【CNETCOM 資訊】在今天的文章中，我們將通過十個問題幫助企業管理者快速評估自己可能麵臨的雲服務安全風險。

　　目前安全團隊正致力於幫助業務線用戶以及其他IT從(cong)業(ye)人(ren)員(yuan)以(yi)盡(jin)可(ke)能(neng)安(an)全(quan)的(de)方(fang)式(shi)享(xiang)受(shou)雲(yun)技(ji)術(shu)帶(dai)來(lai)的(de)諸(zhu)多(duo)便(bian)利(li)，這(zhe)同(tong)時(shi)也(ye)使(shi)安(an)全(quan)力(li)量(liang)開(kai)始(shi)越(yue)來(lai)越(yue)多(duo)地(di)扮(ban)演(yan)起(qi)值(zhi)得(de)依(yi)賴(lai)的(de)顧(gu)問(wen)角(jiao)色(se)。軟(ruan)件(jian)即(ji)服(fu)務(wu)(簡稱SaaS)、基礎設施即服務(簡稱IaaS)以及平台即服務(簡稱PaaS)產品在帶來可擴展性、linghuoxingyijibianlixingdetongshi
，queyerangqiyemianlinzhegengweikeguandefengxianchengben。kaolvdaozheyidian，womenxuyaoxinxianquanzhuanjiadebangzhulaipinggugejiaqianzaiyunfuwugongyingshang，congergenghaodiyucecileiweilaikenengchuxiandefengxianyinsu。

　　在這裏，我們彙總了來自多位專家的十個必答問題，大家不妨首先聽聽服務供應商給出的回複

、然後再考慮是否要與其簽訂合作協議。

　　你們是否會在協議中承諾，將通過UI以及API對用戶何時執行何種操作進行追蹤?

　　“對服務供應商而言，很重要的一點就是協助防止錯誤與惡意行動的發生――當(dang)用(yong)戶(hu)們(men)了(le)解(jie)到(dao)審(shen)計(ji)機(ji)製(zhi)的(de)存(cun)在(zai)
，他(ta)們(men)會(hui)以(yi)更(geng)為(wei)嚴(yan)謹(jin)的(de)方(fang)式(shi)使(shi)用(yong)服(fu)務(wu)平(ping)台(tai)，同(tong)時(shi)也(ye)能(neng)夠(gou)阻(zu)止(zhi)他(ta)們(men)利(li)用(yong)此(ci)類(lei)平(ping)台(tai)作(zuo)為(wei)攻(gong)擊(ji)活(huo)動(dong)的(de)載(zai)體(ti)。除(chu)此(ci)之(zhi)外(wai)，審(shen)計(ji)追(zhui)蹤(zong)機(ji)製(zhi)的(de)存(cun)在(zai)也(ye)有(you)助(zhu)於(yu)排(pai)除(chu)故(gu)障(zhang)並(bing)分(fen)析(xi)導(dao)致(zhi)問(wen)題(ti)的(de)原(yuan)因(yin)。”

　　--CloudBolt Software公司CTO Bernard Sanders

　　我們雙方在數據保護工作中各自扮演怎樣的角色?

　　“必須認識到，企業需要在保護自身數據安全的工作當中扮演至關重要的角色。而了解數據的具體訪問方式――即使是在有雲服務供應商介入的前提下――對dui於yu風feng險xian管guan理li工gong作zuo仍reng然ran非fei常chang關guan鍵jian。大da部bu分fen雲yun服fu務wu供gong應ying商shang會hui要yao求qiu將jiang相xiang關guan責ze任ren與yu安an全quan部bu門men進jin行xing分fen擔dan，而er企qi業ye客ke戶hu也ye不bu能neng想xiang當dang然ran地di假jia定ding一yi切qie數shu據ju泄xie露lu問wen題ti都dou該gai由you服fu務wu供gong應ying商shang負fu責ze。”

　　-- Elastica公司CEO Rehan Jalil

　　數據中心之內的所有傳輸數據是否全部經過加密，包括一切服務器到服務器傳輸數據?

　　“安全性的實際水平取決於體係中最薄弱的那一環。盡管客戶與服務供應商之間利用加密機製保護數據流量

、從(cong)而(er)確(que)保(bao)數(shu)據(ju)完(wan)整(zheng)性(xing)及(ji)保(bao)密(mi)性(xing)的(de)作(zuo)法(fa)已(yi)經(jing)相(xiang)當(dang)普(pu)遍(bian)，但(dan)目(mu)前(qian)仍(reng)沒(mei)有(you)多(duo)少(shao)服(fu)務(wu)供(gong)應(ying)商(shang)會(hui)在(zai)企(qi)業(ye)自(zi)有(you)環(huan)境(jing)內(nei)部(bu)對(dui)服(fu)務(wu)器(qi)之(zhi)間(jian)的(de)通(tong)信(xin)內(nei)容(rong)進(jin)行(xing)加(jia)密(mi)。有(you)這(zhe)種(zhong)情(qing)況(kuang)下(xia)，一(yi)旦(dan)整(zheng)個(ge)體(ti)係(xi)出(chu)現(xian)突(tu)破(po)口(kou)、攻擊者往往能夠抓緊機會將其作為惡意活動的契機。”

　　-- SystemExperts公司高級顧問Paul Hill

　　供應商采取怎樣的日誌訪問機製?

