認(ren)證是評(ping)估云提供商的(de)安全性的(de)一個(ge)很(hen)好的(de)起點，但(dan)如果(guo)用(yong)戶(hu)想了解其中(zhong)有多大的(de)風(feng)險，就(jiu)不能(neng)只是簡單的(de)照本宣科，必須進行(xing)更深一步的(de)了解。

評估(gu)和認(ren)證(zheng)旨在幫(bang)助企(qi)業了(le)解提供商(shang)采(cai)取了(le)哪些步(bu)驟來保護(hu)機密信(xin)息。不過，雖然安全認(ren)證(zheng)可以給(gei)于用戶一定程度(du)的(de)信(xin)心，但只靠它們來保證(zheng)信(xin)息安全往往是不夠的(de)。

數據安全仍(reng)然是(shi)公(gong)有(you)(you)(you)云的一大(da)死穴。 緊隨價格(ge)之(zhi)后，供應商提供什么程(cheng)度的安全性(xing)是(shi)所有(you)(you)(you)企業在(zai)檢驗公(gong)有(you)(you)(you)云服務時首(shou)先要問的問題之(zhi)一， Dan Blum，一家總部設在(zai)華盛頓特區的咨詢公(gong)司(si)，Security Architects LLC的管理合伙人及(ji)首(shou)席(xi)顧(gu)問說道(dao)。

組(zu)織經(jing)常會對于將(jiang)敏感(gan)信息從自己的(de)(de)數據(ju)中心(xin)移到(dao)(dao)第(di)三方提供(gong)商(shang)時(shi)感(gan)到(dao)(dao)不安。為了緩和這種感(gan)覺(jue)，企業會先(xian)確(que)(que)認供(gong)應商(shang)已經(jing)完成(cheng)了某(mou)種程度的(de)(de)云安全評估，或持有某(mou)些認證(zheng)。這些云安全認證(zheng)通常由(you)(you)兩(liang)部(bu)分組(zu)成(cheng)。首先(xian)，由(you)(you)一個特設專家小組(zu)開(kai)(kai)發一個框(kuang)架，概述應該執行哪些檢(jian)查(cha)來確(que)(que)保護數據(ju)的(de)(de)安全。然后，由(you)(you)第(di)三方負責開(kai)(kai)發具體的(de)(de)流(liu)程，以(yi)確(que)(que)保這些檢(jian)查(cha)工作落到(dao)(dao)實(shi)處。

IT安全認證基準

安(an)全性(xing)是很(hen)復雜的(de)(de)，因此(ci)，這些(xie)年來，來自許多不同的(de)(de)組織開發的(de)(de)框架便(bian)應(ying)運而生。當(dang)企(qi)業(ye)想評估云提(ti)供商(shang)的(de)(de)安(an)全性(xing)時(shi)，往(wang)往(wang)會從審(shen)核(he)業(ye)務標準16的(de)(de)報(bao)表開始，據Pete Lindstrom，總(zong)部設(she)在馬薩諸塞(sai)州Framingham的(de)(de)分析公司(si)，IDC的(de)(de)安(an)全研究副總(zong)裁表示。

美國注冊會(hui)計(ji)師研究所制定了該(gai)規范，它定義(yi)了服(fu)務提(ti)供商應該(gai)如何部(bu)(bu)署(shu)安(an)全控制。該(gai)規范產生三份報表(biao)：服(fu)務組織控制(SOC)1側重于(yu)財務報告;SOC 2報表(biao)則(ze)評(ping)估安(an)全性(xing)(xing)，可用性(xing)(xing)，過程完整性(xing)(xing)，廠商內部(bu)(bu)系統的(de)保密性(xing)(xing)和隱私性(xing)(xing);而SOC3報表(biao)所描述的(de)信息與(yu)SOC2相(xiang)同(tong)，但是旨在面向一般受眾(zhong)，而不是特定方。

國(guo)際標準化組織(ISO)和國(guo)際電工委(wei)員會(hui)(IEC)兩大組織共(gong)同(tong)合作，制(zhi)定(ding)了(le)第(di)二個標準。ISO 27001規范側重于信息安全(quan)管理(li)體系(xi)而ISO 27002描(miao)述了(le)系(xi)統控制(zhi)。

云安全評估和認證

前(qian)面所(suo)提(ti)的標準(zhun)沒有(you)針(zhen)對(dui)云和(he)傳統(tong)本(ben)地系統(tong)的安全性(xing)進行(xing)區別對(dui)待，但(dan)是，近來專為云所(suo)設(she)計的安全評估和(he)認證開始崛(jue)起。例如(ru)，國家標準(zhun)和(he)技術研究所(suo)特別出版物-500的規(gui)范概括了云計算在美(mei)國聯邦政府(fu)中的作(zuo)用。該文(wen)件涉及了云運營、管理和(he)安全問題(ti)。

