現(xiàn)在，一些企業(yè)并不放心遷移到云中，因?yàn)檫@意味著他們的系統(tǒng)數(shù)據(jù)可能會(huì)放到其他地方，而不是他們自己的數(shù)據(jù)中心內(nèi)。對(duì)于某些企業(yè)來說，這是很難接受的概念，特別是對(duì)于那些25年以來一直在企業(yè)內(nèi)部保存企業(yè)系統(tǒng)和數(shù)據(jù)的企業(yè)。顯然，假如云計(jì)算提供商沒有為其客戶的信息部署強(qiáng)大的安全控制的話，他們將很難在市場立足。但現(xiàn)實(shí)的情況是，現(xiàn)在很多領(lǐng)先的云計(jì)算解決方案提供的一些安全功能甚至超過了大多數(shù)企業(yè)自己能夠部署的功能。

在這篇文章中，我們將了解領(lǐng)先的云服務(wù)提供商的安全做法，并為考慮部署云計(jì)算解決方案的企業(yè)提出了幾個(gè)應(yīng)該考慮的問題。

云計(jì)算解決方案是否有風(fēng)險(xiǎn)評(píng)估過程來評(píng)估信息資產(chǎn)面臨的風(fēng)險(xiǎn)?

確保有效安全控制的起點(diǎn)是確定云服務(wù)提供商的信息安全風(fēng)險(xiǎn)。應(yīng)該通過執(zhí)行風(fēng)險(xiǎn)評(píng)估來確定各種來源的信息，以及這些信息可能如何被泄露。現(xiàn)在有很多不同的風(fēng)險(xiǎn)評(píng)估模式，云服務(wù)提供商已經(jīng)有一個(gè)過程來識(shí)別信息風(fēng)險(xiǎn)。在識(shí)別風(fēng)險(xiǎn)后，企業(yè)隨后應(yīng)該部署控制來緩解這些風(fēng)險(xiǎn)。

云計(jì)算解決方案是否部署了安全政策和程序?

根據(jù)風(fēng)險(xiǎn)評(píng)估過程確定的風(fēng)險(xiǎn)，云服務(wù)提供商應(yīng)該制定一套安全政策和配套程序來部署必要的控制，以解決其安全風(fēng)險(xiǎn)。特設(shè)的政策和程序或者沒有被云服務(wù)提供商記錄在案以及部署的政策，都應(yīng)該因其重視。此外，企業(yè)還應(yīng)該部署高級(jí)的安全政策和程序來確定企業(yè)的安全做法，并最終為實(shí)現(xiàn)控制目標(biāo)建立問責(zé)制。

云計(jì)算解決方案是否執(zhí)行安全漏洞或滲透測試?

滲透測試或者漏洞測試是對(duì)企業(yè)的基礎(chǔ)設(shè)施進(jìn)行掃描，來確定是否存在任何安全漏洞(例如，如果關(guān)鍵系統(tǒng)補(bǔ)丁沒有修復(fù)，攻擊者則可能利用這個(gè)漏洞)。這種類型的測試的目的是確定系統(tǒng)是否可能受到內(nèi)部或外部攻擊，以及確定企業(yè)可以采取哪些措施來抵御或者消除這些威脅。具有良好安全習(xí)慣的企業(yè)都會(huì)定期執(zhí)行這些類型的測試，并采取行動(dòng)來應(yīng)對(duì)這些識(shí)別的威脅。

云計(jì)算解決方案部署了哪些措施來物理保護(hù)其數(shù)據(jù)中心?

保護(hù)云計(jì)算系統(tǒng)的關(guān)鍵在于，物理地保護(hù)這些數(shù)據(jù)中心。云服務(wù)提供商應(yīng)該能夠?yàn)檫@些數(shù)據(jù)中心提供有限制的訪問，以及足夠的物理屏障，以防止未經(jīng)授權(quán)的訪問。受到很好保護(hù)的數(shù)據(jù)中心可能會(huì)非常昂貴，很多企業(yè)無法提供像云服務(wù)提供商那種水平的安全保護(hù)。

云計(jì)算解決方案經(jīng)過什么類型的第三方審計(jì)?

云服務(wù)提供商有很多第三方審計(jì)可供選擇。第三方審計(jì)為云服務(wù)提供商的各種操作提供獨(dú)立的保障。在云計(jì)算行業(yè)比較常見的報(bào)告包括SOC1，SOC2，在某些情況下，還有SOC3，這是由職業(yè)審計(jì)師執(zhí)行和簽署的“服務(wù)組織控制”報(bào)告。這些報(bào)告涵蓋了云服務(wù)提供商的不同類型的控制。這些報(bào)告能夠?yàn)槠髽I(yè)提供關(guān)于云服務(wù)提供商的有價(jià)值的信息來源。(鄒錚編譯)