如何考察云计算服务提供商是否值得信赖行业资讯
潜在的云计算服务客户面临一个严峻的问题:当云计算提供商由于安全和现实的原因不愿意披露重要的基础设施细节的时候,他们如何能够信赖一个云计算服务提供商以便雇用它们?
这些云计算提供商表示,他们不能向用户公开他们的网络基础设施,因为担心这些细节会给潜在的黑客提供破坏安全的蓝图。他们还说,他们没有时间回答每一个用户的问题。
正如一个服务提供商今年早些时候所说的,用户永远得不到他们需要的透明度水平,这是底线。谷歌产品经理Adam Swidler在谈到谷歌云计算服务时说,我们不会让你像审计自己的基础设施一样审计我们的基础设施。它永远不会像审计你自己的基础设施一样。你必须把可信度扩大到第三方认证。
云计算安全联盟(CSA)说,虽然客户也许不能走进云计算服务提供商的数据中心,去盘问他们的首席信息安全官,但是,客户可以提出一些调查问题。这些问题的答案也许会达到这个目的。云计算联盟编写了一个调查表,客户如果要评估云计算提供商的适用性,可以采用这个调查表。
云计算安全联盟说,这个名为“共识评估计划调查表”的文档是评估云计算安全的一个周密的框架。这个问题集是对问题、最佳做法和管理能力的精简提炼,旨在帮助机构建立一个与云计算提供商打交道的必要的评估流程。
要问的关键问题是:
·提供商能够实施定期的入侵检测以及用户可以看到的内部和外部安全审计吗?
·允许用户实施自己的安全漏洞测试吗?
·数据是按用户进行逻辑分区或者加密的吗?这样当进行法庭调查时,一个客户的数据就不会无意间和其他客户的数据相混淆。
·一旦发生数据丢失,提供商能够逐个客户地恢复数据吗?
·知识产权如何得到保护?
·提供商是否标记每个客户使用的虚拟服务器和物理服务器?提供商是否能够保证按照某些国家的数据存储法律把数据仅仅存储在某些国家?
·提供商对于回应政府要求得到客户数据的政策是什么?
·提供商保留客户数据的政策是什么,提供商是否能够执行客户从提供商网络上删除数据的政策?
·提供商盘点自己的资产及其供应商关系吗?
·提供商针对自己和客户的安全控制策略对员工进行培训和提供培训文档吗?
询问提供商的其它关心的问题还有提供商是否监视和控制用户的访问权,安全事件响应的性质和范围是什么,包括提供商和客户的责任。
云计算安全联盟说,虽然问题列表还在不断补充中,但是,它的关键是给用户提供了一个对提供商的很好的评估方法,给云计算提供商提供了一个回应客户合理关切的可管理形式。
一些用户主张与较小的云计算服务提供商签订合同,因为他们能够提供对其基础设施和流程的更直接的了解,以保证达到所需的服务水平。美国高尔夫协会IT经理Jessica Carroll说,实地了解是值得的。美国高尔夫协会就因为这些原因选择了一家小型云计算提供商。他说,你了解合同中实际存在的一切,因为你已经看到了它们。