雪鹰领主,有声小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

云服務供應需要考慮的十個安全問題

在今天的文章中，我們將通過十個問題幫助企業(yè)管理者快速評估自己可能面臨的云服務安全風險。

成都創(chuàng)新互聯(lián)公司服務項目包括東河網(wǎng)站建設(shè)、東河網(wǎng)站制作、東河網(wǎng)頁制作以及東河網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，東河網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務的客戶以成都為中心已經(jīng)輻射到東河省份的部分城市，未來相信會繼續(xù)擴大服務區(qū)域并繼續(xù)獲得客戶的支持與信任！

目前安全團隊正致力于幫助業(yè)務線用戶以及其他IT從業(yè)人員以盡可能安全的方式享受云技術(shù)帶來的諸多便利，這同時也使安全力量開始越來越多地扮演起值得依賴的顧問角色。軟件即服務(簡稱SaaS)、基礎(chǔ)設(shè)施即服務(簡稱IaaS)以及平臺即服務(簡稱PaaS)產(chǎn)品在帶來可擴展性、靈活性以及便利性的同時，卻也讓企業(yè)面臨著更為可觀的風險成本?？紤]到這一點，我們需要信息安全專家的幫助來評估各家潛在云服務供應商，從而更好地預測此類未來可能出現(xiàn)的風險因素。

在這里，我們匯總了來自多位專家的十個必答問題，大家不妨首先聽聽服務供應商給出的回復、然后再考慮是否要與其簽訂合作協(xié)議。

你們是否會在協(xié)議中承諾，將通過UI以及API對用戶何時執(zhí)行何種操作進行追蹤?

“對服務供應商而言，很重要的一點就是協(xié)助防止錯誤與惡意行動的發(fā)生——當用戶們了解到審計機制的存在，他們會以更為嚴謹?shù)姆绞绞褂梅掌脚_，同時也能夠阻止他們利用此類平臺作為攻擊活動的載體。除此之外，審計追蹤機制的存在也有助于排除故障并分析導致問題的原因?！?/p>

--CloudBolt Software公司CTO Bernard Sanders

我們雙方在數(shù)據(jù)保護工作中各自扮演怎樣的角色?

“必須認識到，企業(yè)需要在保護自身數(shù)據(jù)安全的工作當中扮演至關(guān)重要的角色。而了解數(shù)據(jù)的具體訪問方式——即使是在有云服務供應商介入的前提下——對于風險管理工作仍然非常關(guān)鍵。大部分云服務供應商會要求將相關(guān)責任與安全部門進行分擔，而企業(yè)客戶也不能想當然地假定一切數(shù)據(jù)泄露問題都該由服務供應商負責?！?/p>

-- Elastica公司CEO Rehan Jalil

數(shù)據(jù)中心之內(nèi)的所有傳輸數(shù)據(jù)是否全部經(jīng)過加密，包括一切服務器到服務器傳輸數(shù)據(jù)?

“安全性的實際水平取決于體系中最薄弱的那一環(huán)。盡管客戶與服務供應商之間利用加密機制保護數(shù)據(jù)流量、從而確保數(shù)據(jù)完整性及保密性的作法已經(jīng)相當普遍，但目前仍沒有多少服務供應商會在企業(yè)自有環(huán)境內(nèi)部對服務器之間的通信內(nèi)容進行加密。有這種情況下，一旦整個體系出現(xiàn)突破口、攻擊者往往能夠抓緊機會將其作為惡意活動的契機。”

-- SystemExperts公司高級顧問Paul Hill

供應商采取怎樣的日志訪問機制?

“聽起來確實很簡單，不過日志訪問機制真的應該成為評估服務供應商時著重考量的一項標準。最終用戶不應該能夠從數(shù)據(jù)中心里的服務器或者云服務供應商處得到豐富的日志信息集，而企業(yè)也必須認真考慮哪些信息可以、而哪些信息不能從供應商處獲取。盡管某些信息可能與企業(yè)本身沒有任何關(guān)系，但也有一些非常重要的部分可能也會因此而徹底無法為企業(yè)客戶所掌握。而且在必要情況下，企業(yè)應該嘗試通過談判提前商議與日志訪問相關(guān)的事宜?！?/p>

-- NSS實驗室研究主管Rob Ayoub

我們?nèi)绾未_保自身能夠順利中止或者“退出流程”，從而將服務轉(zhuǎn)移到其它供應商的云環(huán)境之下?