　　“聽(ting)起(qi)來(lai)確(que)實(shi)很(hen)簡(jian)單(dan)
，不(bu)過(guo)日(ri)誌(zhi)訪(fang)問(wen)機(ji)製(zhi)真(zhen)的(de)應(ying)該(gai)成(cheng)為(wei)評(ping)估(gu)服(fu)務(wu)供(gong)應(ying)商(shang)時(shi)著(zhe)重(zhong)考(kao)量(liang)的(de)一(yi)項(xiang)標(biao)準(zhun)。最(zui)終(zhong)用(yong)戶(hu)不(bu)應(ying)該(gai)能(neng)夠(gou)從(cong)數(shu)據(ju)中(zhong)心(xin)裏(li)的(de)服(fu)務(wu)器(qi)或(huo)者(zhe)雲(yun)服(fu)務(wu)供(gong)應(ying)商(shang)處(chu)得(de)到(dao)豐(feng)富(fu)的(de)日(ri)誌(zhi)信(xin)息(xi)集(ji)，而(er)企(qi)業(ye)也(ye)必(bi)須(xu)認(ren)真(zhen)考(kao)慮(lv)哪(na)些(xie)信(xin)息(xi)可(ke)以(yi)、而(er)哪(na)些(xie)信(xin)息(xi)不(bu)能(neng)從(cong)供(gong)應(ying)商(shang)處(chu)獲(huo)取(qu)。盡(jin)管(guan)某(mou)些(xie)信(xin)息(xi)可(ke)能(neng)與(yu)企(qi)業(ye)本(ben)身(shen)沒(mei)有(you)任(ren)何(he)關(guan)係(xi)
，但(dan)也(ye)有(you)一(yi)些(xie)非(fei)常(chang)重(zhong)要(yao)的(de)部(bu)分(fen)可(ke)能(neng)也(ye)會(hui)因(yin)此(ci)而(er)徹(che)底(di)無(wu)法(fa)為(wei)企(qi)業(ye)客(ke)戶(hu)所(suo)掌(zhang)握(wo)。而(er)且(qie)在(zai)必(bi)要(yao)情(qing)況(kuang)下(xia)，企(qi)業(ye)應(ying)該(gai)嚐(chang)試(shi)通(tong)過(guo)談(tan)判(pan)提(ti)前(qian)商(shang)議(yi)與(yu)日(ri)誌(zhi)訪(fang)問(wen)相(xiang)關(guan)的(de)事(shi)宜(yi)。”

　　-- NSS實驗室研究主管Rob Ayoub

　　我們如何確保自身能夠順利中止或者“退出流程”，從而將服務轉移到其它供應商的雲環境之下?

　　“womenbixuqingxingdirenshidao，renheyiduanhezuoguanxidoubukenengyongyuanchixuxiaqu。yejiushishuo
，qiyexuyaokaolvruheshunchangdijiechuyudangqianyunfuwugongyingshangdehezuoguanxi。yincizuoweiyidazhongdian，qiyeyingdangjiangyixianeirongnarudaoyuyunfuwugongyingshangqiandingdeheyuedangzhong：

　　?注明供應商將如何協助整個過渡過程，包括將企業客戶的數據進行交還或者有效提供給第三方。

　　?在(zai)政(zheng)策(ce)中(zhong)規(gui)定(ding)服(fu)務(wu)供(gong)應(ying)商(shang)應(ying)如(ru)何(he)銷(xiao)毀(hui)企(qi)業(ye)客(ke)戶(hu)的(de)數(shu)據(ju)或(huo)者(zhe)對(dui)其(qi)進(jin)行(xing)電(dian)子(zi)清(qing)除(chu)
，這(zhe)樣(yang)客(ke)戶(hu)就(jiu)能(neng)夠(gou)有(you)理(li)有(you)據(ju)地(di)確(que)信(xin)自(zi)己(ji)的(de)數(shu)據(ju)不(bu)再(zai)存(cun)留(liu)於(yu)服(fu)務(wu)供(gong)應(ying)商(shang)的(de)係(xi)統(tong)當(dang)中(zhong)、從而免除受到潛在攻擊或者進行電子取證的可能性。

　　?服務供應商需要利用獨立的第三方對其退出規程的有效性進行審核與驗證。”

　　-- Accuvant公司CISO辦公室副總裁Renee Guttmann

　　服務器
、流程以及數據的物理位置究竟在哪裏?

