云計算供應商如何證明提供的服務(wù)值得信賴(lài)？

　　云計算供應商們既然不允許對他們的網(wǎng)絡(luò )進(jìn)行審查，那么，他們也很難證明其網(wǎng)絡(luò )的安全性。

　　一位云安全專(zhuān)家告訴安全標準大會(huì )的與會(huì )者們說(shuō)，找到一種方法來(lái)驗證云計算提供商的內部網(wǎng)絡(luò )安全性是非常重要，但又是相當不容易的。

　　客戶(hù)需要知道：數據是如何被保護的、這些數據的存放地點(diǎn)、是否可以轉移到另一家供應商(如果客戶(hù)根據衡量供應商之間安全保密措施之后需要進(jìn)行轉移的話(huà))。IT風(fēng)險管理的咨詢(xún)公司麥克森公司副總裁文森特.坎皮泰利(Vincent Campitelli)表示。

　　云計算供應商根本就沒(méi)有資源可以方便的讓每一位客戶(hù)檢查自己的網(wǎng)絡(luò )，甚而定期的進(jìn)行審查，他說(shuō)?！斑@是一種不可持續的模式?！?/P>

　　他說(shuō)，大家正在廣泛的探討關(guān)于供應商網(wǎng)絡(luò )化的新模式，包括建立一個(gè)已經(jīng)被核實(shí)為安全的“uber 云”服務(wù)供應商，提供相應的基礎設施和一系列的云供應商服務(wù)標準，以驗證云計算提供商的服務(wù)是否符合其標準。

　　這些標準雖然尚未制定，且必須滿(mǎn)足客戶(hù)的要求，但云安全聯(lián)盟可以從他們當前的工作中總結出相關(guān)的標準。

　　坎皮泰利說(shuō)，傳統的第三方物理網(wǎng)絡(luò )評估將無(wú)法在云環(huán)境中工作，因為他們沒(méi)有資格評審評估云架構?！八麄冃枰南嚓P(guān)的工具和新的技能，”他補充說(shuō)。

　　可以實(shí)現的升級服務(wù)目標是：使客戶(hù)能夠管理安全配置、審計日志、并進(jìn)行自我管理服務(wù)?？蛻?hù)還將能夠進(jìn)行防止數據泄漏的預防措施、申請和執行漏洞修補服務(wù)、以及申請定購的相關(guān)的服務(wù)分析，他說(shuō)。

　　但即使這樣，也不會(huì )很理想?！澳阍趺粗肋@些工具具體是怎么工作的，真的如同云服務(wù)提供商描述的那樣嗎？”他問(wèn)道?！肮瘫仨氌A(yíng)得他們的客戶(hù)對于這些工具的充分信任?！?/P>

　　另一位發(fā)言者在會(huì )上表示，對云安全有助于形成良好決策所需的信息通常不是由云計算服務(wù)供應商提供的?！坝袝r(shí)候，可能你想要的數據是得不到的，就算可以得到，也不會(huì )提供給你?！?一家為政府和私營(yíng)部門(mén)提供咨詢(xún)服務(wù)的非營(yíng)利咨詢(xún)，美國網(wǎng)際網(wǎng)絡(luò )影響部門(mén)(US Cyber Consequences Unit)總監沃倫阿克塞爾羅德(Warren Axelrod)說(shuō)。

　　客戶(hù)想知道的并非什么新的風(fēng)險問(wèn)題，他們只是處于一個(gè)新的環(huán)境，因而很難對其加以評估。阿克塞爾羅德說(shuō)。

　　這給企業(yè)IT安全部門(mén)的專(zhuān)業(yè)人士們批準使用公共云服務(wù)帶來(lái)一定的壓力，因為這些云服務(wù)較之傳統昂貴的內部基礎設施部署是如此的便宜。但是，這同時(shí)也意味著(zhù)失去對數據的控制。

　　“如果你失去了對數據的控制，企業(yè)的管理者必然會(huì )責備你?！彼f(shuō)?！皼](méi)有對數據的控制權，是很難負起責任的?！?/P>

　　當然，對于企業(yè)的IT安全和法律專(zhuān)家們來(lái)說(shuō)，評估數據缺點(diǎn)，然后才提交數據，是穩妥的。就算數據受到損害，其帶來(lái)的費用損失的價(jià)值也足夠低，是可以忍受的，他說(shuō)。