【CNETCOM 資訊】在今天的文章中
，我們將通過十個問題幫助企業管理者快速評估自己可能麵臨的雲服務安全風險。

　　目前安全團隊正致力於幫助業務線用戶以及其他ITcongyerenyuanyijinkenenganquandefangshixiangshouyunjishudailaidezhuduobianli
，zhetongshiyeshianquanliliangkaishiyuelaiyueduodibanyanqizhideyilaideguwenjiaose。ruanjianjifuwu(簡稱SaaS)、基礎設施即服務(簡稱IaaS)以及平台即服務(簡稱PaaS)產品在帶來可擴展性、靈(ling)活(huo)性(xing)以(yi)及(ji)便(bian)利(li)性(xing)的(de)同(tong)時(shi)，卻(que)也(ye)讓(rang)企(qi)業(ye)麵(mian)臨(lin)著(zhe)更(geng)為(wei)可(ke)觀(guan)的(de)風(feng)險(xian)成(cheng)本(ben)。考(kao)慮(lv)到(dao)這(zhe)一(yi)點(dian)，我(wo)們(men)需(xu)要(yao)信(xin)息(xi)安(an)全(quan)專(zhuan)家(jia)的(de)幫(bang)助(zhu)來(lai)評(ping)估(gu)各(ge)家(jia)潛(qian)在(zai)雲(yun)服(fu)務(wu)供(gong)應(ying)商(shang)
，從(cong)而(er)更(geng)好(hao)地(di)預(yu)測(ce)此(ci)類(lei)未(wei)來(lai)可(ke)能(neng)出(chu)現(xian)的(de)風(feng)險(xian)因(yin)素(su)。

　　在這裏
，我們彙總了來自多位專家的十個必答問題，大家不妨首先聽聽服務供應商給出的回複、然後再考慮是否要與其簽訂合作協議。

　　你們是否會在協議中承諾
，將通過UI以及API對用戶何時執行何種操作進行追蹤?

　　“對服務供應商而言，很重要的一點就是協助防止錯誤與惡意行動的發生――當dang用yong戶hu們men了le解jie到dao審shen計ji機ji製zhi的de存cun在zai，他ta們men會hui以yi更geng為wei嚴yan謹jin的de方fang式shi使shi用yong服fu務wu平ping台tai

，同tong時shi也ye能neng夠gou阻zu止zhi他ta們men利li用yong此ci類lei平ping台tai作zuo為wei攻gong擊ji活huo動dong的de載zai體ti。除chu此ci之zhi外wai

，審shen計ji追zhui蹤zong機ji製zhi的de存cun在zai也ye有you助zhu於yu排pai除chu故gu障zhang並bing分fen析xi導dao致zhi問wen題ti的de原yuan因yin。”

　　--CloudBolt Software公司CTO Bernard Sanders

　　我們雙方在數據保護工作中各自扮演怎樣的角色?

　　“必須認識到

，企業需要在保護自身數據安全的工作當中扮演至關重要的角色。而了解數據的具體訪問方式――即使是在有雲服務供應商介入的前提下――duiyufengxianguanligongzuorengranfeichangguanjian。dabufenyunfuwugongyingshanghuiyaoqiujiangxiangguanzerenyuanquanbumenjinxingfendan，erqiyekehuyebunengxiangdangrandijiadingyiqieshujuxieluwentidougaiyoufuwugongyingshangfuze。”

　　-- Elastica公司CEO Rehan Jalil

　　數據中心之內的所有傳輸數據是否全部經過加密，包括一切服務器到服務器傳輸數據?

　　“安全性的實際水平取決於體係中最薄弱的那一環。盡管客戶與服務供應商之間利用加密機製保護數據流量、congerquebaoshujuwanzhengxingjibaomixingdezuofayijingxiangdangpubian，danmuqianrengmeiyouduoshaofuwugongyingshanghuizaiqiyeziyouhuanjingneibuduifuwuqizhijiandetongxinneirongjinxingjiami。youzhezhongqingkuangxia，yidanzhenggetixichuxiantupokou
、攻擊者往往能夠抓緊機會將其作為惡意活動的契機。”

　　-- SystemExperts公司高級顧問Paul Hill

　　供應商采取怎樣的日誌訪問機製?

