多年來(lái)，云托管行業(yè)一直在反對(duì)這樣一個(gè)概念，即在云中托管不如將數(shù)據(jù)保存在您自己的數(shù)據(jù)中心安全（“數(shù)據(jù)中心”可能意味著從壁櫥里幾臺(tái)布滿灰塵的計(jì)算機(jī)到狀態(tài) -最先進(jìn)的空調(diào)設(shè)施）。

既然云服務(wù)提供商已經(jīng)讓市場(chǎng)相信云對(duì)于他們的關(guān)鍵工作負(fù)載來(lái)說(shuō)足夠安全，他們就不得不重新審視對(duì)話。客戶現(xiàn)在期望他們的安全和合規(guī)性問題只需將他們的數(shù)據(jù)移動(dòng)到托管解決方案即可得到解決。但這種情況并非如此。那么，您可以做些什么來(lái)確保您的數(shù)據(jù)安全？以下是您應(yīng)該要求房東確保安全的 5 個(gè)安全問題。

您需要提出的 5 個(gè)安全問題

1. 你的組織曾經(jīng)被入侵過(guò)嗎？

如果幸運(yùn)的話，答案將是否定的，但不幸的是，更有可能是肯定的。違規(guī)不一定是對(duì)組織的起訴，只是作為生活在這個(gè)世界上的一部分的事實(shí)。由于法律原因，他們可以提供的信息量可能有限。快速的谷歌搜索也可能提供任何大到需要公開披露的數(shù)據(jù)。關(guān)鍵要點(diǎn)？如果它們已被破壞，您想了解事件的范圍、他們是如何處理的，以及采取了哪些措施來(lái)防止它再次發(fā)生。

2. 從托管的角度來(lái)看，您涵蓋哪些合規(guī)要求？

在進(jìn)行審核時(shí)，您需要提供證據(jù)證明您的托管環(huán)境與您的公司環(huán)境一樣合規(guī)。您的提供者應(yīng)該向您提供該證據(jù)。您關(guān)心的要求將取決于您的行業(yè)。它們可能包括 SOC 1/2/3 認(rèn)證、PCI合規(guī)證明、HIPAA獨(dú)立審計(jì)或GDPR的隱私保護(hù)和數(shù)據(jù)處理器協(xié)議。請(qǐng)記住，合規(guī)并不一定意味著安全，但它確實(shí)表明強(qiáng)大的流程和程序。任何不具備這種堅(jiān)實(shí)基礎(chǔ)的供應(yīng)商都可能表明其安全標(biāo)準(zhǔn)存在問題。

3. 您是否定期（或允許客戶執(zhí)行）第 3 方滲透或漏洞掃描？

作為合規(guī)要求和內(nèi)部安全標(biāo)準(zhǔn)的一部分，大多數(shù)人會(huì)進(jìn)行某種程度的測(cè)試。您應(yīng)該能夠在此處提供一些信息，但可能需要保密協(xié)議才能共享任何評(píng)估信息。

允許客戶執(zhí)行這樣的掃描可能會(huì)使您的云計(jì)算鄰居面臨性能下降的風(fēng)險(xiǎn)，或者看起來(lái)像是惡意活動(dòng)。如果您想進(jìn)行獨(dú)立評(píng)估，請(qǐng)準(zhǔn)備就此處可以完成的范圍簽署相當(dāng)嚴(yán)格的協(xié)議。

4. 您可以使用哪些安全和合規(guī)選項(xiàng)來(lái)保護(hù)我的數(shù)據(jù)？您為這些選項(xiàng)提供什么級(jí)別的支持？

這就是共享責(zé)任模型的用武之地。之前的安全問題側(cè)重于保護(hù)底層托管基礎(chǔ)設(shè)施，以確保“客戶”作為一個(gè)整體受到保護(hù)。當(dāng)談到保護(hù)“客戶”時(shí)，供應(yīng)商將有額外的產(chǎn)品和服務(wù)可以簽約以滿足您的需求。這些服務(wù)將圍繞每個(gè)客戶的特定環(huán)境要求進(jìn)行設(shè)計(jì)、實(shí)施和維護(hù)。提供商將對(duì)這些產(chǎn)品提供不同級(jí)別的服務(wù)。這些范圍從完全托管到客戶（或第 3 方）負(fù)責(zé)運(yùn)行平臺(tái)的簡(jiǎn)單推薦。了解您的提供商可以為您處理多少工作是評(píng)估它們時(shí)的一個(gè)重要因素。

5. 誰(shuí)有權(quán)訪問我的數(shù)據(jù)？第三方可以訪問我的數(shù)據(jù)嗎？

確保您對(duì)誰(shuí)有權(quán)訪問您的數(shù)據(jù)感到滿意！許多托管服務(wù)提供商都有某種職責(zé)分離，因此任何一名員工都無(wú)法完全訪問您的托管環(huán)境。例如，支持防火墻的網(wǎng)絡(luò)團(tuán)隊(duì)無(wú)權(quán)訪問客戶服務(wù)器；一線 Linux 支持團(tuán)隊(duì)可以訪問。

您還可以考慮詢問那些有權(quán)訪問的員工需要什么級(jí)別的培訓(xùn)。第 3 方訪問的常見示例是異地備份或安全服務(wù)，其運(yùn)營(yíng)中心分析惡意活動(dòng)的數(shù)據(jù)。通常，任何這種性質(zhì)的合作伙伴關(guān)系都將包括提供商之間的某種類型的數(shù)據(jù)隱私協(xié)議。這意味著您受到保護(hù)，至少?gòu)姆傻慕嵌葋?lái)看是這樣。準(zhǔn)確傳達(dá)您特別關(guān)注的數(shù)據(jù)有助于獲得更多相關(guān)信息。許多第 3 方訪問甚至可能不適用于您的特定托管環(huán)境。

最后的評(píng)論

提出這些安全問題時(shí)要關(guān)注的概念是“責(zé)任”。在管理項(xiàng)目時(shí)將此與 RACI 模型聯(lián)系起來(lái)考慮。僅僅因?yàn)槟拿謳в小癛”并不一定意味著您必須自己完成所有工作。這意味著您有責(zé)任確保工作完成。遷移到托管云環(huán)境時(shí)，安全性和合規(guī)性責(zé)任也是如此。您的提供商將擁有一組他們負(fù)責(zé)的項(xiàng)目，而作為客戶的您將擁有您負(fù)責(zé)的項(xiàng)目。確保你確切地知道每一方的責(zé)任，你將有一個(gè)成功的良好基礎(chǔ)。用一句老話來(lái)說(shuō)，知道是成功的一半。