云安全專家說,企業(yè)需要象訂婚一樣去評估任何云服務技術提供者，比如評估它如何進行滲透測試和確定它的事件響應計劃是足夠的。

        如果公司正在考慮使用一個云提供商的話，必須要尋求各個方面的信息來驗證其架構的安全，以防公司造成重大損失。云安全專家說,企業(yè)需要象訂婚一樣去評估任何云服務技術提供者，比如評估它如何進行滲透測試和確定它的事件響應計劃是足夠的，此外一些公司要求云服務提供者把相關安全運營添加到合同談判,如連續(xù)監(jiān)控和訪問日志等。

 

        是一個積極的安全團隊嗎?

        需要了解云服務提供商是否有一套完整的流程來積極的保護它的系統(tǒng)，系統(tǒng)管理員的相關技能和證書可以讓客戶進行參考，以保證有能力解決出現(xiàn)的安全問題。

 

        如果事件發(fā)生，如何進行反應?

        如果你正在評估一個大型服務提供商，確保供應商在日常工作中會積極尋找弱點和漏洞的平臺，這樣可以減少風險發(fā)生在您特定的基礎設施。當問題出現(xiàn)，堅持主動監(jiān)控、支持和溝通。供應商確保月度報告、季度電話或其它常規(guī)會議建立討論問題和任何需要改進在您的環(huán)境中。

 

        有什么證明此公司已驗證其安全?

        服務提供商應該能夠提供相關證明，包括其體系架構、系統(tǒng)審計和系統(tǒng)能夠滿足云安全標準。專家說，服務組織在報告里需要顯示它如何合理的保護客戶數(shù)據(jù)。 在一份保密協(xié)議里有相關SOC 2的控制環(huán)境，這其中涵蓋了安全、可用性、完整性、保密性和隱私等問題。

 

        我是否可以進行滲透試驗提供者的環(huán)境?

        安全專家建議，滲透測試是一個有價值的工具來找到安全弱點和配置問題，在一個真正的攻擊者襲擊之前。大型的基礎設施服務提供者會讓潛在客戶進行滲透測試，進行脆弱性掃描或雇傭一個公司來執(zhí)行一個完整的滲透測試。如果云服務提供者有一個內(nèi)部滲透測試團隊，你可以要求提供一個詳細的審計報告。第三方進入測試可能需要滿足一定的合規(guī)要求。

 

        數(shù)據(jù)應駐留在何處?

　　如果與一個設備供應商合作，大多數(shù)公司將會選擇能夠駐留信息的數(shù)據(jù)中心。Hosting.com的Bruton稱，許多服務商的數(shù)據(jù)中心里存儲著國家級別的數(shù)據(jù)。這些數(shù)據(jù)中心不存在任何數(shù)據(jù)調(diào)出控制問題或國際問題。鑒于以上原因，當碰上數(shù)據(jù)清理時，企業(yè)必須留心數(shù)據(jù)中心里的數(shù)據(jù)究竟會發(fā)生怎樣的變化，為今后更換服務商做好準備。順帶一提，對I/O內(nèi)存非常敏感的數(shù)據(jù)庫或ERP系統(tǒng)的企業(yè)一般會使用主機代理服務。

 

 

標簽： 安全 標準 服務商 計劃 漏洞 企業(yè) 數(shù)據(jù)庫 問題 選擇 隱私 云服務

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。