所有潛在的云服務用戶都會面臨這樣一個艱巨的問題：當供應商出于安全和實用性方面的考慮而拒絕透露重要的基礎架構細節的時候，如何才能給予云供應商足夠的信任來雇傭他們？

這些供應商表示不能夠為用戶開放他們的網絡基礎設施，這是為了防止這些細節的透露可能會給潛在的攻擊者繪制進行安全攻擊的藍圖。他們還認為回答客戶問題也是需要付出高昂的時間代價的。

誠如某個供應商在今年早些時候所說的，客戶將永遠不會得到他們想要的透明程度。“我們不想讓你像審查自己的基礎架構那樣來檢查我們的基礎架構，”谷歌的產品市場經理Adam Swidler在談論到谷歌的云服務的時候說到。“這種檢查的程度永遠不可能比得上你檢查自己的基礎架構。因此你將不得不去更多地信任第三方驗證。”

盡管客戶可能無法穿越云供應商的數據中心來拷問他們的首席信息安全官，但是他們還是可以用提交所關注的問題的方式來完成這個步驟。這些問題的答案可能會幫助客戶達到目的，云安全聯盟曾經制作過一份問卷，企業可以在試探云服務供應商的適用性的時候，有目的性地采用這份問卷中的問題。

這份被稱之為共識評估主動性問卷的文件是一個經過深思熟慮的云安全評估框架。“這一系列問題可以幫助企業對云供應商進行必要的評估過程，”CSA說。

一些關鍵問題：

 供應商是否會進行用戶可見的定期滲透測試和內外部安全審查？

 用戶是否可以自己進行脆弱性測試？

 數據是否為每個用戶都進行邏輯分段或者加密，這樣用戶的數據就不會無端丟失了。

 供應商是否可以在數據丟失的情況下逐一恢復用戶數據？

 如何保護知識產權？

 供應商是否會標記每個用戶的虛擬和物理機，他們能否保證僅僅將數據存儲在幾個特定的國家？而鑒于數據存儲法規的約束避免另一些國家？

 供應商為用戶而回應政府要求的策略是什么？

 供應商保留用戶數據的政策有哪些？是否能夠遵循從供應商的網絡上清除數據的用戶政策？

 是否會列出自己的資產清單并說明與自己的供應商之間的關系？

 是否培訓自己的員工并能證明該培訓在自己以及其用戶的安全控制之下？

在這些質疑中，其它的問題還包括他們是否檢測和控制用戶的訪問權限，安全事件響應的性質和程度如何，包括供應商和用戶的責任等等。

類似的問題不勝枚舉，但是目的都是為了給用戶提供良好的針對供應商的評估，同時為供應商在回應客戶杞人憂天的態度的時候提供一種更為便捷的方式。

有些客戶主張與較小的云供應商簽約，因為他們可以更好地對其基礎架構和程序進行訪問，以此確保所需的服務水平。“這么做是值得的，”美國高爾夫協會IT主管Jessica Carroll說，正是出于這個原因，她選擇了小一些的供應商。“這讓你的想法變成了現實，這樣你就可以掌握合同中所列出的一切，因為一切都很直觀地擺在你的面前。”

原文名： How to check on your cloud provider  作者：Tim Greene

【本文乃51CTO精選譯文，轉載請標明出處！】

【編輯推薦】

1. 亡羊補牢行不通 基礎設施安全要與私有云建設動態適應
2. 云中數據備份方案的關鍵：安全和性能
3. 一位IaaS提供商自述：我怎樣保障你在云中數據的安全