目前安全团队正致力于帮助业务线用户以及其他IT从业人员以尽可能安全的方式享受云技术带来的诸多便利,这同时也使安全力量开始越来越多地扮演起值得依赖的顾问角色。软件即服务(简称SaaS)、基础设施即服务(简称IaaS)以及平台即服务(简称PaaS)产品在带来可扩展性、灵活性以及便利性的同时,却也让企业面临着更为可观的风险成本。考虑到这一点,我们需要信息安全专家的帮助来评估各家潜在云服务供应商,从而更好地预测此类未来可能出现的风险因素。
在这里,我们汇总了来自多位专家的十个必答问题,大家不妨首先听听服务供应商给出的回复、然后再考虑是否要与其签订合作协议。
你们是否会在协议中承诺,将通过UI以及API对用户何时执行何种操作进行追踪?
“对服务供应商而言,很重要的一点就是协助防止错误与恶意行动的发生——当用户们了解到审计机制的存在,他们会以更为严谨的方式使用服务平台,同时也能够阻止他们利用此类平台作为攻击活动的载体。除此之外,审计追踪机制的存在也有助于排除故障并分析导致问题的原因。”
--CloudBolt Software公司CTO Bernard Sanders
我们双方在数据保护工作中各自扮演怎样的角色?
“必须认识到,企业需要在保护自身数据安全的工作当中扮演至关重要的角色。而了解数据的具体访问方式——即使是在有云服务供应商介入的前提下——对于风险管理工作仍然非常关键。大部分云服务供应商会要求将相关责任与安全部门进行分担,而企业客户也不能想当然地假定一切数据泄露问题都该由服务供应商负责。”
-- Elastica公司CEO Rehan Jalil
数据中心之内的所有传输数据是否全部经过加密,包括一切服务器到服务器传输数据?
“安全性的实际水平取决于体系中最薄弱的那一环。尽管客户与服务供应商之间利用加密机制保护数据流量、从而确保数据完整性及保密性的作法已经相当普遍,但目前仍没有多少服务供应商会在企业自有环境内部对服务器之间的通信内容进行加密。有这种情况下,一旦整个体系出现突破口、攻击者往往能够抓紧机会将其作为恶意活动的契机。”
-- SystemExperts公司高级顾问Paul Hill
供应商采取怎样的日志访问机制?
“听起来确实很简单,不过日志访问机制真的应该成为评估服务供应商时着重考量的一项标准。最终用户不应该能够从数据中心里的服务器或者云服务供应商处得到丰富的日志信息集,而企业也必须认真考虑哪些信息可以、而哪些信息不能从供应商处获取。尽管某些信息可能与企业本身没有任何关系,但也有一些非常重要的部分可能也会因此而彻底无法为企业客户所掌握。而且在必要情况下,企业应该尝试通过谈判提前商议与日志访问相关的事宜。”
-- NSS实验室研究主管Rob Ayoub