垂直標準初具規模

除(chu)了水(shui)平的(de)標準之外，在評估云服務提供商時(shi)，還可以了解(jie)以下行業認證：

健康保險可移(yi)植性和責任法案是(shi)用來(lai)保護(hu)個人醫療信息，主(zhu)要(yao)是(shi)在(zai)美國。

PCI-DSS保障消費(fei)者(zhe)信(xin)用卡付款信(xin)息。

FedRAMP監(jian)控政府數(shu)據(ju)并提供了標準的方法來進行安全評(ping)估，授權和(he)云服務的不(bu)間斷監(jian)測。

信(xin)息(xi)保障框架是由歐洲網(wang)絡信(xin)息(xi)和安全(quan)局開發的(de)，目的(de)是關閉網(wang)絡和信(xin)息(xi)安全(quan)漏洞。

成立于2008年12月，云(yun)(yun)安(an)(an)全(quan)聯盟(CSA)是為采(cai)用(yong)云(yun)(yun)計算的(de)企(qi)業提(ti)供(gong)指導的(de)聯盟。該(gai)組織的(de)云(yun)(yun)控制矩陣包(bao)括(kuo)了能幫助未來云(yun)(yun)用(yong)戶評(ping)估(gu)(gu)云(yun)(yun)提(ti)供(gong)商整體安(an)(an)全(quan)風險的(de)原則。該(gai)組織的(de)安(an)(an)全(quan)，信任和保(bao)證(zheng)(zheng)注冊(ce)(STAR)的(de)評(ping)估(gu)(gu)和認證(zheng)(zheng)過程提(ti)供(gong)三個等級(ji)的(de)云(yun)(yun)安(an)(an)全(quan)認證(zheng)(zheng)：1級(ji)是由(you)供(gong)應商進行(xing)自我評(ping)估(gu)(gu);2級(ji)是由(you)第三方所做的(de)供(gong)應商評(ping)估(gu)(gu);而(er)3級(ji)則是基于持續不斷(duan)的(de)安(an)(an)全(quan)檢測，而(er)不僅(jin)僅(jin)是一次性的(de)檢查。

買家當心

云(yun)供(gong)(gong)應商所(suo)持有(you)的(de)(de)各種標準(zhun)和認證(zheng)常常附(fu)帶一(yi)些額外(wai)條件(jian)。首先，他(ta)們(men)無(wu)法提(ti)供(gong)(gong)一(yi)些企業所(suo)想要的(de)(de)牢不可(ke)破(po)的(de)(de)保(bao)證(zheng);而(er)認證(zheng)只提(ti)供(gong)(gong)了提(ti)供(gong)(gong)商在(zai)安(an)全檢查(cha)方面的(de)(de)高(gao)層次概述(shu)。

第二，這(zhe)些規范本(ben)身只在(zai)高層次起(qi)作(zuo)用。例如，某(mou)認(ren)證(zheng)可(ke)能(neng)要求企業部署(shu)強大(da)的身份認(ren)證(zheng)系統(tong)，但卻不強制(zhi)該組織(zhi)使用生(sheng)物識別(bie)技術。

第三，這(zhe)些標準經常有重疊的(de)(de)部(bu)(bu)分。例如CSA STAR 1級(ji)認證(zheng)的(de)(de)一部(bu)(bu)分，是基(ji)于(yu)SOC2的(de)(de)要求，而CSA的(de)(de)2級(ji)認證(zheng)則使用了部(bu)(bu)分ISO/IEC 27001的(de)(de)標準。

最后(hou)，認證(zheng)的過(guo)程是費時和昂(ang)貴的。因(yin)此，舊的認證(zheng)便在云服務提(ti)供商之間得到越來越廣泛的采納。 許多大型云服務提(ti)供商都通(tong)過(guo)了流行的認證(zheng)， Lindstrom說(shuo)道。

部分認證接受度低

新的(de)云安全認證(zheng)的(de)數量還很少;只有大約20家云供(gong)應商已經公開聲明(ming)，他們完成了CSA STAR的(de)自(zi)我評估，30家第三方廠商可以提供(gong)2級認證(zheng)，根(gen)據Jim Reavis，CSA的(de)聯合(he)創始人兼CEO表示。

 小型(xing)，利(li)基市場(chang)或初創云提(ti)供(gong)商可能(neng)缺乏認證。 客(ke)戶必須(xu)確定(ding)他(ta)們(men)對于所提(ti)供(gong)服務的需求(qiu)勝(sheng)過(guo)任何潛(qian)在的安全風(feng)險， Blum說道。

請記住，云安(an)全評(ping)估和認(ren)證并不是一(yi)(yi)個供(gong)應商(shang)安(an)全態勢的(de)完整體現。Blum表示，想要充分了解(jie)你的(de)供(gong)應商(shang)如何(he)實現其安(an)全流程(cheng)，以及這(zhe)(zhe)些流程(cheng)是否(fou)足夠，企業需要仔細閱讀各種報告(gao)。這(zhe)(zhe)些報告(gao)通常不會(hui)在一(yi)(yi)個云提供(gong)商(shang)的(de)網站上發(fa)布，所以用戶必須(xu)做一(yi)(yi)些功課才(cai)能(neng)找(zhao)到這(zhe)(zhe)些信息。

文章編輯：CobiNet(寧波)  
本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產超五類，六類,七類屏蔽網線/屏蔽模塊及相關模塊配件, 我們是萬兆屏蔽模塊，10G屏蔽模塊，屏蔽線生產廠家。

 歡(huan)迎來電咨詢0574 88168918,郵箱sales@aliance.cn，網(wang)址aliance.cn