虽然云供应商尽力提供了他们的安全措施,但是关于合作伙伴、客户以及他们在安全方面努力的投诉依然存在。
对于Cirrity这样没有直属销售队伍而依托系统集成商和增值经销商(VAR)来推动其云服务销售的企业来说,Timko表示,很多渠道合作伙伴并不具备安全合规的具体认证,但是这类认证能够帮助他们更好地在众多垂直市场中解决数据安全性方面的需求。这会产生一些意想不到的衍生结果。
“很多都在从事IT转售业务的企业不一定拥有从事安全合规性方面工作的资质,他们也就不会为此进行尽职的调查,”Timko说。“我们所看到的是系统集成商和VAR们在合规性资质认证方面的巨大差异,结果所有的工作还是要由我们自己来完成。”
Timko说,很多分销商只是注册了一家云公司或者一家托管公司,他们并没有完全理解不具有特定认证或专业化资质所带来的负面影响。当他们在争取对云安全性有特殊需求的客户的合同时(例如一家需要满足HIPAA法规的医疗保健客户),客户渐渐会发现在HIPAA合规性方面他们本身要远比分销商更为胜任,这就成了一个问题。
“首先,这样会让分销商看上去非常糟糕,其次,这样的分销商基本上是无法赢得这份合同的,”Timko说。“在我们合作的那些合作伙伴中,我们经常会看到发生这样的事,所以这就是为什么这些东西是重要的教育组成部分的原因。”
对客户进行安全责任的培训则是另一个显著的挑战。全球云网络供应商atMasergy公司的产品管理经理Nick Sanders表示,当可能需要变更或终止用户账户的人员变更事件发生时,客户却没有通知Masergy,这其中就蕴含着最大的风险。
Sanders说,他的公司已经有一套成熟的流程,在发生上述问题的情况下它可让他们尽量减少对他们客户的影响,但时至今日,这一状况还没有发生过。
“检查和权衡存在于不包括发生严重网络变化而没有适当授权的可能性,”Sanders说。“我们必须在一定程度上依靠我们的客户和我们的合作伙伴以相同程度的审慎和尽职调查来组织我们自己的资源以确保客户数据的完整性和应用运行性能不会受到影响。”
随着云供应商市场变得越来越复杂,一个新兴的趋势就是云访问安全经纪人的兴起,这是指那些位于客户和云服务供应商之间的企业,他们提供了一个拦截数据的技术层以确保云供应商实施政策,例如,增加加密或其他安全措施以增强云环境中的安全功能。
“大型企业告诉我们,如果他们有800到1000个云服务,他们就没有能力来管理它们了,就无法为他们所有的云服务提供统一的安全措施,”CSA的 Reavis说。“现在,你可以看到在大型企业和所有这些云供应商之间的中介市场的悄然势起,他们将帮助企业在政策应用、加密功能以及身份联合验证方面制订统一的策略。”
本文作者:滕晓龙
来源:51CTO