　　“盡(jin)管(guan)雲(yun)計(ji)算(suan)往(wang)往(wang)被(bei)認(ren)為(wei)是(shi)一(yi)種(zhong)能(neng)夠(gou)跨(kua)越(yue)國(guo)界(jie)的(de)靈(ling)活(huo)解(jie)決(jue)方(fang)案(an)

，但(dan)雲(yun)服(fu)務(wu)供(gong)應(ying)商(shang)卻(que)必(bi)須(xu)保(bao)證(zheng)企(qi)業(ye)客(ke)戶(hu)的(de)全(quan)部(bu)執(zhi)行(xing)流(liu)程(cheng)及(ji)數(shu)據(ju)存(cun)在(zai)於(yu)真(zhen)實(shi)的(de)地(di)理(li)位(wei)置(zhi)，而(er)且(qie)不(bu)同(tong)國(guo)家(jia)對(dui)於(yu)數(shu)據(ju)隱(yin)私(si)及(ji)安(an)全(quan)的(de)法(fa)律(lv)法(fa)規(gui)要(yao)求(qiu)亦(yi)有(you)所(suo)區(qu)別(bie)。請(qing)注(zhu)意(yi)選(xuan)擇(ze)那(na)些(xie)立(li)足(zu)於(yu)您(nin)所(suo)在(zai)的(de)國(guo)家(jia)
，而(er)且(qie)能(neng)確(que)保(bao)所(suo)有(you)客(ke)戶(hu)資(zi)產(chan)都(dou)被(bei)托(tuo)管(guan)在(zai)同(tong)一(yi)國(guo)家(jia)之(zhi)內(nei)的(de)供(gong)應(ying)商(shang)。”

　　-- iSIGHT Partners公司經理Stephen Ellis

　　誰能夠在雲環境下查看企業數據?

　　“yuneibushujuzhongxindeqingkuangyiyang，yunfuwugongyingshangdejichusheshiyehuiyouzhuanmendejishuzhichituanduifuzeweihu。yinci，qingwubilejiezhexienenggouzhakandaowomenshujuneirongdegongzuorenyuan。gongyingshanghuicaiqunaxieneibukongzhijizhilaibimianweijingshouquandezhayue、複製或者將客戶信息以郵件形式發送出去?”

　　-- Adallom公司戰略副總裁Danelle Au

　　供應商為正常運行時間提供怎樣的服務水平協議(簡稱SLA)?

　　“大部分供應商都提供99.9%的正常運行時間，這意味著每個月的非計劃停機時長大約為45分鍾。即使是出現了有違這一服務水平協議的狀況，我們的賬戶也往往隻能得到一定比例的月費‘信用’折扣作為補償――zheyutingjigeishijiyewudailaidesunshixiangbijihukeyihulvebuji。yinci，xuanzeyijianenggoutigonglixiangzhengchangyunxingshijiandeyunfuwugongyingshangduiyuzhengzaixunqiulixiangyunjiejuefanganyimanzujutixuqiudeqiyekehueryanzhiguanzhongyao。”

　　-- Konica Minolta Business Solutions公司All covered部門高級雲架構師Nick Zeigler

　　你們是否具備ISO27001:2013認證資質?如果答案是肯定的
，那麼認證的涵蓋範疇具體如何?

　　“這個問題的目標在於了解一家雲服務供應商是否符合公認的信息安全標準，同時確認對方的整套業務體係是否都被涵蓋在認證範圍之內――包括其業務係統、操作係統以及運營平台
，而非單純其中的某一項。”

　　-- Mimecast公司網絡安全專家Orlando Scott-Cowley

　　供應商是否允許客戶對生產環境或者其它經過設計的測試環境進行定期滲透測試?

　　“對(dui)於(yu)企(qi)業(ye)而(er)言(yan)，滲(shen)透(tou)測(ce)試(shi)是(shi)一(yi)種(zhong)常(chang)見(jian)的(de)檢(jian)驗(yan)方(fang)式(shi)，能(neng)夠(gou)確(que)保(bao)自(zi)身(shen)係(xi)統(tong)得(de)到(dao)恰(qia)當(dang)保(bao)護(hu)並(bing)有(you)能(neng)力(li)免(mian)受(shou)攻(gong)擊(ji)影(ying)響(xiang)。允(yun)許(xu)客(ke)戶(hu)執(zhi)行(xing)此(ci)類(lei)測(ce)試(shi)的(de)雲(yun)服(fu)務(wu)供(gong)應(ying)商(shang)顯(xian)然(ran)願(yuan)意(yi)以(yi)更(geng)為(wei)透(tou)明(ming)的(de)方(fang)式(shi)將(jiang)自(zi)身(shen)安(an)全(quan)實(shi)踐(jian)置(zhi)於(yu)監(jian)督(du)之(zhi)下(xia)，同(tong)時(shi)也(ye)表(biao)明(ming)其(qi)對(dui)自(zi)己(ji)的(de)係(xi)統(tong)安(an)全(quan)性(xing)及(ji)可(ke)靠(kao)性(xing)更(geng)具(ju)信(xin)心(xin)。”

　　-- SystemExperts公司高級顧問Paul Hill