对云提供商的安全要求

日期: 2011-11-29 作者:Chris Squier翻译:潘天禄 来源:TechTarget中国 英文

对某些人来说云是改变他们工作方式的绝好机会。而对另外一些人来说,云更像是一团模糊的概念。虽然我是云服务的一位粉丝,但是也不能盲目的选择云。如果你有云服务要转售,你需要询问云提供商的安全性。

  独立的云审计

  根据SAS70(由美国会计师协会AICPA制定,针对金融服务机构向客户提供服务的内部控制、安全保障、稽核监督措施的审计标准),云信任,云审计或其他云审计标准,你选择的提供商应该能够向你展示云性能和安全数据。

  你当然不要期望提供商透露它们工作中的每一个细节,因为这对它自身会造成安全威胁。但你能得到一份综合性报告,从业务角度提供内容提要,调查结果和修复方法。

  如果企业出于法律和审计的目的需要其他细节,你的提供商应该能为你定制报告。如果你还需要额外细查,你可以询问他们是否可以提供整体的独立漏洞评估。但这种方式是要支付额外费用的。

  云安全:知识产权

  在任何云服务的中心,多种刀片服务器运行的虚拟机数量惊人。这些机器很有可能共享你的信息。所以要知道这种环境是否能满足你期望的安全级别和有效性。高安全性的虚拟机必须配对在一起,额外的安全控制要超过标准的安全配置。

  生命周期管理和跟踪元数据

  不光你的信息安全需要担心,同样要担心的是在它们附近的元数据。如果收到攻击,你可能需要提供电子证据来说明发生的事情,像访问时间和登录凭据这样的元数据。

  除此之外,还应该知道当不需要虚拟机时,如何销毁它们。因为它们很有可能仍有信息。一个安全清单和虚拟机永久消除方案会让你晚上睡得更踏实些。

  云安全:物理安全

  不可否认,我有点偏执,也许云提供商的物理数据中心站点会质疑:“难道我这没有员工来控制么?”但是设施越简单越好。在数据中心,关键任务系统必须物理分离并且有物理访问控制。

  你负责什么安全控制?

  一旦你将业务流程放到云里,并不意味着你没有安全责任。你得清晰地知道你和提供商各自的职责。

  本文当然不是一个全面的清单,但还是有一些发人深思的东西。严谨的云提供商当然明白这些,他们可以提供上面大多数的信息。而那些没法提供的也不是你要找的云提供商。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