您需要询问云托管提供商的5个安全问题

多年来，云托管行业一直在反对这样一个概念，即在云中托管不如将数据保存在您自己的数据中心安全（“数据中心”可能意味着从壁橱里几台布满灰尘的计算机到状态 -最先进的空调设施）。

既然云服务提供商已经让市场相信云对于他们的关键工作负载来说足够安全，他们就不得不重新审视对话。客户现在期望他们的安全和合规性问题只需将他们的数据移动到托管解决方案即可得到解决。但这种情况并非如此。那么，您可以做些什么来确保您的数据安全？以下是您应该要求房东确保安全的 5 个安全问题。

您需要提出的 5 个安全问题

1. 你的组织曾经被入侵过吗？

如果幸运的话，答案将是否定的，但不幸的是，更有可能是肯定的。违规不一定是对组织的起诉，只是作为生活在这个世界上的一部分的事实。由于法律原因，他们可以提供的信息量可能有限。快速的谷歌搜索也可能提供任何大到需要公开披露的数据。关键要点？如果它们已被破坏，您想了解事件的范围、他们是如何处理的，以及采取了哪些措施来防止它再次发生。

2. 从托管的角度来看，您涵盖哪些合规要求？

在进行审核时，您需要提供证据证明您的托管环境与您的公司环境一样合规。您的提供者应该向您提供该证据。您关心的要求将取决于您的行业。它们可能包括 SOC 1/2/3 认证、PCI合规证明、HIPAA独立审计或GDPR的隐私保护和数据处理器协议。请记住，合规并不一定意味着安全，但它确实表明强大的流程和程序。任何不具备这种坚实基础的供应商都可能表明其安全标准存在问题。

3. 您是否定期（或允许客户执行）第 3 方渗透或漏洞扫描？

作为合规要求和内部安全标准的一部分，大多数人会进行某种程度的测试。您应该能够在此处提供一些信息，但可能需要保密协议才能共享任何评估信息。

允许客户执行这样的扫描可能会使您的云计算邻居面临性能下降的风险，或者看起来像是恶意活动。如果您想进行独立评估，请准备就此处可以完成的范围签署相当严格的协议。

4. 您可以使用哪些安全和合规选项来保护我的数据？您为这些选项提供什么级别的支持？

这就是共享责任模型的用武之地。之前的安全问题侧重于保护底层托管基础设施，以确保“客户”作为一个整体受到保护。当谈到保护“客户”时，供应商将有额外的产品和服务可以签约以满足您的需求。这些服务将围绕每个客户的特定环境要求进行设计、实施和维护。提供商将对这些产品提供不同级别的服务。这些范围从完全托管到客户（或第 3 方）负责运行平台的简单推荐。了解您的提供商可以为您处理多少工作是评估它们时的一个重要因素。

5. 谁有权访问我的数据？第三方可以访问我的数据吗？

确保您对谁有权访问您的数据感到满意！许多托管服务提供商都有某种职责分离，因此任何一名员工都无法完全访问您的托管环境。例如，支持防火墙的网络团队无权访问客户服务器；一线 Linux 支持团队可以访问。

您还可以考虑询问那些有权访问的员工需要什么级别的培训。第 3 方访问的常见示例是异地备份或安全服务，其运营中心分析恶意活动的数据。通常，任何这种性质的合作伙伴关系都将包括提供商之间的某种类型的数据隐私协议。这意味着您受到保护，至少从法律的角度来看是这样。准确传达您特别关注的数据有助于获得更多相关信息。许多第 3 方访问甚至可能不适用于您的特定托管环境。

最后的评论

提出这些安全问题时要关注的概念是“责任”。在管理项目时将此与 RACI 模型联系起来考虑。仅仅因为您的名字带有“R”并不一定意味着您必须自己完成所有工作。这意味着您有责任确保工作完成。迁移到托管云环境时，安全性和合规性责任也是如此。您的提供商将拥有一组他们负责的项目，而作为客户的您将拥有您负责的项目。确保你确切地知道每一方的责任，你将有一个成功的良好基础。用一句老话来说，知道是成功的一半。