认证是评估云供应商安全性的一个很好的起点,但如果用户想了解有多大的风险,就不能简单地照本宣科,而是必须一步步深入了解。云安全评估和认证旨在帮助组织了解提供商为保护机密信息所采取的步骤。然而,虽然安全认证可以给用户一定程度的信心,但它们通常不足以自行保护信息安全。数据安全仍然是公有云的一大难题。“除了价格,供应商提供的安全级别是任何企业在审查公共云服务时首先要问的问题之一,”总部位于华盛顿特区的咨询公司SecurityArchitectsLLC的董事总经理DanBlum说。合伙人兼高级顾问说。组织通常对将敏感信息从他们自己的数据中心转移到第三方提供商感到不自在。为了缓和这种感觉,企业会首先确认供应商已经完成了某种程度的云安全评估,或者持有某些认证。这些云安全认证通常由两部分组成。首先,一个特设专家小组制定了一个框架,概述了应执行哪些检查以确保数据安全。然后由第三方制定特定流程以确保执行这些检查。IT安全认证基准IT安全是复杂的,因此,多年来许多不同的组织开发了框架。位于马萨诸塞州弗雷明汉的分析公司IDC安全研究副总裁PeteLindstrom表示,当企业想要评估云提供商的安全性时,他们通常会先查看BusinessCriteria16报告。美国注册会计师协会制定了规范,定义了服务提供商应如何部署安全控制。该规范生成三个报告:服务组织控制(SOC)1侧重于财务报告;SOC2报告评估供应商内部系统的安全性、可用性、流程完整性、机密性和隐私;SOC3报告描述的信息与SOC2相同,但针对的是一般受众,而不是特定的一方。国际标准化组织(ISO)和国际电工委员会(IEC)共同制定了第二个标准。ISO27001规范侧重于信息安全管理系统,而ISO27002描述了系统控制。云安全评估和认证上述标准并未区分云和传统本地系统的安全性,但最近出现了专为云设计的安全评估和认证。例如,美国国家标准技术研究院特别出版物500的规范概述了云计算在美国联邦政府中的作用。该文档解决了云操作、管理和安全问题。纵向标准初具规模除了横向标准外,在评估云服务提供商时,还要寻找以下行业认证:健康保险流通与责任法案用于保护个人医疗信息,主要是在美国。PCI-DSS保护消费者信用卡支付信息。FedRAMP监控政府数据,并提供一种标准方法来进行安全评估、授权和对云服务的持续监控。信息保障框架由欧洲网络信息和安全局开发,旨在弥补网络和信息安全漏洞。云安全联盟(CSA)成立于2008年12月,是一个为企业采用云计算提供指导的联盟。该组织的云治理矩阵包含可帮助未来云用户评估云提供商整体安全风险的原则。该组织的安全、信任和保证注册管理机构(STAR)评估和认证流程提供三个级别的云安全认证:级别1是供应商的自我评估;2级是由第三方完成的供应商评估;3级基于持续的安全检查,而不仅仅是一次性检查。买家当心云提供商持有的各种标准和认证通常都附加了额外的条件。首先,他们没有提供一些企业想要的牢不可破的保证;认证仅提供提供商安全检查的高级概述。其次,规范本身只能在高层次上起作用。例如,认证可能要求企业部署强大的身份系统,而不强制组织使用生物识别技术。第三,这些标准经常重叠。例如,CSASTAR1级认证的一部分是基于SOC2的要求,而CSA2级认证则使用了ISO/IEC27001标准的一部分。***,认证过程既费时又费钱。因此,较旧的认证在云服务提供商中得到更广泛的采用。“许多大型云服务提供商都拥有流行的认证,”Lindstrom说。部分认证接受度低新的云安全认证数量少;CSA联合创始人兼首席执行官JimReavis表示,只有大约20家云提供商公开表示他们已经完成了CSASTAR自我评估,并且有30家第三方供应商可以提供Level2认证。小型、利基或初创云提供商可能缺乏认证。“客户必须确定他们对所提供服务的需求超过任何潜在的安全风险,”Blum说。请记住,云安全评估和认证并不能全面反映供应商的安全状况。Blum说,为了充分了解您的供应商如何实施其安全流程,以及这些流程是否充分,公司需要仔细阅读报告。这些报告通常不会发布在云提供商的网站上,因此用户必须做一些功课才能找到这些信息。
