在商业云计算大会上,Marlin Pohlman的一份报告指出,在云安全联盟的“云计算的主要威胁”榜单上,“恶意的内部人员”排行第三。这可作为一个很好的提醒,当您考虑云服务供应商,老式的物理安全问题仍需要很多的关注。
正如一家银行作为钱的仓库,天然是强盗有吸引力的目标,云服务提供商的数据中心,贮存了宝贵的数据资源,因而也对恶意的黑客富于吸引力。所以,有必要审核云服务提供商的数据中心的物理安全。下面是一些关键问题可以进行调查:
安全策略。通常一个详细到位的政策,应当包括诸如防止安全漏洞的机制、事故响应计划、破坏发生时供应商将采取的详细步骤。如果供应商有这样的文件,仔细审查。如果没有,那是一个大红的警示标志。
访问控制。云服务提供商是否有物理访问控制,以确保只有得到授权的人员能够访问您的存储数据和处理IT基础设施呢?提出下列问题:
·这些数据中心在不起眼的场所?
·这些场所是否有保安员、大门和检查站?
·他们有视频监控系统吗?
·供应商是否使用入侵检测技术?
·是否使用多因素身份验证?
·是否有基于真实需要的访问策略,如果用户需求变更而撤销访问?
背景检查。云服务提供商是否对可能访问其基础设施和您的数据的每个人进行背景调查?这可以防止恶意的内部人员靠近一线。
此外,您应该确定云服务提供商是否要求所有工作人员接受包括数据的安全性和供应商自己的安全政策的培训。
职责分工。云服务提供商是否将关键任务分配给多个雇员?这可以确保没有一个人能够执行未经授权的或不准确的端对端事务而不被发现。如果存在恶意的内部人员,对不同的人之间分配任务的做法,会令他们更难得到任何收获。
第三方原则。如果云服务提供商与第三方合作,它是否要求第三方的员工完全了解和遵守相同的安全政策?此外,供应商是否有到位的过程监控确保第三方的活动符合安全准则?这些可以防止一个恶意的第三方变成一个恶意的内部人员。
您需要在合同中设法解决这些问题。如果云服务提供商的安全政策和事故应急预案过关,可以简单地将这些条款作为合同附件,并指定为云供应商的最低安全要求。如果其政策和计划缺失,您可以在合同中附加矫正条款以解决任何缺点。
遵守这些流程并将其编入云服务合同的要求,是在云中有效地减少风险的最佳方法。
