随着企业大数据量的增长,企业也开始将云计算的部署列入议事日程。然而,由于企业无法清楚地了解云供应商提供的云服务的安全性,企业在选择云供应商之前需要进行漏洞评估和渗透测试。
有时很难理解云应用程序或云服务背后的情况,但事实并非如此。云服务提供商的审计通常首先要明确:审查、理解和评估的需要,但企业通常不会根据其面临的风险选择审查云供应商。
在审计云服务供应商之前,企业应该确定目标,找出你关心什么,你想保护什么。如果云服务存储的数据被泄露,可能会影响企业,则应更积极地评估供应商,否则后果将难以想象。合理分配你的时间、资金和资源,不要花太多的时间(超过必要的时间)来评估第三方,花一些时间在其他工作上,比如提供更好的安全保护来降低企业的风险。请确保所有风险点,如数据传输、存储、评估和控制、供应商员工访问、日志记录、应用程序安全、物理安全和第三方集成。
不要这样做:不要用巨大的清单和问卷调查开始审计。我们都面临着这样的调查表,我们都讨厌它,没有人想回答这些复杂的问题,更重要的是,没有人愿意检查答案是否正确。这些问题从不准确定义被评估的风险或服务,但会浪费双方的时间。在开始评估之前,找出第三方的控制,企业需要面对什么审计,企业已经达到了什么合规标准。明确你的目标和焦点将有助于指导评估过程,特别是在云环境中----基础设施和应用与传统企业环境完全不同,发展迅速。
漏洞评估和渗透测试验证了您的云服务提供商的安全状况***方法。根据作者的经验,大多数云服务提供商欢迎潜在客户评估他们的基础设施漏洞,只要他们在约定的时间内,他们的团队愿意回答各种问题。有时你会遇到不愿意合作的供应商,这通常意味着你***不要选择这个供应商。
这些评估对大多数云服务提供商都有好处,因为他们没有其他信息向客户提供,以证明他们的服务能够满足严格的企业安全标准。这是因为许多供应商在公共云服务中建立服务,企业安全产品无法与云基础设施相匹配***匹配。你试过云环境吗?IPS全包捕捉呢?如果你试过,你就知道安全清单了。IDS/IPS很难实现。侧面提示:在确定系统的所有范围内,必须进行尽职调查,并验证供应商提供的结果。一些供应商将其应用程序托管在更大的云供应商基础设施中,因此需要进行一些验证过程。这些验证过程并不是最全面的,也不一定能解决你所关心的问题。验证你的相关部分,因为你需要承担自己的风险。
在与云供应商合作时,请澄清您的问题,并根据您自己的风险进行评估。最重要的是要意识到,我们的传统方法和程序不适用于云环境。从企业的角度来看,很难承担云环境中的安全风险。我们试图证明他们的安全,但我们没有真正需要的资源来满足我们为企业设定的相同标准。即便如此,云服务也可能是安全的,有些可能是不安全的,我们必须审查它才能得出结论,以便选择适合我们企业的安全供应商。
【编辑推荐】