云供应商有多安全?7基础知识

所有云计算供应商都会告诉你他们的服务有多安全。当你评估这些说法时，这里有7个关键因素需要考虑。

云计算安全是一个非常广泛(和深刻)的主题，所以我只能在一篇简短的文章中触及皮毛。尽管如此，还是让我们试着把基本情况控制住吧。

云安全:六个视角

第一件事就是要确保我们说的是同一件事。一些云供应商试图模糊安全性、可靠性和灾难恢复/业务连续性之间的界限。虽然所有这些都是重要的属性，但它只会混淆对话。所以在这个概述中，让我们坚持使用标准定义。

1.在本地系统中，安全的首要任务是确保未经授权的人无法访问机器。如果有人能够连接外部硬件，重新配置系统，或者控制系统引导周期，那么大量的安全性就会被忽略。在基于云计算的服务中，您不必在服务器端担心这个问题——这是供应商的工作。虽然近年来云服务偶尔会遭到破坏，但成熟的云供应商拥有相当紧密的运营团队——而且大多数将其内部安全程序视为高度保守的商业机密。这意味着你无法获得太多信息来评估它们。对于有信誉的供应商，忽略这个问题是安全的。

2.身份危机必须处理的下一个项目是跨云的身份。首先要查找的是身份验证和授权领域:密码强度、IP范围黑名单/白名单、登录时间、两级身份验证……所有你在现场系统中习惯的东西。大多数云供应商都应该涵盖这一点，至少通过附加特性或模块。

当然，还有一个经常被忽视的特权撤销问题。虽然这更多的是一个流程问题，而不是一个系统问题，但应该寻找一些能够提示管理员(或自动警告可能需要撤销的用户)的特性，以确保更严格的要求。

另一方面是减少授权过程对用户的干扰:任何实际的多云应用程序都需要SSO连接器和委托基础设施。如果您的应用程序需要跨越供应链中的供应商或渠道，那么用户帐户或ID的匿名化/混淆尤为重要。

3.加密显然是云应用程序的要求，https是所有用户登录和集成连接的基础。然而，许多云应用程序并不是为了在云中加密数据而构建的。事实上，在某些情况下，甚至不可能以加密的形式存储云数据。由于这会给客户隐私、企业窥探甚至第四修正案保护带来风险，请向您的云供应商询问内部加密，并在他们的路线图演示中推动它。

4.ILP/DLP正如我在早些时候,列对于业务应用程序来说，信息丢失保护(又称数据泄漏预防)是一个关键问题。在美国，每年有8000万消费者的身份因意外损失和蓄意攻击而受损。即使你喜欢维基解密，失去对商业信息的控制也是需要担心的事情。

在云系统中，有两个主要的泄漏风险领域。第一类是云供应商内部的漏洞——你几乎无法控制(除了审查供应商)。但您至少可以要求云供应商SLA在任何影响您数据的违规行为时通知您。

你可以控制的第二种违约:最终的损失。这需要每个服务器、PC和移动设备的附加软件或硬件，以呈现或处理来自云应用程序的数据。其目标是确保仅发生授权的数据传输，并且必须将其降到设备和文件/对象级别。此外，需要使用文件加密和自动删除(在设备失去控制时)，特别是如果您的组织有一个大的现场部队。虽然通用ILP/DLP产品是一个良好的开端，但现在有一些初创公司提供针对云计算软件特定需求的解决方案。

5.根据行业和您的业务位置，有一个惊人的隐私首字母缩写，您的云应用程序将需要遵守:PCI, GLBA, CA1386, HIPAA, FERPA, Directive 95/46/EC…这个清单似乎是无穷无尽的。首先要做的是确定ILP/DLP:如果信息从您的组织泄露出去，您就不能遵守任何隐私标准。

下一步是确保您的云供应商符合法规，或者至少有安全港认证。虽然许多云应用程序供应商已经实现了这一点，但仍有一些类别(特别是云集成供应商)的当前一代服务可能无法获得认证。

由于许多隐私领域的遵从要求您的部分进行流程更改，所以不要认为这是一个可以完全欺骗供应商的问题。我不想这么说，但"咨询你的律师"

6.审计跟踪——用于登录历史记录、管理操作和数据更改——是安全的重要组成部分。虽然审计追踪不会阻止违规行为，但它提供了发生了什么以及如何进行补救的关键法医证据。

虽然备份或归档是必要的工具，但它们不能替代正式的审计跟踪(谁在何时更改了什么)。在你注册服务之前，确保你的云供应商提供了登录选项，并确保你从第一天开始就启用了这个选项。您可能无法审计每个字段的更改，所以请确保选择最敏感和最相关的字段。最后，确保审计跟踪本身已经备份(到您自己的本地媒体上)，因为它们可能在几个月后从您的系统中消失。从服务内部恢复这些审计跟踪可能会非常昂贵。

7.拒绝服务攻击拒绝服务攻击可能是一种永久性的攻击。虽然它们不太可能只针对您的组织，但当云供应商受到攻击时，您的业务连续性可能会受到影响。与灾难恢复一样，您需要知道您的云供应商已经采取了哪些补救策略，您需要协商包含服务恢复时间的SLA。

谈到跨云计算，最大的问题是“访问控制”。它太大了，值得为它写一篇文章——所以下周见。

大卫·泰伯是普伦蒂斯·霍尔(Prentice Hall)新书《Salesforce.com成功的秘密》(Secrets of Success)的作者，也是Salesforce.com认证咨询公司SalesLogistix的首席执行官，该公司专注于通过使用CRM系统改善业务流程。SalesLogistix的客户遍布北美、欧洲、以色列和印度，David在高科技领域拥有超过25年的经验，其中包括10年的副总裁或以上职位。

在Twitter @CIOonline上关注CIO.com的所有内容。

阅读更多关于云计算的信息CIO的云计算深入研究。

这个故事，“云供应商有多安全?”《7 Basics》最初是由首席信息官 ．