您的位置: 网界网 > 周报全文 > 正文

[周报全文]如何考察云服务商?

2011年01月17日 16:44:30 | 作者:CNW.com.cn | 来源:网界网 | 查看本文手机版

摘要:潜在的云服务用户正面临一个严峻的问题,即当云服务商由于安全和现实原因,不愿意披露重要的基础设施细节时,他们如何信赖一个云服务商并选择使用其服务?

标签
云服务商

【CNW.com.cn 专稿】潜在的云服务用户正面临一个严峻的问题,即当云服务商由于安全和现实原因,不愿意披露重要的基础设施细节时,他们如何信赖一个云服务商并选择使用其服务?

云服务商总是会说,他们不能向用户公开其网络基础设施,因为担心这些细节会给潜在的黑客提供破坏安全的路线图。他们还表示,没有时间回答每一个用户的问题。

正如一家云服务商早些时候所说的,用户永远得不到他们需要的透明度水平,这是底线。谷歌的产品经理Adam Swidler谈及谷歌的云服务时表示,谷歌不会让用户像审计自己的基础设施一样审计谷歌提供的基础设施,用户必须把可信度扩大到第三方认证。

云计算[注]安全联盟(CSA)则认为,虽然客户也许不能走进云服务商的数据中心,盘问他们的首席信息安全官,但客户可以提出一些调查问题。这些问题的答案也许会达到让用户深入了解云服务商服务能力的目的。云计算联盟近期编写了一个调查表,客户如果要评估云服务商的适用性,可以通过这个调查表来了解。

云计算安全联盟称,这个名为“共识评估计划调查表”的文档是评估云计算安全的一个周密框架。该调查问题集是对问题、最佳做法和管理能力的精简提炼,旨在帮助机构建立一个与云服务商打交道的必要评估流程。该调查表中包含的关键问题如下:

■云服务商能够实施定期的入侵检测,以及用户可以看到的内部和外部的安全审计吗?

■允许用户实施自己的安全漏洞测试吗?

■数据是按用户进行逻辑分区或加密的吗?在进行法庭调查时,一个客户的数据会不会无意间和其他客户的数据相混淆。

■一旦发生数据丢失,云服务商能够逐个客户地恢复数据吗?

■知识产权如何得到保护?

■云服务商是否标记每个客户使用的虚拟服务器和物理服务器?云服务商是否能够保证按照某些国家的数据存储法律将数据仅仅存储在某些国家?

■云服务商对于回应政府要求得到客户数据的政策是什么?

■云服务商保留客户数据的政策是什么?能否执行客户从云服务商网络上删除数据的政策?

■云服务商会盘点自己的资产及其供应商关系吗?

■云服务商会针对自己和客户的安全控制策略(+本站微信networkworldweixin),对员工进行培训并提供培训文档吗?

询问云服务商的其他问题还包括:他们是否监控用户的访问权?安全事件响应的性质和范围是什么(包括云服务商和客户的责任)?云计算安全联盟表示,虽然该问题列表还在不断补充的过程中,但它的关键作用在于,不仅能为用户提供了一个对云服务商的良好评估方法,同时也能为云服务商提供了一个回应客户合理关切话题的可管理形式。

另外,还有一些用户主张与较小的云服务商签订合同。因为这类云服务商能够提供对其基础设施和流程的更直接了解,以保证达到所需的服务水平。美国高尔夫协会IT经理[注]Jessica Carroll认为,实地了解还是值得的。美国高尔夫协会就因为这些原因选择了一家小型的云服务商。“你了解合同中实际存在的一切,因为你已经看到它们了。”Carroll说。(美国《Network World》专稿)(更多内容详见: http://www.cnw.com.cn/P/3172)

参考资料

1.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

2.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]