云計(jì)算供應(yīng)商如何證明提供的服務(wù)值得信賴？

　　云計(jì)算供應(yīng)商們既然不允許對他們的網(wǎng)絡(luò)進(jìn)行審查，那么，他們也很難證明其網(wǎng)絡(luò)的安全性。

　　一位云安全專家告訴安全標(biāo)準(zhǔn)大會的與會者們說，找到一種方法來驗(yàn)證云計(jì)算提供商的內(nèi)部網(wǎng)絡(luò)安全性是非常重要，但又是相當(dāng)不容易的。

　　客戶需要知道：數(shù)據(jù)是如何被保護(hù)的、這些數(shù)據(jù)的存放地點(diǎn)、是否可以轉(zhuǎn)移到另一家供應(yīng)商(如果客戶根據(jù)衡量供應(yīng)商之間安全保密措施之后需要進(jìn)行轉(zhuǎn)移的話)。IT風(fēng)險(xiǎn)管理的咨詢公司麥克森公司副總裁文森特.坎皮泰利(Vincent Campitelli)表示。

　　云計(jì)算供應(yīng)商根本就沒有資源可以方便的讓每一位客戶檢查自己的網(wǎng)絡(luò)，甚而定期的進(jìn)行審查，他說?！斑@是一種不可持續(xù)的模式?！?/P>

　　他說，大家正在廣泛的探討關(guān)于供應(yīng)商網(wǎng)絡(luò)化的新模式，包括建立一個已經(jīng)被核實(shí)為安全的“uber 云”服務(wù)供應(yīng)商，提供相應(yīng)的基礎(chǔ)設(shè)施和一系列的云供應(yīng)商服務(wù)標(biāo)準(zhǔn)，以驗(yàn)證云計(jì)算提供商的服務(wù)是否符合其標(biāo)準(zhǔn)。

　　這些標(biāo)準(zhǔn)雖然尚未制定，且必須滿足客戶的要求，但云安全聯(lián)盟可以從他們當(dāng)前的工作中總結(jié)出相關(guān)的標(biāo)準(zhǔn)。

　　坎皮泰利說，傳統(tǒng)的第三方物理網(wǎng)絡(luò)評估將無法在云環(huán)境中工作，因?yàn)樗麄儧]有資格評審評估云架構(gòu)?！八麄冃枰南嚓P(guān)的工具和新的技能，”他補(bǔ)充說。

　　可以實(shí)現(xiàn)的升級服務(wù)目標(biāo)是：使客戶能夠管理安全配置、審計(jì)日志、并進(jìn)行自我管理服務(wù)?？蛻暨€將能夠進(jìn)行防止數(shù)據(jù)泄漏的預(yù)防措施、申請和執(zhí)行漏洞修補(bǔ)服務(wù)、以及申請定購的相關(guān)的服務(wù)分析，他說。

　　但即使這樣，也不會很理想。“你怎么知道這些工具具體是怎么工作的，真的如同云服務(wù)提供商描述的那樣嗎？”他問道。“供應(yīng)商必須贏得他們的客戶對于這些工具的充分信任。”

　　另一位發(fā)言者在會上表示，對云安全有助于形成良好決策所需的信息通常不是由云計(jì)算服務(wù)供應(yīng)商提供的?！坝袝r(shí)候，可能你想要的數(shù)據(jù)是得不到的，就算可以得到，也不會提供給你?！?一家為政府和私營部門提供咨詢服務(wù)的非營利咨詢，美國網(wǎng)際網(wǎng)絡(luò)影響部門(US Cyber Consequences Unit)總監(jiān)沃倫阿克塞爾羅德(Warren Axelrod)說。

　　客戶想知道的并非什么新的風(fēng)險(xiǎn)問題，他們只是處于一個新的環(huán)境，因而很難對其加以評估。阿克塞爾羅德說。

　　這給企業(yè)IT安全部門的專業(yè)人士們批準(zhǔn)使用公共云服務(wù)帶來一定的壓力，因?yàn)檫@些云服務(wù)較之傳統(tǒng)昂貴的內(nèi)部基礎(chǔ)設(shè)施部署是如此的便宜。但是，這同時(shí)也意味著失去對數(shù)據(jù)的控制。

　　“如果你失去了對數(shù)據(jù)的控制，企業(yè)的管理者必然會責(zé)備你。”他說。“沒有對數(shù)據(jù)的控制權(quán)，是很難負(fù)起責(zé)任的?！?/P>

　　當(dāng)然，對于企業(yè)的IT安全和法律專家們來說，評估數(shù)據(jù)缺點(diǎn)，然后才提交數(shù)據(jù)，是穩(wěn)妥的。就算數(shù)據(jù)受到損害，其帶來的費(fèi)用損失的價(jià)值也足夠低，是可以忍受的，他說。