云计算合同中须把关的9个安全要点

为了帮助缓解云计算安全问题,企业希望通过云计算合同和服务水平协议来减小其风险,Gartner表示,云计算安全仍然是企业公共云部署的主要抑制剂。

但Gartner云计算安全分析师Jay Heiser表示,在解决安全性、业务连续性和安全控制评估方面,SLA仍然“不到位”且“不令人满意”。

他表示:“这方面的问题得到了很多的关注,但我们在合同中并没有看到相应的改善,特别是在基础设施即服务(IaaS)市场。”软件即服务(SaaS)控制“很基本,但正在改进中”。

以下是云计算合同中的一些常见的和专家建议的安全规定及其效力和在其云合同中的出现率。

客户按需审计

这些条款允许客户审计供应商

有效性:部分有效,取决于供应商允许客户检查的程度

出现率:有时候

数据删除证书

证明当服务过期时,数据将被删除。

有效性: 高,有法律保障

出现率: 从来没有

灾难恢复

很多供应商声称,基于云服务的性质,云服务基本等同于灾难恢复,但并不总是这样,例如,当数据仅存储在云供应商的单个位置而没有异地备份的时候,这将会创造单点故障。

有效性:高,但很难核实。虽然供应商声称他们拥有强大的系统,但当要求他们提供证据时,他们总是有所保留。

出现率: 在合同条款中不常见

停机保障

当出现停机时,这将为用户提供保障或者某种形式的赔偿。

有效性: 部分有效。虽然这可能会对企业有所帮助,但这只是一种事后补救措施,不能从一开始防止停机事故。

出现率: 通常在合同条款中可见

加密

有效性: 各不相同。现在有多种加密方法。例如,当数据到达供应商的云环境时,供应商才对数据进行加密;用户在发送到云环境之前,就对数据进行加密,第一种方式更加便宜,但安全性也更低。重要的因素是谁存储加密密钥以及谁能够访问密钥,密钥的副本越多,安全性就越低。请注意密钥丢失的安全风险。

出现率: 这取决于供应商。第三方工具也可以用于提供加密服务。

评估

很多企业使用第三方安全服务来检查其供应商的安全控制,例如ISO27001或者SOC1和SOC2审计。但是,但是在很多情况下,简单地报告其符合这些审计的供应商并不能向最终用户提供他们需要的信息,以根据其特定安全需求来评估供应商的系统。

有效性:据称有效率不够

出现率:常见

针对安全故障影响的全额赔偿

在这种情况下,合同中会规定,如果发生安全泄露事故,供应商将负责赔偿客户的全部损失。

有效性:理论上很高

出现率: 从来没有

攻击保障

由第三方或者供应商提供保障,这可以帮助客户弥补安全或数据丢失问题产生的损失。

有效性: 可能有帮助,但这像停机保障一样,并不一定能够激励供应商避免事故的发生

出现率: 很少,但正在增加

协商安全条款

这允许客户与供应商为某些程序或者数据协商更高级别的安全水平。

有效性: 可能很高

出现率: 主要针对大客户