對某些人來說云是改變他們工作方式的絕好機會。而對另外一些人來說,云更像是一團模糊的概念。雖然我是云服務(wù)的一位粉絲,但是也不能盲目的選擇云。如果你有云服務(wù)要轉(zhuǎn)售,你需要詢問云提供商的安全性。
獨立的云審計
根據(jù)SAS70(由美國會計師協(xié)會AICPA制定,針對金融服務(wù)機構(gòu)向客戶提供服務(wù)的內(nèi)部控制、安全保障、稽核監(jiān)督措施的審計標(biāo)準(zhǔn)),云信任,云審計或其他云審計標(biāo)準(zhǔn),你選擇的提供商應(yīng)該能夠向你展示云性能和安全數(shù)據(jù)。
你當(dāng)然不要期望提供商透露它們工作中的每一個細節(jié),因為這對它自身會造成安全威脅。但你能得到一份綜合性報告,從業(yè)務(wù)角度提供內(nèi)容提要,調(diào)查結(jié)果和修復(fù)方法。
如果企業(yè)出于法律和審計的目的需要其他細節(jié),你的提供商應(yīng)該能為你定制報告。如果你還需要額外細查,你可以詢問他們是否可以提供整體的獨立漏洞評估。但這種方式是要支付額外費用的。
云安全:知識產(chǎn)權(quán)
在任何云服務(wù)的中心,多種刀片服務(wù)器運行的虛擬機數(shù)量驚人。這些機器很有可能共享你的信息。所以要知道這種環(huán)境是否能滿足你期望的安全級別和有效性。高安全性的虛擬機必須配對在一起,額外的安全控制要超過標(biāo)準(zhǔn)的安全配置。
生命周期管理和跟蹤元數(shù)據(jù)
不光你的信息安全需要擔(dān)心,同樣要擔(dān)心的是在它們附近的元數(shù)據(jù)。如果收到攻擊,你可能需要提供電子證據(jù)來說明發(fā)生的事情,像訪問時間和登錄憑據(jù)這樣的元數(shù)據(jù)。
除此之外,還應(yīng)該知道當(dāng)不需要虛擬機時,如何銷毀它們。因為它們很有可能仍有信息。一個安全清單和虛擬機永久消除方案會讓你晚上睡得更踏實些。
云安全:物理安全
不可否認(rèn),我有點偏執(zhí),也許云提供商的物理數(shù)據(jù)中心站點會質(zhì)疑:“難道我這沒有員工來控制么?”但是設(shè)施越簡單越好。在數(shù)據(jù)中心,關(guān)鍵任務(wù)系統(tǒng)必須物理分離并且有物理訪問控制。
你負責(zé)什么安全控制?
一旦你將業(yè)務(wù)流程放到云里,并不意味著你沒有安全責(zé)任。你得清晰地知道你和提供商各自的職責(zé)。
本文當(dāng)然不是一個全面的清單,但還是有一些發(fā)人深思的東西。嚴(yán)謹(jǐn)?shù)脑铺峁┥坍?dāng)然明白這些,他們可以提供上面大多數(shù)的信息。而那些沒法提供的也不是你要找的云提供商。