谁该对云供应商的安全负责?

DoSECU 安全报道 5月14日消息:美国东部时间5月13日,外媒报道。一项最新研究发现,一旦你将数据交给云来保管,就意味着你将很找到很多与数据相关的最基本的东西,举例来说,数据实际被储存在了哪里,以及数据怎样被复制。

根据美国研究机构Forrester Research分析师Chenxi Wang最近的一项名为《你的云游多么安全?》的报告,我们发现,显然,这并不是什么耸人听闻的事情,影响的范围将很大。

她说,将数据交给云供应商意味着将其储存在一个随时可被其它用户共享的环境中,然而这并不意味着这些数据的安全和隐私会受到保护,用户还必须勤奋起来。如果安全没有被适当做到位,潜在的业务和法律责任就会找上你的门来。

Wang建议用户可以采取的一个关键的预防措施是,对数据进行加密,无论是将数据从云中传送给客户,还是数据被安静地储存在数据库中的时候。云供应商可使用这个办法,但是这取决于用户对其有效性的评价。

Wang还列举出了其它很多用户同样需要核实已经落在实处的地方,例如审计人员怎样对云中的数据安全进行评级,云中使用什么样的认证方法,以及如何将数据与其他的客户进行区分?

Wang所列出的担忧是正确的,这一列表告诉我们,服务供应商和用户之间应该进行一场必不可少的争辩。用户必须在云安全评估方面履行应尽的职责,供应商需要在用户需要的时候随时提供相应的数据。这种问题的协商对双方来说都是昂贵且费时的。

第三方机构的认证程序用是否可以有效地利用时间和精力对供应商的服务进行评估。第三方将对供应商进行评估,相比于对他们自身的费时费力的研究来说,用户更倾向于依赖认证证书。不像已经通过了最近的PCI认证证明的企业中发生的数据违规事件那么简单,但是在解决一些复杂的问题上,这将是最可行的解决办法。

如果你认为进行评估是必要的,那么你就不应该顾及评估所花费的成本。