所有潛在的云服務(wù)用戶都會面臨這樣一個(gè)艱巨的問題：當(dāng)供應(yīng)商出于安全和實(shí)用性方面的考慮而拒絕透露重要的基礎(chǔ)架構(gòu)細(xì)節(jié)的時(shí)候，如何才能給予云供應(yīng)商足夠的信任來雇傭他們？

這些供應(yīng)商表示不能夠?yàn)橛脩糸_放他們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，這是為了防止這些細(xì)節(jié)的透露可能會給潛在的攻擊者繪制進(jìn)行安全攻擊的藍(lán)圖。他們還認(rèn)為回答客戶問題也是需要付出高昂的時(shí)間代價(jià)的。

誠如某個(gè)供應(yīng)商在今年早些時(shí)候所說的，客戶將永遠(yuǎn)不會得到他們想要的透明程度。“我們不想讓你像審查自己的基礎(chǔ)架構(gòu)那樣來檢查我們的基礎(chǔ)架構(gòu)，”谷歌的產(chǎn)品市場經(jīng)理Adam Swidler在談?wù)摰焦雀璧脑品?wù)的時(shí)候說到。“這種檢查的程度永遠(yuǎn)不可能比得上你檢查自己的基礎(chǔ)架構(gòu)。因此你將不得不去更多地信任第三方驗(yàn)證。”

盡管客戶可能無法穿越云供應(yīng)商的數(shù)據(jù)中心來拷問他們的首席信息安全官，但是他們還是可以用提交所關(guān)注的問題的方式來完成這個(gè)步驟。這些問題的答案可能會幫助客戶達(dá)到目的，云安全聯(lián)盟曾經(jīng)制作過一份問卷，企業(yè)可以在試探云服務(wù)供應(yīng)商的適用性的時(shí)候，有目的性地采用這份問卷中的問題。

這份被稱之為共識評估主動性問卷的文件是一個(gè)經(jīng)過深思熟慮的云安全評估框架。“這一系列問題可以幫助企業(yè)對云供應(yīng)商進(jìn)行必要的評估過程，”CSA說。

一些關(guān)鍵問題：

 供應(yīng)商是否會進(jìn)行用戶可見的定期滲透測試和內(nèi)外部安全審查？

 用戶是否可以自己進(jìn)行脆弱性測試？

 數(shù)據(jù)是否為每個(gè)用戶都進(jìn)行邏輯分段或者加密，這樣用戶的數(shù)據(jù)就不會無端丟失了。

 供應(yīng)商是否可以在數(shù)據(jù)丟失的情況下逐一恢復(fù)用戶數(shù)據(jù)？

 如何保護(hù)知識產(chǎn)權(quán)？

 供應(yīng)商是否會標(biāo)記每個(gè)用戶的虛擬和物理機(jī)，他們能否保證僅僅將數(shù)據(jù)存儲在幾個(gè)特定的國家？而鑒于數(shù)據(jù)存儲法規(guī)的約束避免另一些國家？

 供應(yīng)商為用戶而回應(yīng)政府要求的策略是什么？

 供應(yīng)商保留用戶數(shù)據(jù)的政策有哪些？是否能夠遵循從供應(yīng)商的網(wǎng)絡(luò)上清除數(shù)據(jù)的用戶政策？

 是否會列出自己的資產(chǎn)清單并說明與自己的供應(yīng)商之間的關(guān)系？

 是否培訓(xùn)自己的員工并能證明該培訓(xùn)在自己以及其用戶的安全控制之下？

在這些質(zhì)疑中，其它的問題還包括他們是否檢測和控制用戶的訪問權(quán)限，安全事件響應(yīng)的性質(zhì)和程度如何，包括供應(yīng)商和用戶的責(zé)任等等。

類似的問題不勝枚舉，但是目的都是為了給用戶提供良好的針對供應(yīng)商的評估，同時(shí)為供應(yīng)商在回應(yīng)客戶杞人憂天的態(tài)度的時(shí)候提供一種更為便捷的方式。

有些客戶主張與較小的云供應(yīng)商簽約，因?yàn)樗麄兛梢愿玫貙ζ浠A(chǔ)架構(gòu)和程序進(jìn)行訪問，以此確保所需的服務(wù)水平。“這么做是值得的，”美國高爾夫協(xié)會IT主管Jessica Carroll說，正是出于這個(gè)原因，她選擇了小一些的供應(yīng)商。“這讓你的想法變成了現(xiàn)實(shí)，這樣你就可以掌握合同中所列出的一切，因?yàn)橐磺卸己苤庇^地?cái)[在你的面前。”

原文名： How to check on your cloud provider  作者：Tim Greene

【本文乃51CTO精選譯文，轉(zhuǎn)載請標(biāo)明出處！】

【編輯推薦】

1. 亡羊補(bǔ)牢行不通 基礎(chǔ)設(shè)施安全要與私有云建設(shè)動態(tài)適應(yīng)
2. 云中數(shù)據(jù)備份方案的關(guān)鍵：安全和性能
3. 一位IaaS提供商自述：我怎樣保障你在云中數(shù)據(jù)的安全