對雲供應商的安全要求

對某些人來說雲是改變他們工作方式的絕好機會。 而對另外一些人來說，雲更像是一團模糊的概念。 雖然我是雲服務的一位粉絲，但是也不能盲目的選擇雲。 如果你有雲服務要轉售，你需要詢問雲供應商的安全性。 獨立的雲審計根據SAS70（由美國會計師協會AICPA制定，針對金融服務中心向客戶提供服務的內部控制、安全保障、稽核監督措施的審計標準），雲信任，雲審計或其他雲審計標準，你選擇的供應商應該能夠向你展示雲性能和安全資料。 你當然不要期望供應商透露它們工作中的每一個細節，因為這對它自身會造成安全威脅。 但你能得到一份綜合性報告，從業務角度提供內容提要，調查結果和修復方法。 如果企業出於法律和審計的目的需要其他細節，你的供應商應該能為你定制報告。 如果你還需要額外細查，你可以詢問他們是否可以提供整體的獨立漏洞評估。 但這種方式是要支付額外費用的。 雲安全：智慧財產權在任何雲服務的中心，多種刀片伺服器運行的虛擬機器數量驚人。 這些機器很有可能共用你的資訊。 所以要知道這種環境是否能滿足你期望的安全級別和有效性。 高安全性的虛擬機器必須配對在一起，額外的安全控制要超過標準的安全配置。 生命週期管理和跟蹤中繼資料不光你的資訊安全需要擔心，同樣要擔心的是在它們附近的中繼資料。 如果收到攻擊，你可能需要提供電子證據來說明發生的事情，像存取時間和登錄憑據這樣的中繼資料。 除此之外，還應該知道當不需要虛擬機器時，如何銷毀它們。 因為它們很有可能仍有資訊。 一個安全清單和虛擬機器永久消除方案會讓你晚上睡得更踏實些。 雲安全：物理安全不可否認，我有點偏執，也許雲供應商的物理資料中心網站會質疑：「難道我這沒有員工來控制麼？ 」但是設施越簡單越好。 在資料中心，要徑任務系統必須物理分離並且有物理存取控制。 你負責什麼安全控制？ 一旦你將業務流程放到雲裡，並不意味著你沒有安全責任。 你得清晰地知道你和供應商各自的職責。 本文當然不是一個全面的清單，但還是有一些發人深思的東西。 嚴謹的雲供應商當然明白這些，他們可以提供上面大多數的資訊。 而那些沒法提供的也不是你要找的雲供應商。 【編輯推薦】RSA大會程式委員會主席毛文波：「雲安全」尚在幼年雲安全仍然是程式開發者頭痛的問題雲安全的思考及展望保護雲中的API金鑰 改善企業雲安全Websense：締造落地生「花」的雲安全【責任編輯：佟媛微 TEL：（010）68476606】 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文：對雲供應商的安全要求 返回網路安全首頁