“我們必須清醒地認識到，任何一段合作關(guān)系都不可能永遠持續(xù)下去。也就是說，企業(yè)需要考慮如何順暢地解除與當前云服務供應商的合作關(guān)系。因此作為一大重點，企業(yè)應當將以下內(nèi)容納入到與云服務供應商簽訂的合約當中：

?注明供應商將如何協(xié)助整個過渡過程，包括將企業(yè)客戶的數(shù)據(jù)進行交還或者有效提供給第三方。

?在政策中規(guī)定服務供應商應如何銷毀企業(yè)客戶的數(shù)據(jù)或者對其進行電子清除，這樣客戶就能夠有理有據(jù)地確信自己的數(shù)據(jù)不再存留于服務供應商的系統(tǒng)當中、從而免除受到潛在攻擊或者進行電子取證的可能性。

?服務供應商需要利用獨立的第三方對其退出規(guī)程的有效性進行審核與驗證?！?/p>

-- Accuvant公司CISO辦公室副總裁Renee Guttmann

服務器、流程以及數(shù)據(jù)的物理位置究竟在哪里?

“盡管云計算往往被認為是一種能夠跨越國界的靈活解決方案，但云服務供應商卻必須保證企業(yè)客戶的全部執(zhí)行流程及數(shù)據(jù)存在于真實的地理位置，而且不同國家對于數(shù)據(jù)隱私及安全的法律法規(guī)要求亦有所區(qū)別。請注意選擇那些立足于您所在的國家，而且能確保所有客戶資產(chǎn)都被托管在同一國家之內(nèi)的供應商?！?/p>

-- iSIGHT Partners公司經(jīng)理Stephen Ellis

誰能夠在云環(huán)境下查看企業(yè)數(shù)據(jù)?

“與內(nèi)部數(shù)據(jù)中心的情況一樣，云服務供應商的基礎(chǔ)設(shè)施也會由專門的技術(shù)支持團隊負責維護。因此，請務必了解這些能夠查看到我們數(shù)據(jù)內(nèi)容的工作人員。供應商會采取哪些內(nèi)部控制機制來避免未經(jīng)授權(quán)的查閱、復制或者將客戶信息以郵件形式發(fā)送出去?”

-- Adallom公司戰(zhàn)略副總裁Danelle Au

供應商為正常運行時間提供怎樣的服務水平協(xié)議(簡稱SLA)?

“大部分供應商都提供99.9%的正常運行時間，這意味著每個月的非計劃停機時長大約為45分鐘。即使是出現(xiàn)了有違這一服務水平協(xié)議的狀況，我們的賬戶也往往只能得到一定比例的月費‘信用’折扣作為補償——這與停機給實際業(yè)務帶來的損失相比幾乎可以忽略不計。因此，選擇一家能夠提供理想正常運行時間的云服務供應商對于正在尋求理想云解決方案以滿足具體需求的企業(yè)客戶而言至關(guān)重要?！?/p>

-- Konica Minolta Business Solutions公司All covered部門高級云架構(gòu)師Nick Zeigler

你們是否具備ISO27001:2013認證資質(zhì)?如果答案是肯定的，那么認證的涵蓋范疇具體如何?

“這個問題的目標在于了解一家云服務供應商是否符合公認的信息安全標準，同時確認對方的整套業(yè)務體系是否都被涵蓋在認證范圍之內(nèi)——包括其業(yè)務系統(tǒng)、操作系統(tǒng)以及運營平臺，而非單純其中的某一項?！?/p>

-- Mimecast公司網(wǎng)絡(luò)安全專家Orlando Scott-Cowley

供應商是否允許客戶對生產(chǎn)環(huán)境或者其它經(jīng)過設(shè)計的測試環(huán)境進行定期滲透測試?

“對于企業(yè)而言，滲透測試是一種常見的檢驗方式，能夠確保自身系統(tǒng)得到恰當保護并有能力免受攻擊影響。允許客戶執(zhí)行此類測試的云服務供應商顯然愿意以更為透明的方式將自身安全實踐置于監(jiān)督之下，同時也表明其對自己的系統(tǒng)安全性及可靠性更具信心?！?/p>

-- SystemExperts公司高級顧問Paul Hill

名稱欄目：云服務供應需要考慮的十個安全問題
文章網(wǎng)址：http://fisionsoft.com.cn/article/dhiosjj.html

新聞中心

其他資訊