对云提供商的安全要求

对某些人来说云是改变他们工作方式的绝好机会。而对另外一些人来说，云更像是一团模糊的概念。虽然我是云服务的一位粉丝，
但是也不能
盲目的选择云。如果你有云服务要转售，你需要询问云提供商的安全性。独立的云审计根据SAS70（由美国会计师协会AICPA制定，针对金融服务机构向客户提供服务的内部控制、安全保障、稽核监督措施的审计标准），云信任，云审计或其他云审计标准，你选择的提供商应该能够向你展示云性能和安全数据。你当然不要期望提供商透露它们工作中的每一个细节，因为这对它自身会造成安全威胁。但你能得到一份综合性报告，从业务角度提供内容提要，调查结果和修复方法。如果企业出于法律和审计的目的需要其他细节，你的提供商应该能为你定制报告。如果你还需要额外细查，你可以询问他们是否可以提供
整体的独立漏洞评估。但这种方式是要支付额外费用的。云安全：知识产权在任何云服务的中心，多种刀片服务器运行的虚拟机数量惊人。这些机器很有可能共享你的信息。
所以要知道这种环境是否能满足你期望的安全级别和有效性。高安全性的虚拟机必须配对在一起，额外的安全控制要超过标准的安全配置。生命周期管理和跟踪元数据不光你的信息安全需要担心，
同样要担心的是在它们附近的元数据。如果收到攻击，你可能需要提供电子证据来说明发生的事情，像访问时间和登录凭据这样的元数据。除此之外，还应该知道当不需要虚拟机时，如何销毁它们。因为它们很有可能仍有信息。一个安全清单和虚拟机永久消除方案会让你晚上睡得更踏实些。云安全：物理安全不可否认，我
有点偏执，也许云提供商的物理数据中心站点会质疑：“难道我这没有员工来控制么？”但是设施越简单越好。在数据中心，关键任务系统必须物理分离并且有物理访问控制。你负责什么安全控制？一旦你将业务流程放到云里，并不意味着你没有安全责任。你得清晰地知道你和提供商各自的职责。本文当然不是一个全面的清单，但还是有一些发人深思的东西。严谨的云提供商当然
明白这些，他们可以提供上面大多数的信息。而那些没法提供的也不是你要找的云提供商。【编辑推荐】
RSA大会程序委员会主席毛文波：“云安全”尚在幼年云安全仍然是程序开发者头痛的问题云安全的思考及展望保护云中的API密钥
改善企业云安全Websense：缔造落地生“花”的云安全【责任编辑：佟媛微 TEL：（010）68476606】 给力(0票)动心(0票)废话(0票)专业(0票)标题党(0票)路过(0票) 原文：对云提供商的安全要求 返回网络安全首页