對某些人來說云是改變他們工作方式的絕好機會。而對另外一些人來說,云更像是一團模糊的概念。雖然我是云服務的一位粉絲,但是也不能盲目的選擇云。如果你有云服務要轉售,你需要詢問云提供商的安全性。
獨立的云審計
根據SAS70(由美國會計師協會AICPA制定,針對金融服務機構向客戶提供服務的內部控制、安全保障、稽核監督措施的審計標準),云信任,云審計或其他云審計標準,你選擇的提供商應該能夠向你展示云性能和安全數據。
你當然不要期望提供商透露它們工作中的每一個細節,因為這對它自身會造成安全威脅。但你能得到一份綜合性報告,從業務角度提供內容提要,調查結果和修復方法。
如果企業出于法律和審計的目的需要其他細節,你的提供商應該能為你定制報告。如果你還需要額外細查,你可以詢問他們是否可以提供整體的獨立漏洞評估。但這種方式是要支付額外費用的。
云安全:知識產權
在任何云服務的中心,多種刀片服務器運行的虛擬機數量驚人。這些機器很有可能共享你的信息。所以要知道這種環境是否能滿足你期望的安全級別和有效性。高安全性的虛擬機必須配對在一起,額外的安全控制要超過標準的安全配置。
生命周期管理和跟蹤元數據
不光你的信息安全需要擔心,同樣要擔心的是在它們附近的元數據。如果收到攻擊,你可能需要提供電子證據來說明發生的事情,像訪問時間和登錄憑據這樣的元數據。
除此之外,還應該知道當不需要虛擬機時,如何銷毀它們。因為它們很有可能仍有信息。一個安全清單和虛擬機永久消除方案會讓你晚上睡得更踏實些。
云安全:物理安全
不可否認,我有點偏執,也許云提供商的物理數據中心站點會質疑:“難道我這沒有員工來控制么?”但是設施越簡單越好。在數據中心,關鍵任務系統必須物理分離并且有物理訪問控制。
你負責什么安全控制?
一旦你將業務流程放到云里,并不意味著你沒有安全責任。你得清晰地知道你和提供商各自的職責。
本文當然不是一個全面的清單,但還是有一些發人深思的東西。嚴謹的云提供商當然明白這些,他們可以提供上面大多數的信息。而那些沒法提供的也不是你要找的云提供商。
京公網安備 11010502049343號