根据SAS70(由美国会计师协会AICPA制定,针对金融服务机构向客户提供服务的内部控制、安全保障、稽核监督措施的审计标准),云信任,云审计或其他云审计标准,你选择的提供商应该能够向你展示云性能和安全数据。
你当然不要期望提供商透露它们工作中的每一个细节,因为这对它自身会造成安全威胁。但你能得到一份综合性报告,从业务角度提供内容提要,调查结果和修复方法。
如果企业出于法律和审计的目的需要其他细节,你的提供商应该能为你定制报告。如果你还需要额外细查,你可以询问他们是否可以提供整体的独立漏洞评估。但这种方式是要支付额外费用的。
云安全:知识产权
在任何云服务的中心,多种刀片服务器运行的虚拟机数量惊人。这些机器很有可能共享你的信息。所以要知道这种环境是否能满足你期望的安全级别和有效性。高安全性的虚拟机必须配对在一起,额外的安全控制要超过标准的安全配置。
生命周期管理和跟踪元数据
不光你的信息安全需要担心,同样要担心的是在它们附近的元数据。如果收到攻击,你可能需要提供电子证据来说明发生的事情,像访问时间和登录凭据这样的元数据。
除此之外,还应该知道当不需要虚拟机时,如何销毁它们。因为它们很有可能仍有信息。一个安全清单和虚拟机永久消除方案会让你晚上睡得更踏实些。
云安全:物理安全
不可否认,我有点偏执,也许云提供商的物理数据中心站点会质疑:“难道我这没有员工来控制么?”但是设施越简单越好。在数据中心,关键任务系统必须物理分离并且有物理访问控制。
你负责什么安全控制?
一旦你将业务流程放到云里,并不意味着你没有安全责任。你得清晰地知道你和提供商各自的职责。
本文当然不是一个全面的清单,但还是有一些发人深思的东西。严谨的云提供商当然明白这些,他们可以提供上面大多数的信息。而那些没法提供的也不是你要找的云提供商。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
