導(dǎo)讀：隨著企業(yè)大數(shù)據(jù)量的增長(zhǎng)，企業(yè)對(duì)于部署云計(jì)算也開(kāi)始提上了日程。然而，由于企業(yè)對(duì)于云供應(yīng)商無(wú)法清楚的了解所提供的云服務(wù)的安全性，因此，企業(yè)有必要在選擇云提供商之前對(duì)其進(jìn)行漏洞評(píng)估和滲透測(cè)試。

　　了解云應(yīng)用程序或云服務(wù)背后的情況有時(shí)候很困難，但也不全然是這樣。對(duì)云服務(wù)提供商的審計(jì)通常先要弄清楚：審查、了解和評(píng)估的需要，但通常企業(yè)不是根據(jù)他們面臨的風(fēng)險(xiǎn)來(lái)選擇審查云供應(yīng)商的。

　　在對(duì)云服務(wù)供應(yīng)商進(jìn)行審計(jì)之前，企業(yè)要確定好目標(biāo)，弄清楚你關(guān)心的是什么，你想要保護(hù)什么等。如果云服務(wù)存儲(chǔ)的數(shù)據(jù)被泄露的話，可能會(huì)對(duì)企業(yè)造成影響，那么應(yīng)該更加積極地對(duì)供應(yīng)商進(jìn)行評(píng)估，否則后果不堪設(shè)想。合理分配你的時(shí)間、資金和資源，不要將過(guò)多時(shí)間(超過(guò)必要的時(shí)間)花在評(píng)估第三方上，花一些時(shí)間在其他工作上，例如提供更好的安全保護(hù)來(lái)降低企業(yè)風(fēng)險(xiǎn)。請(qǐng)確保涵蓋了所有風(fēng)險(xiǎn)點(diǎn)，例如數(shù)據(jù)中轉(zhuǎn)、存儲(chǔ)、評(píng)估控制、供應(yīng)商員工訪問(wèn)、日志記錄、應(yīng)用程序安全、物理安全和第三方集成等。

　　不要這樣做：不要帶著巨大的清單列表和問(wèn)卷調(diào)查來(lái)開(kāi)始審計(jì)。我們都面對(duì)過(guò)這樣的調(diào)查表，我們都討厭這樣的表，沒(méi)有人想要回答這些繁復(fù)的問(wèn)題，更重要的是，沒(méi)有人愿意檢查答案是否正確。這些問(wèn)題從來(lái)不能準(zhǔn)確定義被評(píng)估的風(fēng)險(xiǎn)或者服務(wù)，反而會(huì)浪費(fèi)雙方的時(shí)間。開(kāi)始評(píng)估前，先弄清楚第三方的控制情況，企業(yè)需要面對(duì)哪些審計(jì)，企業(yè)已經(jīng)符合了哪些合規(guī)標(biāo)準(zhǔn)等。明確你的目標(biāo)和關(guān)注焦點(diǎn)將能夠幫助指導(dǎo)評(píng)估過(guò)程，特別是在云環(huán)境----基礎(chǔ)設(shè)施和應(yīng)用程序與傳統(tǒng)企業(yè)環(huán)境中的截然不同，而且發(fā)展迅速。

　　漏洞評(píng)估和滲透測(cè)試是驗(yàn)證你的云服務(wù)供應(yīng)商安全態(tài)勢(shì)的最好方法。從筆者的經(jīng)驗(yàn)來(lái)看，大多數(shù)云服務(wù)供應(yīng)商都?xì)g迎潛在客戶對(duì)他們的基礎(chǔ)設(shè)施進(jìn)行漏洞評(píng)估，只要是在商定的時(shí)間范圍內(nèi)，并且他們的團(tuán)隊(duì)愿意回答各種問(wèn)題。有時(shí)候也會(huì)碰到不愿意合作的供應(yīng)商，而這種時(shí)候也通常意味著你最好不要選擇這個(gè)供應(yīng)商。

　　這些評(píng)估對(duì)于大多數(shù)云服務(wù)供應(yīng)商來(lái)說(shuō)都是有好處的，因?yàn)樗麄儧](méi)有什么其他信息能夠提供給客戶來(lái)證明他們的服務(wù)能夠滿足嚴(yán)格的企業(yè)安全標(biāo)準(zhǔn)，這是由于很多供應(yīng)商都是在公共云服務(wù)上建立他們的服務(wù)，并且企業(yè)安全產(chǎn)品并不能與云基礎(chǔ)設(shè)施完美匹配。有沒(méi)有在云環(huán)境中嘗試過(guò)IPS和全包捕捉呢?如果試過(guò)的話，那么你就知道安全清單的IDS/IPS是很難實(shí)現(xiàn)的。側(cè)面提示：在確定所有范圍內(nèi)系統(tǒng)中務(wù)必進(jìn)行盡職調(diào)查，并且驗(yàn)證供應(yīng)商提供的結(jié)果。一些供應(yīng)商將他們的應(yīng)用程序托管在更大云供應(yīng)商的基礎(chǔ)設(shè)施中，因此，需要進(jìn)行一些驗(yàn)證過(guò)程。這些驗(yàn)證過(guò)程并不是最全面的，也并不一定能夠解決你關(guān)注的問(wèn)題。對(duì)與你相關(guān)的部分進(jìn)行驗(yàn)證，因?yàn)槟阈枰袚?dān)自己的風(fēng)險(xiǎn)。

　　在與云供應(yīng)商合作時(shí)，請(qǐng)明確你的問(wèn)題，根據(jù)自身風(fēng)險(xiǎn)進(jìn)行評(píng)估，最重要的是，要意識(shí)到在云環(huán)境，我們的傳統(tǒng)方法和程序都不在適用。從企業(yè)角度來(lái)看，承擔(dān)云環(huán)境中的安全風(fēng)險(xiǎn)是困難的工作，我們?cè)噲D證明他們的安全性，但我們并沒(méi)有真正需要的資源來(lái)滿足我們?yōu)槠髽I(yè)內(nèi)部設(shè)定的相同標(biāo)準(zhǔn)。即便如此，云服務(wù)可能是安全的，有些也可能是不安全的，我們必須對(duì)其進(jìn)行審查才能下結(jié)論，從而選擇適合自己企業(yè)的安全的供應(yīng)商。

原文鏈接：http://safe.it168.com/a2012/0213/1310/000001310961.shtml