云供应商安全评估：小心落入陷阱

认证是评估云供应商安全性的好起点，但如果用户想知道风险有多大，他们不能只是简单地宣传，而是必须有更深入的了解。

云安全评估和认证旨在帮助企业了解供应商采取了哪些步骤来保护秘密信息。然而，虽然安全认证可以给用户一定程度的信心，但仅仅依靠它们来确保信息安全往往是不够的。

数据安全仍然是公有云的一大死穴。“所有企业在检验公共云服务时，首先要问的问题之一是供应商提供的安全性。”Dan Blum，总部设在华盛顿特区的咨询公司，Security Architects LLC管理合伙人及***顾问说道。

该组织经常对将敏感信息从其数据中心转移到第三方提供商感到不安。为了缓解这种感觉，企业将首先确认供应商已经完成了某种程度的云安全评估，或持有某种认证。这些云安全认证通常由两部分组成。首先，由一个特殊的专家小组开发一个框架来概述应该进行哪些检查来确保数据的安全。然后，第三方负责开发具体的过程，以确保这些检查工作的实施。

IT安全认证基准

IT安全非常复杂。因此，近年来，许多不同组织开发的框架应运而生。当企业想要评估云提供商的安全性时，他们通常从审查业务标准16的报告开始Pete Lindstrom，总部设在马萨诸塞州Framingham分析公司，IDC安全研究副总裁说。

美国注册会计师研究所制定了服务提供商应该如何部署安全控制的规范。本规范生成三份报告：服务组织控制(SOC)1侧重于财务报告;SOC 2报告评估了制造商内部系统的安全性、可用性、流程完整性、保密性和隐私性；SOC3报表所描述的信息与SOC2同样，但目的是面向普通观众，而不是特定的方。

国际标准化组织(ISO)国际电工委员会(IEC)两个组织共同制定了第二个标准。ISO 27001规范侧重于信息安全管理体系ISO 27002描述了系统控制。

云安全评估与认证

上述标准没有区别对待云和传统本地系统的安全性，但最近为云设计的安全评估和认证开始上升。例如，国家标准和技术研究所的特殊出版物-500该规范总结了云计算在美国联邦 *** 中的作用。该文件涉及云操作、管理和安全。

垂直标准初具规模

除水平标准外，在评估云服务提供商时，还可了解以下行业认证：

               
• 在美国，健康保险的可移植性和责任法案主要用于保护个人医疗信息。
               
• PCI-DSS确保消费者信用卡支付信息。
               
• FedRAMP监控 *** 数据，提供安全评估、授权和云服务持续监控的标准 *** 。

为了关闭 *** 和信息安全漏洞，欧洲 *** 信息和安全局开发了信息保障框架。

云安全联盟成立于2008年12月(CSA)它是一个为使用云计算的企业提供指导的联盟。该组织的云控制矩阵包括帮助云用户评估云供应商未来整体安全风险的原则。该组织的安全、信任和保证注册(STAR)评估和认证过程提供三级云安全认证：1级由供应商进行自我评估；2级由第三方进行；3级基于持续的安全测试，而不仅仅是一次性测试。

买家当心

云供应商持有的各种标准和认证通常都有一些额外的条件。首先，他们不能提供一些企业想要的坚不可破的保证；认证只提供安全检查的高水平概述。

第二，这些规范本身只在高水平上发挥作用。例如，认证可能要求企业部署强大的身份认证系统，但不强制组织使用生物识别技术。

第三，这些标准往往有重叠的部分。CSA STAR 1级认证的一部分是基于SOC2的要求，而CSA使用部分二级认证ISO/IEC 27001的标准。

***，认证过程耗时且昂贵。因此，旧的认证在云服务提供商之间被广泛采用。“许多大型云服务提供商都通过了流行的认证，”Lindstrom说道。

部分认证接受度低

新的云安全认证数量仍然很少；只有大约20家云供应商已经公开声明，他们已经完成了CSA STAR根据自我评估，30家第三方制造商可以提供2级认证Jim Reavis，CSA联合创始人兼CEO表示。

利基市场或初创云提供商可能缺乏认证。“客户必须确保他们对服务的需求超过任何潜在的安全风险，”Blum说道。

请记住，云安全评估和认证并不是供应商安全形势的完整体现。Blum企业需要仔细阅读各种报告，以充分了解供应商如何实现其安全流程，以及这些流程是否足够。这些报告通常不会在云提供商的网站上发布，因此用户必须做一些家庭作业才能找到这些信息。