　　“聽ting起qi來lai確que實shi很hen簡jian單dan，不bu過guo日ri誌zhi訪fang問wen機ji製zhi真zhen的de應ying該gai成cheng為wei評ping估gu服fu務wu供gong應ying商shang時shi著zhe重zhong考kao量liang的de一yi項xiang標biao準zhun。最zui終zhong用yong戶hu不bu應ying該gai能neng夠gou從cong數shu據ju中zhong心xin裏li的de服fu務wu器qi或huo者zhe雲yun服fu務wu供gong應ying商shang處chu得de到dao豐feng富fu的de日ri誌zhi信xin息xi集ji，而er企qi業ye也ye必bi須xu認ren真zhen考kao慮lv哪na些xie信xin息xi可ke以yi、而er哪na些xie信xin息xi不bu能neng從cong供gong應ying商shang處chu獲huo取qu。盡jin管guan某mou些xie信xin息xi可ke能neng與yu企qi業ye本ben身shen沒mei有you任ren何he關guan係xi，但dan也ye有you一yi些xie非fei常chang重zhong要yao的de部bu分fen可ke能neng也ye會hui因yin此ci而er徹che底di無wu法fa為wei企qi業ye客ke戶hu所suo掌zhang握wo。而er且qie在zai必bi要yao情qing況kuang下xia，企qi業ye應ying該gai嚐chang試shi通tong過guo談tan判pan提ti前qian商shang議yi與yu日ri誌zhi訪fang問wen相xiang關guan的de事shi宜yi。”

　　-- NSS實驗室研究主管Rob Ayoub

　　我們如何確保自身能夠順利中止或者“退出流程”
，從而將服務轉移到其它供應商的雲環境之下?

　　“womenbixuqingxingdirenshidao，renheyiduanhezuoguanxidoubukenengyongyuanchixuxiaqu。yejiushishuo，qiyexuyaokaolvruheshunchangdijiechuyudangqianyunfuwugongyingshangdehezuoguanxi。yincizuoweiyidazhongdian
，qiyeyingdangjiangyixianeirongnarudaoyuyunfuwugongyingshangqiandingdeheyuedangzhong：

　　?注明供應商將如何協助整個過渡過程，包括將企業客戶的數據進行交還或者有效提供給第三方。

　　?zaizhengcezhongguidingfuwugongyingshangyingruhexiaohuiqiyekehudeshujuhuozheduiqijinxingdianziqingchu，zheyangkehujiunenggouyouliyoujudiquexinzijideshujubuzaicunliuyufuwugongyingshangdexitongdangzhong、從而免除受到潛在攻擊或者進行電子取證的可能性。

　　?服務供應商需要利用獨立的第三方對其退出規程的有效性進行審核與驗證。”

　　-- Accuvant公司CISO辦公室副總裁Renee Guttmann

　　服務器
、流程以及數據的物理位置究竟在哪裏?

　　“盡jin管guan雲yun計ji算suan往wang往wang被bei認ren為wei是shi一yi種zhong能neng夠gou跨kua越yue國guo界jie的de靈ling活huo解jie決jue方fang案an，但dan雲yun服fu務wu供gong應ying商shang卻que必bi須xu保bao證zheng企qi業ye客ke戶hu的de全quan部bu執zhi行xing流liu程cheng及ji數shu據ju存cun在zai於yu真zhen實shi的de地di理li位wei置zhi，而er且qie不bu同tong國guo家jia對dui於yu數shu據ju隱yin私si及ji安an全quan的de法fa律lv法fa規gui要yao求qiu亦yi有you所suo區qu別bie。請qing注zhu意yi選xuan擇ze那na些xie立li足zu於yu您nin所suo在zai的de國guo家jia，而er且qie能neng確que保bao所suo有you客ke戶hu資zi產chan都dou被bei托tuo管guan在zai同tong一yi國guo家jia之zhi內nei的de供gong應ying商shang。”

　　-- iSIGHT Partners公司經理Stephen Ellis

　　誰能夠在雲環境下查看企業數據?

