云計算供應商如何證明提供的服務值得信賴？

　　云計算供應商們既然不允許對他們的網(wǎng)絡進行審查，那么，他們也很難證明其網(wǎng)絡的安全性。

　　一位云安全專家告訴安全標準大會的與會者們說，找到一種方法來驗證云計算提供商的內(nèi)部網(wǎng)絡安全性是非常重要，但又是相當不容易的。

　　客戶需要知道：數(shù)據(jù)是如何被保護的、這些數(shù)據(jù)的存放地點、是否可以轉(zhuǎn)移到另一家供應商(如果客戶根據(jù)衡量供應商之間安全保密措施之后需要進行轉(zhuǎn)移的話)。IT風險管理的咨詢公司麥克森公司副總裁文森特.坎皮泰利(Vincent Campitelli)表示。

　　云計算供應商根本就沒有資源可以方便的讓每一位客戶檢查自己的網(wǎng)絡，甚而定期的進行審查，他說?！斑@是一種不可持續(xù)的模式?！?/P>

　　他說，大家正在廣泛的探討關(guān)于供應商網(wǎng)絡化的新模式，包括建立一個已經(jīng)被核實為安全的“uber 云”服務供應商，提供相應的基礎(chǔ)設(shè)施和一系列的云供應商服務標準，以驗證云計算提供商的服務是否符合其標準。

　　這些標準雖然尚未制定，且必須滿足客戶的要求，但云安全聯(lián)盟可以從他們當前的工作中總結(jié)出相關(guān)的標準。

　　坎皮泰利說，傳統(tǒng)的第三方物理網(wǎng)絡評估將無法在云環(huán)境中工作，因為他們沒有資格評審評估云架構(gòu)?！八麄冃枰南嚓P(guān)的工具和新的技能，”他補充說。

　　可以實現(xiàn)的升級服務目標是：使客戶能夠管理安全配置、審計日志、并進行自我管理服務?？蛻暨€將能夠進行防止數(shù)據(jù)泄漏的預防措施、申請和執(zhí)行漏洞修補服務、以及申請定購的相關(guān)的服務分析，他說。

　　但即使這樣，也不會很理想?！澳阍趺粗肋@些工具具體是怎么工作的，真的如同云服務提供商描述的那樣嗎？”他問道?！肮瘫仨氌A得他們的客戶對于這些工具的充分信任?！?/P>

　　另一位發(fā)言者在會上表示，對云安全有助于形成良好決策所需的信息通常不是由云計算服務供應商提供的?！坝袝r候，可能你想要的數(shù)據(jù)是得不到的，就算可以得到，也不會提供給你?！?一家為政府和私營部門提供咨詢服務的非營利咨詢，美國網(wǎng)際網(wǎng)絡影響部門(US Cyber Consequences Unit)總監(jiān)沃倫阿克塞爾羅德(Warren Axelrod)說。

　　客戶想知道的并非什么新的風險問題，他們只是處于一個新的環(huán)境，因而很難對其加以評估。阿克塞爾羅德說。

　　這給企業(yè)IT安全部門的專業(yè)人士們批準使用公共云服務帶來一定的壓力，因為這些云服務較之傳統(tǒng)昂貴的內(nèi)部基礎(chǔ)設(shè)施部署是如此的便宜。但是，這同時也意味著失去對數(shù)據(jù)的控制。

　　“如果你失去了對數(shù)據(jù)的控制，企業(yè)的管理者必然會責備你。”他說?！皼]有對數(shù)據(jù)的控制權(quán)，是很難負起責任的?！?/P>

　　當然，對于企業(yè)的IT安全和法律專家們來說，評估數(shù)據(jù)缺點，然后才提交數(shù)據(jù)，是穩(wěn)妥的。就算數(shù)據(jù)受到損害，其帶來的費用損失的價值也足夠低，是可以忍受的，他說。