首页 首页 云计算 查看内容

针对云供应商的十个问题

木马童年 2019-2-14 07:23 29 0

对于许多企业来说,真实了解供应商能力的一个好的开始就是制定一份在研究和/或合同谈判的初期阶段向云服务供应商提问的问题清单。这里我们列出了针对云供应商的十个问题,在评估他们取证能力时这些问题将对大多数企 ...

    对于许多企业来说,真实了解供应商能力的一个好的开始就是制定一份在研究和/或合同谈判的初期阶段向云服务供应商提问的问题清单。这里我们列出了针对云供应商的十个问题,在评估他们取证能力时这些问题将对大多数企业都是非常有帮助的:

    1. 首先,在平时以及调查过程中,(最好是更大型、更成熟的取证团队)将能够向你提供什么类型的数据?对于CSA文档而言,这些数据类型可能包括如下内容:

    a. Web服务器日志

    b. 应用程序服务器日志

    c. 数据库日志

    d. 虚拟机客户操作系统日志

    e. 虚拟化管理程序主机访问日志

    f. 虚拟化管理平台日志和SaaS门户日志

    g. 网络捕获

    h. 计费记录

    i. 管理门户日志

    j. API日志

    k. 云或网络供应商的外围网络日志

    l. DNS服务器的日志

    2. 提供什么类型的证据,在什么时间可作为合同的一部分,以及如何在SLA中特别指定?云消费者应当能够查看接收日志、虚拟机复本以及潜在的网络和/或存储流量(如适用)。

    3. 供应商是否维护当前的执法和法律/法规领域的联络人名单以便于在发生数据违反情况时能够提供相关的援助和指导?

    4. 云供应商是否允许受影响的消费者参与到事故响应和取证调查中,如果是这样的话,这种参与应达到什么程度呢?此外,应如何保护入侵日志和其他证据文件?

    5. 将采取何种合适的数据保留和处置生命周期政策与流程以确保事件和其他相关信息的安全性?如何覆盖虚拟磁盘文件?这些问题是理解云供应商实施数据保留和保护生命周期的关键。

    6. 云服务供应商(CSP)的安全团队拥有什么样的取证和事故响应经验?应期望他们拥有行业认证的证明和具备知名工具与技术的应用经验。这些认证包括:SANS GIAC认证取证分析(GCFA)、GIAC认证事故处理程序(GCIH)、GIAC认证取证检查程序(GCFE)、认证计算机检查程序(CCE)等等。相关的工具和技术应包括使用业界领先的取证技术、以及逆向工程技能和数据与网络流量采集技能。

    7. 为适应内部的虚拟基础设施和云管理平台,已实施了何种取证和响应程序?例如,CSP团队是否针对证据获取使用虚拟机快照技术?任何合法的云供应商都应当能够提供证明其拥有与虚拟化相关的特殊经验和能力的确凿详细证据。

    8. 在多租户的环境中,CSP团队将采取哪些步骤以便于在某个/些租户经历安全事故时最大限度地减少对其他租户的影响?

    9. CSP是如何在虚拟环境中处理基于网络的监控和跟踪任务的? 是否使用虚拟防火墙或其他设施。如果有使用,那么是如何管理这些设施的?是否有合适的职责分离和基于角色的访问控制措施,以便于在发生安全事故时限制特定团队成员的可见性?

    10. CSP团队将遵循什么样的程序以允许执法人员访问系统和资产?如何确保未受影响的租户能够置身事外?

    除了以上这些问题,CSA指南还提出了一些关于客户端和移动设备访问云资源的云取证建议,虽然这些建议中的很多都是高层次的。总之,当发生事故时才手忙脚乱地想办法来处理,只能说明签订云服务合同时没有做好功课,所以安全和运行团队应当在签订合同之前就积极主动地收集尽可能多的这一类信息。如果一家企业在与云供应商谈判过程中的任意时刻无法感到百分百的满意,那么它就应当重新评估供应商或与其云服务一起是否在当时是完全适合的。

在不久的将来,多智时代一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏多智时代,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!

供应商 云服务 云供应商 应用程序 数据库 操作系统
0
为您推荐
人算不如天算,数据驱动的云计算远超天算啦!

人算不如天算,数据驱动的云计算远超天算啦

在今天的世界, 一切业务数据化,一切数据业务化,只有这样才能迎接这个时代。所以我希…...

业务不到两年增速85%,是哪家公司这么厉害?

业务不到两年增速85%,是哪家公司这么厉害?

核心提示:自从2015年9月的OracleOpenWorld大会上推出全线的SaaS和PaaS产品以来,甲骨…...

打开企业云计算之门的利剑,不容错过?

打开企业云计算之门的利剑,不容错过?

在现实中,很多企事业单位的IT基础设施就处于此层次级别,即:只是采用了虚拟化技术去…...

云计算炙手可热,究竟是谁在背后?

云计算炙手可热,究竟是谁在背后?

核心提示:前不久,万达网络科技集团与美国IBM公司达成合作,借助IBM的云计算技术,进…...

云计算对数据进行智能分析,云计算核心技术有哪些?

云计算对数据进行智能分析,云计算核心技术

随着信息技术不断进步,闪存、磁盘、数据中心、DNA等各种新的存储技术不断出现。即便…...

“云”上存储日渐成熟, 那么最关键的是什么?

“云”上存储日渐成熟, 那么最关键的是什

展望未来,世界并不只是由公有或私有化技术组成,还有许多两者的混合体。因此势必会有…...

云计算开源呈现爆发式增长,如何使用云计算开源技术成为产业链关注的热点?

云计算开源呈现爆发式增长,如何使用云计算

近几年来,在云计算领域,开源技术呈现爆发式的增长,借用云计算领域的主流看法,这个…...

云计算提供了基础平台,云计算产业进入2.0

云计算提供了基础平台,云计算产业进入2.0

云计算引发了软件开发部署模式的创新,成为承载各类应用的关键基础设施,并为大数据、…...

私有云的建设是一个需要长期迭代的过程,我们都还在路上!

私有云的建设是一个需要长期迭代的过程,我

伴随着IT新技术的发展,像虚拟化、云计算和大数据对大家来说已经不再陌生了。在企业里…...

大家都要向云计算转型,为什么?

大家都要向云计算转型,为什么?

我们曾经开玩笑说硬件也要向云计算转型,软件也要向云计算转型,系统集成商也要向云计…...