还治其人之身:CIO怎样审查云供应商

所有潜在的云服务用户都会面临这样一个艰巨的问题:当供应商出于安全和实用性方面的考虑而拒绝透露重要的基础架构细节的时候,CIO如何才能给予云供应商足够的信任来雇佣他们?

这些供应商表示不能够为用户开放他们的网络基础设施,这是为了防止这些细节的透露可能会给潜在的攻击者绘制进行安全攻击的蓝图。他们还认为回答客户问题也是需要付出高昂的时间代价的。

诚如某个供应商在今年早些时候所说的,客户将永远不会得到他们想要的透明程度。“我们不想让你像审查自己的基础架构那样来检查我们的基础架构,”谷歌的产品市场经理Adam Swidler在谈论到谷歌的云服务的时候说到。“这种检查的程度永远不可能比得上你检查自己的基础架构。因此你将不得不去更多地信任第三方验证。”

尽管客户可能无法穿越云供应商的数据中心来拷问他们的CIO(首席信息安全官),但是他们还是可以用提交所关注的问题的方式来完成这个步骤。这些问题的答案可能会帮助客户达到目的,云安全联盟曾经制作过一份问卷,企业可以在试探云服务供应商的适用性的时候,有目的性地采用这份问卷中的问题。

这份被称之为共识评估主动性问卷的文件是一个经过深思熟虑的云安全评估框架。“这一系列问题可以帮助企业对云供应商进行必要的评估过程,”CSA说。

一些关键问题:

供应商是否会进行用户可见的定期渗透测试和内外部安全审查?

用户是否可以自己进行脆弱性测试?

数据是否为每个用户都进行逻辑分段或者加密,这样用户的数据就不会无端丢失了。

供应商是否可以在数据丢失的情况下逐一恢复用户数据?

如何保护知识产权?

供应商是否会标记每个用户的虚拟和物理机,他们能否保证仅仅将数据存储在几个特定的国家?而鉴于数据存储法规的约束避免另一些国家?

供应商为用户而回应政府要求的策略是什么?

供应商保留用户数据的政策有哪些?是否能够遵循从供应商的网络上清除数据的用户政策?

是否会列出自己的资产清单并说明与自己的供应商之间的关系?

是否培训自己的员工并能证明该培训在自己以及其用户的安全控制之下?

在这些质疑中,其它的问题还包括他们是否检测和控制用户的访问权限,安全事件响应的性质和程度如何,包括供应商和用户的责任等等。

类似的问题不胜枚举,但是目的都是为了给用户提供良好的针对供应商的评估,同时为供应商在回应客户杞人忧天的态度的时候提供一种更为便捷的方式。

有些客户主张与较小的云供应商签约,因为他们可以更好地对其基础架构和程序进行访问,以此确保所需的服务水平。“这么做是值得的,”美国高尔夫协会IT主管Jessica Carroll说,正是出于这个原因,她选择了小一些的供应商。“这让你的想法变成了现实,这样你就可以掌握合同中所列出的一切,因为一切都很直观地摆在你的面前。”