潜在的云计算服务客户面临一个严峻的问题:当云计算提供商由于安全和现实的原因不愿意披露重要的基础设施细节的时候,他们如何能够信赖一个云计算服务提供商以便雇用它们?
这些云计算提供商表示,他们不能向用户公开他们的网络基础设施,因为担心这些细节会给潜在的黑客提供破坏安全的蓝图。他们还说,他们没有时间回答每一个用户的问题。
正如一个服务提供商今年早些时候所说的,用户永远得不到他们需要的透明度水平,这是底线。谷歌产品经理Adam Swidler在谈到谷歌云计算服务时说,我们不会让你像审计自己的基础设施一样审计我们的基础设施。它永远不会像审计你自己的基础设施一样。你必须把可信度扩大到第三方认证。
云计算安全联盟(CSA)说,虽然客户也许不能走进云计算服务提供商的数据中心,去盘问他们的首席信息安全官,但是,客户可以提出一些调查问题。这些问题的答案也许会达到这个目的。云计算联盟编写了一个调查表,客户如果要评估云计算提供商的适用性,可以采用这个调查表。
云计算安全联盟说,这个名为“共识评估计划调查表”的文档是评估云计算安全的一个周密的框架。这个问题集是对问题、最佳做法和管理能力的精简提炼,旨在帮助机构建立一个与云计算提供商打交道的必要的评估流程。
要问的关键问题是:
·提供商能够实施定期的入侵检测以及用户可以看到的内部和外部安全审计吗?
·允许用户实施自己的安全漏洞测试吗?
·数据是按用户进行逻辑分区或者加密的吗?这样当进行法庭调查时,一个客户的数据就不会无意间和其他客户的数据相混淆。
·一旦发生数据丢失,提供商能够逐个客户地恢复数据吗?
·知识产权如何得到保护?
·提供商是否标记每个客户使用的虚拟服务器和物理服务器?提供商是否能够保证按照某些国家的数据存储法律把数据仅仅存储在某些国家?
·提供商对于回应政府要求得到客户数据的政策是什么?
·提供商保留客户数据的政策是什么,提供商是否能够执行客户从提供商网络上删除数据的政策?
·提供商盘点自己的资产及其供应商关系吗?
·提供商针对自己和客户的安全控制策略对员工进行培训和提供培训文档吗?
询问提供商的其它关心的问题还有提供商是否监视和控制用户的访问权,安全事件响应的性质和范围是什么,包括提供商和客户的责任。
云计算安全联盟说,虽然问题列表还在不断补充中,但是,它的关键是给用户提供了一个对提供商的很好的评估方法,给云计算提供商提供了一个回应客户合理关切的可管理形式。
一些用户主张与较小的云计算服务提供商签订合同,因为他们能够提供对其基础设施和流程的更直接的了解,以保证达到所需的服务水平。美国高尔夫协会IT经理Jessica Carroll说,实地了解是值得的。美国高尔夫协会就因为这些原因选择了一家小型云计算提供商。他说,你了解合同中实际存在的一切,因为你已经看到了它们。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
四大云服务商与四大云计算问题
俗话说的好:顾客就是上帝。但是,当客户面对云服务提供商时,这句话还成立吗?在相对较新的企业云计算领域,答案既是yes又是no……
-
云计算的成功需要八方支持
具有明显回报收益的云项目不会遇到很大的阻力,但是实施起来同样要严谨和细致,因为云项目通常需要来自服务商和其他部门的支持……
-
多数CIO难入核心决策层 名副其实并不难
最终CIO开始考虑信息化如何为决策提供有效支持,CIO就成为一个受公司尊重的家长,步入一个体面的、卓有成效的高级管理者阶层了。
-
企业如何做好信息化监理工作
如何规避、减少潜伏在项目中的各种失控风险,提高项目成功率的管理机制?在借鉴建筑行业监理制度的基础上,信息化监理应运而生。