如果公司正在考虑使用一个云提供商的话,必须要寻求各个方面的信息来验证其架构的安全,以防公司造成重大损失。专家说,需要象订婚一样去评估任何云服务技术提供者,比如评估它如何进行渗透测试和确定它的事件响应计划是足够的,此外一些公司要求云服务提供者把相关安全运营添加到合同谈判,如连续监控和访问日志等。
是一个积极的安全团队吗?
需要了解云服务提供商是否有一套完整的流程来积极的保护它的系统,系统管理员的相关技能和证书可以让客户进行参考,以保证有能力解决出现的安全问题。
如果事件发生,如何进行反应?
如果你正在评估一个大型服务提供商,确保供应商在日常工作中会积极寻找弱点和漏洞的平台,这样可以减少风险发生在您特定的基础设施。当问题出现,坚持主动监控、支持和沟通。供应商确保月度报告、季度电话或其它常规会议建立讨论问题和任何需要改进在您的环境中。
有什么证明此公司已验证其安全?
服务提供商应该能够提供相关证明,包括其体系架构、系统审计和系统能够满足。专家说,服务组织在报告里需要显示它如何合理的保护客户数据。 在一份保密协议里有相关SOC 2的控制环境,这其中涵盖了安全、可用性、完整性、保密性和隐私等问题。
我是否可以进行渗透试验提供者的环境?
安全专家建议,渗透测试是一个有价值的工具来找到安全弱点和配置问题,在一个真正的攻击者袭击之前。大型的提供者会让潜在客户进行渗透测试,进行脆弱性扫描或雇佣一个公司来执行一个完整的渗透测试。如果云服务提供者有一个内部渗透测试团队,你可以要求提供一个详细的审计报告。第三方进入测试可能需要满足一定的合规要求。
数据应驻留在何处
如果与一个设备供应商合作,大多数公司将会选择能够驻留信息的。Hosting.com的Bruton称,许多服务商的数据中心里着国家级别的数据。这些数据中心不存在任何数据调出控制问题或国际问题。鉴于以上原因,当碰上数据清理时,企业必须留心数据中心里的数据究竟会发生怎样的变化,为今后更换服务商做好准备。顺带一提,对I/O内存非常敏感的或的企业一般会使用主机代理服务。