迅速避开云服务安全风险的十大要点

译文
作者：核子可乐译 2015-05-18 08:47:54

云计算

云安全 在今天的文章中，我们将通过十个问题帮助企业管理者快速评估自己可能面临的云服务安全风险。

[[134264]]

在今天的文章中，我们将通过十个问题帮助企业管理者快速评估自己可能面临的云服务安全风险。

目前安全团队正致力于帮助业务线用户以及其他IT从业人员以尽可能安全的方式享受云技术带来的诸多便利，这同时也使安全力量开始越来越多地扮演起值得依赖的顾问角色。软件即服务(简称SaaS)、基础设施即服务(简称IaaS)以及平台即服务(简称PaaS)产品在带来可扩展性、灵活性以及便利性的同时，却也让企业面临着更为可观的风险成本。考虑到这一点，我们需要信息安全专家的帮助来评估各家潜在云服务供应商，从而更好地预测此类未来可能出现的风险因素。

在这里，我们汇总了来自多位专家的十个必答问题，大家不妨首先听听服务供应商给出的回复、然后再考虑是否要与其签订合作协议。

[[134265]]

你们是否会在协议中承诺，将通过UI以及API对用户何时执行何种操作进行追踪?

“对服务供应商而言，很重要的一点就是协助防止错误与恶意行动的发生——当用户们了解到审计机制的存在，他们会以更为严谨的方式使用服务平台，同时也能够阻止他们利用此类平台作为攻击活动的载体。除此之外，审计追踪机制的存在也有助于排除故障并分析导致问题的原因。”

–CloudBolt Software公司CTO Bernard Sanders

[[134266]]

我们双方在数据保护工作中各自扮演怎样的角色?

“必须认识到，企业需要在保护自身数据安全的工作当中扮演至关重要的角色。而了解数据的具体访问方式——即使是在有云服务供应商介入的前提下——对于风险管理工作仍然非常关键。大部分云服务供应商会要求将相关责任与安全部门进行分担，而企业客户也不能想当然地假定一切数据泄露问题都该由服务供应商负责。”

— Elastica公司CEO Rehan Jalil

#p#

[[134267]]

数据中心之内的所有传输数据是否全部经过加密，包括一切服务器到服务器传输数据?

“安全性的实际水平取决于体系中最薄弱的那一环。尽管客户与服务供应商之间利用加密机制保护数据流量、从而确保数据完整性及保密性的作法已经相当普遍，但目前仍没有多少服务供应商会在企业自有环境内部对服务器之间的通信内容进行加密。有这种情况下，一旦整个体系出现突破口、攻击者往往能够抓紧机会将其作为恶意活动的契机。”

— SystemExperts公司高级顾问Paul Hill

[[134268]]

供应商采取怎样的日志访问机制?

“听起来确实很简单，不过日志访问机制真的应该成为评估服务供应商时着重考量的一项标准。最终用户不应该能够从数据中心里的服务器或者云服务供应商处得到丰富的日志信息集，而企业也必须认真考虑哪些信息可以、而哪些信息不能从供应商处获取。尽管某些信息可能与企业本身没有任何关系，但也有一些非常重要的部分可能也会因此而彻底无法为企业客户所掌握。而且在必要情况下，企业应该尝试通过谈判提前商议与日志访问相关的事宜。”

— NSS实验室研究主管Rob Ayoub

[[134269]]

我们如何确保自身能够顺利中止或者“退出流程”，从而将服务转移到其它供应商的云环境之下?

“我们必须清醒地认识到，任何一段合作关系都不可能永远持续下去。也就是说，企业需要考虑如何顺畅地解除与当前云服务供应商的合作关系。因此作为一大重点，企业应当将以下内容纳入到与云服务供应商签订的合约当中：

•注明供应商将如何协助整个过渡过程，包括将企业客户的数据进行交还或者有效提供给第三方。

•在政策中规定服务供应商应如何销毁企业客户的数据或者对其进行电子清除，这样客户就能够有理有据地确信自己的数据不再存留于服务供应商的系统当中、从而免除受到潜在攻击或者进行电子取证的可能性。

•服务供应商需要利用独立的第三方对其退出规程的有效性进行审核与验证。”

— Accuvant公司CISO办公室副总裁Renee Guttmann

#p#

[[134270]]

服务器、流程以及数据的物理位置究竟在哪里?

“尽管云计算往往被认为是一种能够跨越国界的灵活解决方案，但云服务供应商却必须保证企业客户的全部执行流程及数据存在于真实的地理位置，而且不同国家对于数据隐私及安全的法律法规要求亦有所区别。请注意选择那些立足于您所在的国家，而且能确保所有客户资产都被托管在同一国家之内的供应商。”

— iSIGHT Partners公司经理Stephen Ellis

[[134271]]

谁能够在云环境下查看企业数据?

“与内部数据中心的情况一样，云服务供应商的基础设施也会由专门的技术支持团队负责维护。因此，请务必了解这些能够查看到我们数据内容的工作人员。供应商会采取哪些内部控制机制来避免未经授权的查阅、复制或者将客户信息以邮件形式发送出去?”

— Adallom公司战略副总裁Danelle Au

[[134272]]

供应商为正常运行时间提供怎样的服务水平协议(简称SLA)?

“大部分供应商都提供99.9%的正常运行时间，这意味着每个月的非计划停机时长大约为45分钟。即使是出现了有违这一服务水平协议的状况，我们的账户也往往只能得到一定比例的月费‘信用’折扣作为补偿——这与停机给实际业务带来的损失相比几乎可以忽略不计。因此，选择一家能够提供理想正常运行时间的云服务供应商对于正在寻求理想云解决方案以满足具体需求的企业客户而言至关重要。”

— Konica Minolta Business Solutions公司All covered部门高级云架构师Nick Zeigler

#p#

[[134273]]

你们是否具备ISO27001:2013认证资质?如果答案是肯定的，那么认证的涵盖范畴具体如何?

“这个问题的目标在于了解一家云服务供应商是否符合公认的信息安全标准，同时确认对方的整套业务体系是否都被涵盖在认证范围之内——包括其业务系统、操作系统以及运营平台，而非单纯其中的某一项。”

— Mimecast公司网络安全专家Orlando Scott-Cowley

[[134274]]

供应商是否允许客户对生产环境或者其它经过设计的测试环境进行定期渗透测试?

“对于企业而言，渗透测试是一种常见的检验方式，能够确保自身系统得到恰当保护并有能力免受攻击影响。允许客户执行此类测试的云服务供应商显然愿意以更为透明的方式将自身安全实践置于监督之下，同时也表明其对自己的系统安全性及可靠性更具信心。”

— SystemExperts公司高级顾问Paul Hill

原文标题：10 Security Questions To Ask A Cloud Service Provider