了解云应用程序或云服务背后的情况有时候很困难,但也不全然是这样。对云服务提供商的审计通常先要弄清楚:审查、了解和评估的需要,但通常企业不是根据他们面临的风险来选择审查云供应商的。
在对云服务供应商进行审计之前,企业要确定好目标,弄清楚你关心的是什么,你想要保护什么等。如果云服务存储的数据被泄露的话,可能会对企业造成影响,那么应该更加积极地对供应商进行评估,否则后果不堪设想。合理分配你的时间、资金和资源,不要将过多时间(超过必要的时间)花在评估第三方上,花一些时间在其他工作上,例如提供更好的安全保护来降低企业风险。请确保涵盖了所有风险点,例如数据中转、存储、评估控制、供应商员工访问、日志记录、应用程序安全、物理安全和第三方集成等。
不要这样做:不要带着巨大的清单列表和问卷调查来开始审计。我们都面对过这样的调查表,我们都讨厌这样的表,没有人想要回答这些繁复的问题,更重要的是,没有人愿意检查答案是否正确。这些问题从来不能准确定义被评估的风险或者服务,反而会浪费双方的时间。开始评估前,先弄清楚第三方的控制情况,企业需要面对哪些审计,企业已经符合了哪些合规标准等。明确你的目标和关注焦点将能够帮助指导评估过程,特别是在云环境----基础设施和应用程序与传统企业环境中的截然不同,而且发展迅速。
漏洞评估和渗透测试是验证你的云服务供应商安全态势的最好方法。从笔者的经验来看,大多数云服务供应商都欢迎潜在客户对他们的基础设施进行漏洞评估,只要是在商定的时间范围内,并且他们的团队愿意回答各种问题。有时候也会碰到不愿意合作的供应商,而这种时候也通常意味着你最好不要选择这个供应商。
这些评估对于大多数云服务供应商来说都是有好处的,因为他们没有什么其他信息能够提供给客户来证明他们的服务能够满足严格的企业安全标准,这是由于很多供应商都是在公共云服务上建立他们的服务,并且企业安全产品并不能与云基础设施完美匹配。有没有在云环境中尝试过IPS和全包捕捉呢?如果试过的话,那么你就知道安全清单的IDS/IPS是很难实现的。侧面提示:在确定所有范围内系统中务必进行尽职调查,并且验证供应商提供的结果。一些供应商将他们的应用程序托管在更大云供应商的基础设施中,因此,需要进行一些验证过程。这些验证过程并不是最全面的,也并不一定能够解决你关注的问题。对与你相关的部分进行验证,因为你需要承担自己的风险。
在与云供应商合作时,请明确你的问题,根据自身风险进行评估,最重要的是,要意识到在云环境,我们的传统方法和程序都不在适用。从企业角度来看,承担云环境中的安全风险是困难的工作,我们试图证明他们的安全性,但我们并没有真正需要的资源来满足我们为企业内部设定的相同标准。即便如此,云服务可能是安全的,有些也可能是不安全的,我们必须对其进行审查才能下结论,从而选择适合自己企业的安全的供应商。