　　“與(yu)內(nei)部(bu)數(shu)據(ju)中(zhong)心(xin)的(de)情(qing)況(kuang)一(yi)樣(yang)
，雲(yun)服(fu)務(wu)供(gong)應(ying)商(shang)的(de)基(ji)礎(chu)設(she)施(shi)也(ye)會(hui)由(you)專(zhuan)門(men)的(de)技(ji)術(shu)支(zhi)持(chi)團(tuan)隊(dui)負(fu)責(ze)維(wei)護(hu)。因(yin)此(ci)
，請(qing)務(wu)必(bi)了(le)解(jie)這(zhe)些(xie)能(neng)夠(gou)查(zha)看(kan)到(dao)我(wo)們(men)數(shu)據(ju)內(nei)容(rong)的(de)工(gong)作(zuo)人(ren)員(yuan)。供(gong)應(ying)商(shang)會(hui)采(cai)取(qu)哪(na)些(xie)內(nei)部(bu)控(kong)製(zhi)機(ji)製(zhi)來(lai)避(bi)免(mian)未(wei)經(jing)授(shou)權(quan)的(de)查(zha)閱(yue)、複製或者將客戶信息以郵件形式發送出去?”

　　-- Adallom公司戰略副總裁Danelle Au

　　供應商為正常運行時間提供怎樣的服務水平協議(簡稱SLA)?

　　“大部分供應商都提供99.9%的正常運行時間，這意味著每個月的非計劃停機時長大約為45分鍾。即使是出現了有違這一服務水平協議的狀況，我們的賬戶也往往隻能得到一定比例的月費‘信用’折扣作為補償――這(zhe)與(yu)停(ting)機(ji)給(gei)實(shi)際(ji)業(ye)務(wu)帶(dai)來(lai)的(de)損(sun)失(shi)相(xiang)比(bi)幾(ji)乎(hu)可(ke)以(yi)忽(hu)略(lve)不(bu)計(ji)。因(yin)此(ci)，選(xuan)擇(ze)一(yi)家(jia)能(neng)夠(gou)提(ti)供(gong)理(li)想(xiang)正(zheng)常(chang)運(yun)行(xing)時(shi)間(jian)的(de)雲(yun)服(fu)務(wu)供(gong)應(ying)商(shang)對(dui)於(yu)正(zheng)在(zai)尋(xun)求(qiu)理(li)想(xiang)雲(yun)解(jie)決(jue)方(fang)案(an)以(yi)滿(man)足(zu)具(ju)體(ti)需(xu)求(qiu)的(de)企(qi)業(ye)客(ke)戶(hu)而(er)言(yan)至(zhi)關(guan)重(zhong)要(yao)。”

　　-- Konica Minolta Business Solutions公司All covered部門高級雲架構師Nick Zeigler

　　你們是否具備ISO27001:2013認證資質?如果答案是肯定的，那麼認證的涵蓋範疇具體如何?

　　“這個問題的目標在於了解一家雲服務供應商是否符合公認的信息安全標準，同時確認對方的整套業務體係是否都被涵蓋在認證範圍之內――包括其業務係統、操作係統以及運營平台，而非單純其中的某一項。”

　　-- Mimecast公司網絡安全專家Orlando Scott-Cowley

　　供應商是否允許客戶對生產環境或者其它經過設計的測試環境進行定期滲透測試?

　　“對dui於yu企qi業ye而er言yan，滲shen透tou測ce試shi是shi一yi種zhong常chang見jian的de檢jian驗yan方fang式shi，能neng夠gou確que保bao自zi身shen係xi統tong得de到dao恰qia當dang保bao護hu並bing有you能neng力li免mian受shou攻gong擊ji影ying響xiang。允yun許xu客ke戶hu執zhi行xing此ci類lei測ce試shi的de雲yun服fu務wu供gong應ying商shang顯xian然ran願yuan意yi以yi更geng為wei透tou明ming的de方fang式shi將jiang自zi身shen安an全quan實shi踐jian置zhi於yu監jian督du之zhi下xia
，同tong時shi也ye表biao明ming其qi對dui自zi己ji的de係xi統tong安an全quan性xing及ji可ke靠kao性xing更geng具ju信xin心xin。”

　　-- SystemExperts公司高級顧問Paul Hill