多年來，云托管行業(yè)一直在反對這樣一個概念，即在云中托管不如將數(shù)據(jù)保存在您自己的數(shù)據(jù)中心安全（“數(shù)據(jù)中心”可能意味著從壁櫥里幾臺布滿灰塵的計算機到狀態(tài) -最先進的空調(diào)設(shè)施）。

既然云服務(wù)提供商已經(jīng)讓市場相信云對于他們的關(guān)鍵工作負載來說足夠安全，他們就不得不重新審視對話。客戶現(xiàn)在期望他們的安全和合規(guī)性問題只需將他們的數(shù)據(jù)移動到托管解決方案即可得到解決。但這種情況并非如此。那么，您可以做些什么來確保您的數(shù)據(jù)安全？以下是您應(yīng)該要求房東確保安全的 5 個安全問題。

您需要提出的 5 個安全問題

1. 你的組織曾經(jīng)被入侵過嗎？

如果幸運的話，答案將是否定的，但不幸的是，更有可能是肯定的。違規(guī)不一定是對組織的起訴，只是作為生活在這個世界上的一部分的事實。由于法律原因，他們可以提供的信息量可能有限。快速的谷歌搜索也可能提供任何大到需要公開披露的數(shù)據(jù)。關(guān)鍵要點？如果它們已被破壞，您想了解事件的范圍、他們是如何處理的，以及采取了哪些措施來防止它再次發(fā)生。

2. 從托管的角度來看，您涵蓋哪些合規(guī)要求？

在進行審核時，您需要提供證據(jù)證明您的托管環(huán)境與您的公司環(huán)境一樣合規(guī)。您的提供者應(yīng)該向您提供該證據(jù)。您關(guān)心的要求將取決于您的行業(yè)。它們可能包括 SOC 1/2/3 認證、PCI合規(guī)證明、HIPAA獨立審計或GDPR的隱私保護和數(shù)據(jù)處理器協(xié)議。請記住，合規(guī)并不一定意味著安全，但它確實表明強大的流程和程序。任何不具備這種堅實基礎(chǔ)的供應(yīng)商都可能表明其安全標準存在問題。

3. 您是否定期（或允許客戶執(zhí)行）第 3 方滲透或漏洞掃描？

作為合規(guī)要求和內(nèi)部安全標準的一部分，大多數(shù)人會進行某種程度的測試。您應(yīng)該能夠在此處提供一些信息，但可能需要保密協(xié)議才能共享任何評估信息。

允許客戶執(zhí)行這樣的掃描可能會使您的云計算鄰居面臨性能下降的風險，或者看起來像是惡意活動。如果您想進行獨立評估，請準備就此處可以完成的范圍簽署相當嚴格的協(xié)議。

4. 您可以使用哪些安全和合規(guī)選項來保護我的數(shù)據(jù)？您為這些選項提供什么級別的支持？

這就是共享責任模型的用武之地。之前的安全問題側(cè)重于保護底層托管基礎(chǔ)設(shè)施，以確保“客戶”作為一個整體受到保護。當談到保護“客戶”時，供應(yīng)商將有額外的產(chǎn)品和服務(wù)可以簽約以滿足您的需求。這些服務(wù)將圍繞每個客戶的特定環(huán)境要求進行設(shè)計、實施和維護。提供商將對這些產(chǎn)品提供不同級別的服務(wù)。這些范圍從完全托管到客戶（或第 3 方）負責運行平臺的簡單推薦。了解您的提供商可以為您處理多少工作是評估它們時的一個重要因素。

5. 誰有權(quán)訪問我的數(shù)據(jù)？第三方可以訪問我的數(shù)據(jù)嗎？

確保您對誰有權(quán)訪問您的數(shù)據(jù)感到滿意！許多托管服務(wù)提供商都有某種職責分離，因此任何一名員工都無法完全訪問您的托管環(huán)境。例如，支持防火墻的網(wǎng)絡(luò)團隊無權(quán)訪問客戶服務(wù)器；一線 Linux 支持團隊可以訪問。

您還可以考慮詢問那些有權(quán)訪問的員工需要什么級別的培訓。第 3 方訪問的常見示例是異地備份或安全服務(wù)，其運營中心分析惡意活動的數(shù)據(jù)。通常，任何這種性質(zhì)的合作伙伴關(guān)系都將包括提供商之間的某種類型的數(shù)據(jù)隱私協(xié)議。這意味著您受到保護，至少從法律的角度來看是這樣。準確傳達您特別關(guān)注的數(shù)據(jù)有助于獲得更多相關(guān)信息。許多第 3 方訪問甚至可能不適用于您的特定托管環(huán)境。

最后的評論

提出這些安全問題時要關(guān)注的概念是“責任”。在管理項目時將此與 RACI 模型聯(lián)系起來考慮。僅僅因為您的名字帶有“R”并不一定意味著您必須自己完成所有工作。這意味著您有責任確保工作完成。遷移到托管云環(huán)境時，安全性和合規(guī)性責任也是如此。您的提供商將擁有一組他們負責的項目，而作為客戶的您將擁有您負責的項目。確保你確切地知道每一方的責任，你將有一個成功的良好基礎(chǔ)。用一句老話來說，知道是成功的一半。