隨著企業大資料量的增長,企業對於部署雲計算也開始提上了日程。 然而,由於企業對於雲供應商無法清楚的瞭解所提供的雲服務的安全性,因此,企業有必要在選擇雲供應商之前對其進行漏洞評估和滲透測試。
瞭解雲應用程式或雲服務背後的情況有時候很困難,但也不全然是這樣。 對雲服務提供者的審計通常先要弄清楚:審查、瞭解和評估的需要,但通常企業不是根據他們面臨的風險來選擇審查雲供應商的。
在對雲服務供應商進行審計之前,企業要確定好目標,弄清楚你關心的是什麼,你想要保護什麼等。 如果雲服務存儲的資料被洩露的話,可能會對企業造成影響,那麼應該更加積極地對供應商進行評估,否則後果不堪設想。 合理分配你的時間、資金和資源,不要將過多時間(超過必要的時間)花在評估協力廠商上,花一些時間在其他工作上,例如提供更好的安全保護來降低企業風險。 請確保涵蓋了所有風險點,例如資料中轉、存儲、評估控制、供應商員工訪問、日誌記錄、應用程式安全、物理安全和協力廠商集成等。
不要這樣做:不要帶著巨大的清單清單和問卷調查來開始審計。 我們都面對過這樣的調查表,我們都討厭這樣的表,沒有人想要回答這些繁複的問題,更重要的是,沒有人願意檢查答案是否正確。 這些問題從來不能準確定義被評估的風險或者服務,反而會浪費雙方的時間。 開始評估前,先弄清楚協力廠商的控制情況,企業需要面對哪些審計,企業已經符合了哪些合規標準等。 明確你的目標和關注焦點將能夠説明指導評估過程,特別是在雲環境----基礎設施和應用程式與傳統企業環境中的截然不同,而且發展迅速。
漏洞評估和滲透測試是驗證你的雲服務供應商安全態勢的最好方法。 從筆者的經驗來看,大多數雲服務供應商都歡迎潛在客戶對他們的基礎設施進行漏洞評估,只要是在商定的時間範圍內,並且他們的團隊願意回答各種問題。 有時候也會碰到不願意合作的供應商,而這種時候也通常意味著你最好不要選擇這個供應商。
這些評估對於大多數雲服務供應商來說都是有好處的,因為他們沒有什麼其他資訊能夠提供給客戶來證明他們的服務能夠滿足嚴格的企業安全標準,這是由於很多供應商都是在公共雲服務上建立他們的服務, 並且企業安全產品並不能與雲基礎設施完美匹配。 有沒有在雲環境中嘗試過IPS和全包捕捉呢?如果試過的話,那麼你就知道安全清單的IDS/IPS是很難實現的。 側面提示:在確定所有範圍內系統中務必進行盡職調查,並且驗證供應商提供的結果。 一些供應商將他們的應用程式託管在更大雲供應商的基礎設施中,因此,需要進行一些驗證過程。 這些驗證過程並不是最全面的,也並不一定能夠解決你關注的問題。 對與你相關的部分進行驗證,因為你需要承擔自己的風險。
在與雲供應商合作時,請明確你的問題,根據自身風險進行評估,最重要的是,要意識到在雲環境,我們的傳統方法和程式都不在適用。 從企業角度來看,承擔雲環境中的安全風險是困難的工作,我們試圖證明他們的安全性,但我們並沒有真正需要的資源來滿足我們為企業內部設定的相同標準。 即便如此,雲服務可能是安全的,有些也可能是不安全的,我們必須對其進行審查才能下結論,從而選擇適合自己企業的安全的供應商。