首页 首页 云计算 查看内容

针对云供应商的十个问题

木马童年 2019-2-14 07:23 4 0

对于许多企业来说,真实了解供应商能力的一个好的开始就是制定一份在研究和/或合同谈判的初期阶段向云服务供应商提问的问题清单。这里我们列出了针对云供应商的十个问题,在评估他们取证能力时这些问题将对大多数企 ...

    对于许多企业来说,真实了解供应商能力的一个好的开始就是制定一份在研究和/或合同谈判的初期阶段向云服务供应商提问的问题清单。这里我们列出了针对云供应商的十个问题,在评估他们取证能力时这些问题将对大多数企业都是非常有帮助的:

    1. 首先,在平时以及调查过程中,(最好是更大型、更成熟的取证团队)将能够向你提供什么类型的数据?对于CSA文档而言,这些数据类型可能包括如下内容:

    a. Web服务器日志

    b. 应用程序服务器日志

    c. 数据库日志

    d. 虚拟机客户操作系统日志

    e. 虚拟化管理程序主机访问日志

    f. 虚拟化管理平台日志和SaaS门户日志

    g. 网络捕获

    h. 计费记录

    i. 管理门户日志

    j. API日志

    k. 云或网络供应商的外围网络日志

    l. DNS服务器的日志

    2. 提供什么类型的证据,在什么时间可作为合同的一部分,以及如何在SLA中特别指定?云消费者应当能够查看接收日志、虚拟机复本以及潜在的网络和/或存储流量(如适用)。

    3. 供应商是否维护当前的执法和法律/法规领域的联络人名单以便于在发生数据违反情况时能够提供相关的援助和指导?

    4. 云供应商是否允许受影响的消费者参与到事故响应和取证调查中,如果是这样的话,这种参与应达到什么程度呢?此外,应如何保护入侵日志和其他证据文件?

    5. 将采取何种合适的数据保留和处置生命周期政策与流程以确保事件和其他相关信息的安全性?如何覆盖虚拟磁盘文件?这些问题是理解云供应商实施数据保留和保护生命周期的关键。

    6. 云服务供应商(CSP)的安全团队拥有什么样的取证和事故响应经验?应期望他们拥有行业认证的证明和具备知名工具与技术的应用经验。这些认证包括:SANS GIAC认证取证分析(GCFA)、GIAC认证事故处理程序(GCIH)、GIAC认证取证检查程序(GCFE)、认证计算机检查程序(CCE)等等。相关的工具和技术应包括使用业界领先的取证技术、以及逆向工程技能和数据与网络流量采集技能。

    7. 为适应内部的虚拟基础设施和云管理平台,已实施了何种取证和响应程序?例如,CSP团队是否针对证据获取使用虚拟机快照技术?任何合法的云供应商都应当能够提供证明其拥有与虚拟化相关的特殊经验和能力的确凿详细证据。

    8. 在多租户的环境中,CSP团队将采取哪些步骤以便于在某个/些租户经历安全事故时最大限度地减少对其他租户的影响?

    9. CSP是如何在虚拟环境中处理基于网络的监控和跟踪任务的? 是否使用虚拟防火墙或其他设施。如果有使用,那么是如何管理这些设施的?是否有合适的职责分离和基于角色的访问控制措施,以便于在发生安全事故时限制特定团队成员的可见性?

    10. CSP团队将遵循什么样的程序以允许执法人员访问系统和资产?如何确保未受影响的租户能够置身事外?

    除了以上这些问题,CSA指南还提出了一些关于客户端和移动设备访问云资源的云取证建议,虽然这些建议中的很多都是高层次的。总之,当发生事故时才手忙脚乱地想办法来处理,只能说明签订云服务合同时没有做好功课,所以安全和运行团队应当在签订合同之前就积极主动地收集尽可能多的这一类信息。如果一家企业在与云供应商谈判过程中的任意时刻无法感到百分百的满意,那么它就应当重新评估供应商或与其云服务一起是否在当时是完全适合的。

在不久的将来,多智时代一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏多智时代,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!

供应商 云服务 云供应商 应用程序 数据库 操作系统
0
为您推荐
云安全,为什么离不开可视性即服务?

云安全,为什么离不开可视性即服务?

无论您是一名网络管理员、安全管理员还是首席信息官,您是否考虑过如果不能对大部分网…...

谷歌推全新云存储服务Nearline:价格低速度快

谷歌推全新云存储服务Nearline:价格低速度

亚马逊或许是云计算领域的巨人,但现在谷歌也像一头狮子一般宣传自己的超低价Nearline…...

云计算市场竞争越演越烈,腾讯云四大核心产品全面降价!

云计算市场竞争越演越烈,腾讯云四大核心产

1月2日,腾讯云宣布云服务器、云数据库、云存储和云安全四大核心产品全面调价,最高降…...

云计算还是 云“算计”?

云计算还是 云“算计”?

现在越来越多的公司都在讨论云计算的概念,工信部日前发布的发展意见中提到,到2019年…...

云计算为金融行业特别是银行业,带来了哪些机遇和收益?

云计算为金融行业特别是银行业,带来了哪些

云计算不仅仅是简单的服务器和存储器租赁,更深层次地,它提供了一种灵活、敏捷的以客…...

关于公有云隐私,我们必须知道哪三个问题

关于公有云隐私,我们必须知道哪三个问题

公有云与私有云之使用的辩论一直未有信息。对于公有云,大部分企业拒绝使用它的一个原…...

SAP CTO张侠:云安全并不很可怕

SAP CTO张侠:云安全并不很可怕

如今,云计算虽火,但云安全问题却成为拦在人们心里的一道坎。ForresterResearch调查…...

谷歌称人工智能芯片让他们省了15个数据中心!

谷歌称人工智能芯片让他们省了15个数据中心

谷歌神经网络芯片 谷歌的操作系统无疑是地球上最大的计算机网络,该系统由遍布四大洲…...

怎样使用云和大数据赢得黑客战争?

怎样使用云和大数据赢得黑客战争?

今天 ,惠普资深副总裁以及企业安全软件产品负责人Art Gilliand ,在2013年RSA安全大…...

全球链圈大咖云集,2018可信区块链峰会将于10月在京召开

全球链圈大咖云集,2018可信区块链峰会将于

在政策、技术、市场的多重推动下,区块链技术正在加速与实体经济融合,如何推进区块链…...