云服务供应需要考虑的十个安全问题
在今天的文章中,我们将通过十个问题帮助企业管理者快速评估自己可能面临的云服务安全
风险。
目前安全团队正致力于帮助业务线用户以及其他 IT 从业人员以尽可能安全的方式享受云技
术带来的诸多便利,这同时也使安全力量开始越来越多地扮演起值得依赖的顾问角色。软件
即服务(简称 SaaS)、基础设施即服务(简称 IaaS)以及平台即服务(简称 PaaS)产品在带来可扩展
性、灵活性以及便利性的同时,却也让企业面临着更为可观的风险成本。考虑到这一点,我
们需要信息安全专家的帮助来评估各家潜在云服务供应商,从而更好地预测此类未来可能出
现的风险因素。
在这里,我们汇总了来自多位专家的十个必答问题,大家不妨首先听听服务供应商给出的回
复、然后再考虑是否要与其签订合作协议。
你们是否会在协议中承诺,将通过 UI 以及 API 对用户何时执行何种操作进行追踪?
“对服务供应商而言,很重要的一点就是协助防止错误与恶意行动的发生——当用户们了解
到审计机制的存在,他们会以更为严谨的方式使用服务平台,同时也能够阻止他们利用此类
平台作为攻击活动的载体。除此之外,审计追踪机制的存在也有助于排除故障并分析导致问
题的原因。”
--CloudBolt Software 公司 CTO Bernard Sanders
我们双方在数据保护工作中各自扮演怎样的角色?
“必须认识到,企业需要在保护自身数据安全的工作当中扮演至关重要的角色。而了解数据
的具体访问方式——即使是在有云服务供应商介入的前提下——对于风险管理工作仍然非
常关键。大部分云服务供应商会要求将相关责任与安全部门进行分担,而企业客户也不能想
当然地假定一切数据泄露问题都该由服务供应商负责。”
-- Elastica 公司 CEO Rehan Jalil
数据中心之内的所有传输数据是否全部经过加密,包括一切服务器到服务器传输数据?
“安全性的实际水平取决于体系中最薄弱的那一环。尽管客户与服务供应商之间利用加密机
制保护数据流量、从而确保数据完整性及保密性的作法已经相当普遍,但目前仍没有多少服
务供应商会在企业自有环境内部对服务器之间的通信内容进行加密。有这种情况下,一旦整
个体系出现突破口、攻击者往往能够抓紧机会将其作为恶意活动的契机。”
-- SystemExperts 公司高级顾问 Paul Hill
供应商采取怎样的日志访问机制?
“听起来确实很简单,不过日志访问机制真的应该成为评估服务供应商时着重考量的一项标
准。最终用户不应该能够从数据中心里的服务器或者云服务供应商处得到丰富的日志信息集,
而企业也必须认真考虑哪些信息可以、而哪些信息不能从供应商处获取。尽管某些信息可能
与企业本身没有任何关系,但也有一些非常重要的部分可能也会因此而彻底无法为企业客户
所掌握。而且在必要情况下,企业应该尝试通过谈判提前商议与日志访问相关的事宜。”
-- NSS 实验室研究主管 Rob Ayoub
我们如何确保自身能够顺利中止或者“退出流程”,从而将服务转移到其它供应商的云环境
之下?
“我们必须清醒地认识到,任何一段合作关系都不可能永远持续下去。也就是说,企业需要
考虑如何顺畅地解除与当前云服务供应商的合作关系。因此作为一大重点,企业应当将以下
内容纳入到与云服务供应商签订的合约当中:
?注明供应商将如何协助整个过渡过程,包括将企业客户的数据进行交还或者有效提供给第
评论0
最新资源