這種時候也通常意味著你最好不要選擇這個供應(yīng)商。
這些評估對于大多數(shù)云服務(wù)供應(yīng)商來說都是有好處的,因為他們沒有什么其他信息能夠提供給客戶來證明他們的服務(wù)能夠滿足嚴(yán)格的企業(yè)安全標(biāo)準(zhǔn),這是由于很多供應(yīng)商都是在公共云服務(wù)上建立他們的服務(wù),并且企業(yè)安全產(chǎn)品并不能與云基礎(chǔ)設(shè)施完美匹配。有沒有在云環(huán)境中嘗試過IPS和全包捕捉呢?如果試過的話,那么你就知道安全清單的IDS/IPS是很難實現(xiàn)的。側(cè)面提示:在確定所有范圍內(nèi)系統(tǒng)中務(wù)必進行盡職調(diào)查,并且驗證供應(yīng)商提供的結(jié)果。一些供應(yīng)商將他們的應(yīng)用程序托管在更大云供應(yīng)商的基礎(chǔ)設(shè)施中,因此,需要進行一些驗證過程。這些驗證過程并不是最全面的,也并不一定能夠解決你關(guān)注的問題。對與你相關(guān)的部分進行驗證,因為你需要承擔(dān)自己的風(fēng)險。
在與云供應(yīng)商合作時,請明確你的問題,根據(jù)自身風(fēng)險進行評估,最重要的是,要意識到在云環(huán)境,我們的傳統(tǒng)方法和程序都不在適用。從企業(yè)角度來看,承擔(dān)云環(huán)境中的安全風(fēng)險是困難的工作,我們試圖證明他們的安全性,但我們并沒有真正需要的資源來滿足我們?yōu)槠髽I(yè)內(nèi)部設(shè)定的相同標(biāo)準(zhǔn)。即便如此,云服務(wù)可能是安全的,有些也可能是不安全的,我們必須對其進行審查才能下結(jié)論,從而選擇適合自己企業(yè)的安全的供應(yīng)商。
相關(guān)消息:
京公網(wǎng)安備 11010502049343號