机房360首页
当前位置:首页 » 云安全 » 迅速避开云服务安全风险的十大要点

迅速避开云服务安全风险的十大要点

来源:机房360 作者:机房360 更新时间:2015-5-22 15:04:23

摘要:云计算在带来可扩展性、灵活性以及便利性的同时,却也让企业面临着更为可观的风险成本。考虑到这一点,我们需要从安全的角度来评估各家潜在云服务供应商,从而更好地预测和避免不必要的风险。

  1、你们是否会在协议中承诺,将通过UI以及API对用户何时执行何种操作进行追踪?

  对服务供应商而言,很重要的一点就是协助防止错误与恶意行动的发生——当用户们了解到审计机制的存在,他们会以更为严谨的方式使用服务平台,同时也能够阻止他们利用此类平台作为攻击活动的载体。除此之外,审计追踪机制的存在也有助于排除故障并分析导致问题的原因。

  2、我们双方在数据保护工作中各自扮演怎样的角色?

  必须认识到,企业需要在保护自身数据安全的工作当中扮演至关重要的角色。而了解数据的具体访问方式——即使是在有云服务供应商介入的前提下——对于风险管理工作仍然非常关键。

  大部分云服务供应商会要求将相关责任与安全部门进行分担,而企业客户也不能想当然地假定一切数据泄露问题都该由服务供应商负责。

  //数据中心之内的所有传输数据是否全部经过加密,包括一切服务器到服务器传数据?

  安全性的实际水平取决于体系中最薄弱的那一环。尽管客户与服务供应商之间利用加密机制保护数据流量、从而确保数据完整性及保密性的作法已经相当普遍,但目前仍没有多少服务供应商会在企业自有环境内部对服务器之间的通信内容进行加密。

  有这种情况下,一旦整个体系出现突破口、攻击者往往能够抓紧机会将其作为恶意活动的契机。

  4、供应商采取怎样的日志访问机制?

  听起来确实很简单,不过日志访问机制真的应该成为评估服务供应商时着重考量的一项标准。最终用户不应该能够从数据中心里的服务器或者云服务供应商处得到丰富的日志信息集,而企业也必须认真考虑哪些信息可以、而哪些信息不能从供应商处获取。

  尽管某些信息可能与企业本身没有任何关系,但也有一些非常重要的部分可能也会因此而彻底无法为企业客户所掌握。而且在必要情况下,企业应该尝试通过谈判提前商议与日志访问相关的事宜。

  5、如何确保能够顺利中止或者"退出流程",将服务转移到其它供应商的云环境下?

  我们必须清醒地认识到,任何一段合作关系都有终止的风险。也就是说,企业需要考虑如何顺畅地解除与当前云服务供应商的合作关系。因此作为一大重点,企业应当将以下内容纳入到与云服务供应商签订的合约当中:

  注明供应商将如何协助整个过渡过程,包括将企业客户的数据进行交还或者有效提供给第三方。

  在政策中规定服务供应商应如何销毁企业客户的数据或者对其进行电子清除,这样客户就能够有理有据地确信自己的数据不再存留于服务供应商的系统当中、从而免除受到潜在攻击或者进行电子取证的可能性。

  服务供应商需要利用独立的第三方对其退出规程的有效性进行审核与验证。

  6、服务器、流程以及数据的物理位置究竟在哪里?

  尽管云计算往往被认为是一种能够跨越国界的灵活解决方案,但云服务供应商却必须保证企业客户的全部执行流程及数据存在于真实的地理位置,而且不同国家对于数据隐私及安全的法律法规要求亦有所区别。

  请注意选择那些立足于您所在的国家,而且能确保所有客户资产都被托管在同一国家之内的供应商。

  7、谁能够在云环境下查看企业数据?

  与内部数据中心的情况一样,云服务供应商的基础设施也会由专门的技术支持团队负责维护。因此,请务必了解这些能够查看到我们数据内容的工作人员。供应商会采取哪些内部控制机制来避免未经授权的查阅、复制或者将客户信息以邮件形式发送出去?

  8、供应商为正常运行时间提供怎样的服务水平协议(简称SLA)?

  大部分供应商都提供99.9%的正常运行时间,这意味着每个月的非计划停机时长大约为45分钟。即使是出现了有违这一服务水平协议的状况,我们的账户也往往只能得到一定比例的月费‘信用’折扣作为补偿——这与停机给实际业务带来的损失相比几乎可以忽略不计。

  因此,选择一家能够提供理想正常运行时间的云服务供应商对于正在寻求理想云解决方案以满足具体需求的企业客户而言至关重要。

  9、你们是否具备ISO27001:2013认证资质?如果有,那么认证的涵盖范畴具体如何?

  这个问题的目标在于了解一家云服务供应商是否符合公认的信息安全标准,同时确认对方的整套业务体系是否都被涵盖在认证范围之内——包括其业务系统、操作系统以及运营平台,而非单纯其中的某一项。

  10、是否允许客户对生产环境或者其它经过设计的测试环境进行定期渗透测试?

  对于企业而言,渗透测试是一种常见的检验方式,能够确保自身系统得到恰当保护并有能力免受攻击影响。

  允许客户执行此类测试的云服务供应商显然愿意以更为透明的方式将自身安全实践置于监督之下,同时也表明其对自己的系统安全性及可靠性更具信心。

  责任编辑:余芯

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/2015522/n374268153.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
推荐图片