云服務供應需要考慮的十個安全問題
在今天的文章中,我們將通過十個問題幫助企業管理者快速評估自己可能面臨的云服務安全風險。
目前安全團隊正致力于幫助業務線用戶以及其他IT從業人員以盡可能安全的方式享受云技術帶來的諸多便利,這同時也使安全力量開始越來越多地扮演起值得依賴的顧問角色。軟件即服務(簡稱SaaS)、基礎設施即服務(簡稱IaaS)以及平臺即服務(簡稱PaaS)產品在帶來可擴展性、靈活性以及便利性的同時,卻也讓企業面臨著更為可觀的風險成本。考慮到這一點,我們需要信息安全專家的幫助來評估各家潛在云服務供應商,從而更好地預測此類未來可能出現的風險因素。
在這里,我們匯總了來自多位專家的十個必答問題,大家不妨首先聽聽服務供應商給出的回復、然后再考慮是否要與其簽訂合作協議。
你們是否會在協議中承諾,將通過UI以及API對用戶何時執行何種操作進行追蹤?
“對服務供應商而言,很重要的一點就是協助防止錯誤與惡意行動的發生——當用戶們了解到審計機制的存在,他們會以更為嚴謹的方式使用服務平臺,同時也能夠阻止他們利用此類平臺作為攻擊活動的載體。除此之外,審計追蹤機制的存在也有助于排除故障并分析導致問題的原因。”
--CloudBolt Software公司CTO Bernard Sanders
我們雙方在數據保護工作中各自扮演怎樣的角色?
“必須認識到,企業需要在保護自身數據安全的工作當中扮演至關重要的角色。而了解數據的具體訪問方式——即使是在有云服務供應商介入的前提下——對于風險管理工作仍然非常關鍵。大部分云服務供應商會要求將相關責任與安全部門進行分擔,而企業客戶也不能想當然地假定一切數據泄露問題都該由服務供應商負責。”
-- Elastica公司CEO Rehan Jalil
數據中心之內的所有傳輸數據是否全部經過加密,包括一切服務器到服務器傳輸數據?
“安全性的實際水平取決于體系中最薄弱的那一環。盡管客戶與服務供應商之間利用加密機制保護數據流量、從而確保數據完整性及保密性的作法已經相當普遍,但目前仍沒有多少服務供應商會在企業自有環境內部對服務器之間的通信內容進行加密。有這種情況下,一旦整個體系出現突破口、攻擊者往往能夠抓緊機會將其作為惡意活動的契機。”
-- SystemExperts公司高級顧問Paul Hill
供應商采取怎樣的日志訪問機制?
“聽起來確實很簡單,不過日志訪問機制真的應該成為評估服務供應商時著重考量的一項標準。最終用戶不應該能夠從數據中心里的服務器或者云服務供應商處得到豐富的日志信息集,而企業也必須認真考慮哪些信息可以、而哪些信息不能從供應商處獲取。盡管某些信息可能與企業本身沒有任何關系,但也有一些非常重要的部分可能也會因此而徹底無法為企業客戶所掌握。而且在必要情況下,企業應該嘗試通過談判提前商議與日志訪問相關的事宜。”
-- NSS實驗室研究主管Rob Ayoub
我們如何確保自身能夠順利中止或者“退出流程”,從而將服務轉移到其它供應商的云環境之下?
“我們必須清醒地認識到,任何一段合作關系都不可能永遠持續下去。也就是說,企業需要考慮如何順暢地解除與當前云服務供應商的合作關系。因此作為一大重點,企業應當將以下內容納入到與云服務供應商簽訂的合約當中:
?注明供應商將如何協助整個過渡過程,包括將企業客戶的數據進行交還或者有效提供給第三方。
?在政策中規定服務供應商應如何銷毀企業客戶的數據或者對其進行電子清除,這樣客戶就能夠有理有據地確信自己的數據不再存留于服務供應商的系統當中、從而免除受到潛在攻擊或者進行電子取證的可能性。
?服務供應商需要利用獨立的第三方對其退出規程的有效性進行審核與驗證。”
-- Accuvant公司CISO辦公室副總裁Renee Guttmann
服務器、流程以及數據的物理位置究竟在哪里?
“盡管云計算往往被認為是一種能夠跨越國界的靈活解決方案,但云服務供應商卻必須保證企業客戶的全部執行流程及數據存在于真實的地理位置,而且不同國家對于數據隱私及安全的法律法規要求亦有所區別。請注意選擇那些立足于您所在的國家,而且能確保所有客戶資產都被托管在同一國家之內的供應商。”
-- iSIGHT Partners公司經理Stephen Ellis
誰能夠在云環境下查看企業數據?
“與內部數據中心的情況一樣,云服務供應商的基礎設施也會由專門的技術支持團隊負責維護。因此,請務必了解這些能夠查看到我們數據內容的工作人員。供應商會采取哪些內部控制機制來避免未經授權的查閱、復制或者將客戶信息以郵件形式發送出去?”
-- Adallom公司戰略副總裁Danelle Au
供應商為正常運行時間提供怎樣的服務水平協議(簡稱SLA)?
“大部分供應商都提供99.9%的正常運行時間,這意味著每個月的非計劃停機時長大約為45分鐘。即使是出現了有違這一服務水平協議的狀況,我們的賬戶也往往只能得到一定比例的月費‘信用’折扣作為補償——這與停機給實際業務帶來的損失相比幾乎可以忽略不計。因此,選擇一家能夠提供理想正常運行時間的云服務供應商對于正在尋求理想云解決方案以滿足具體需求的企業客戶而言至關重要。”
-- Konica Minolta Business Solutions公司All covered部門高級云架構師Nick Zeigler
你們是否具備ISO27001:2013認證資質?如果答案是肯定的,那么認證的涵蓋范疇具體如何?
“這個問題的目標在于了解一家云服務供應商是否符合公認的信息安全標準,同時確認對方的整套業務體系是否都被涵蓋在認證范圍之內——包括其業務系統、操作系統以及運營平臺,而非單純其中的某一項。”
-- Mimecast公司網絡安全專家Orlando Scott-Cowley
供應商是否允許客戶對生產環境或者其它經過設計的測試環境進行定期滲透測試?
“對于企業而言,滲透測試是一種常見的檢驗方式,能夠確保自身系統得到恰當保護并有能力免受攻擊影響。允許客戶執行此類測試的云服務供應商顯然愿意以更為透明的方式將自身安全實踐置于監督之下,同時也表明其對自己的系統安全性及可靠性更具信心。”
-- SystemExperts公司高級顧問Paul Hill
