您的位置: 旅游网 > 女人

云来首推场景运用携手ibeacon加速O奢侈品市场和消费

发布时间:2020-02-15 02:51:06

目前安全团队正致力于帮助业务线用户以及其他IT从业人员以尽可能安全的方式享受云技术带来的诸多便利,这同时也使安全气力开始愈来愈多地扮演起值得依赖的顾问角色。软件即服务(简称SaaS)、基础设施即服务(简称IaaS)和平台即服务(简称PaaS)产品在带来可扩展性、灵活性和便利性的同时,却也让企业面临着更加可观的风险本钱。考虑到这一点,我们需要信息安全专家的帮助来评估各家潜在云服务供应商,从而更好地预测此类未来可能出现的风险因素。

在这里,我们汇总了来自多位专家的十个必答问题,大家无妨首先听听服务供应商给出的回复、然后再考虑是否要与其签订合作协议。

你们是不是会在协议中承诺,将通过UI和API对用户何时履行何种操作进行追踪?

对服务供应商而言,很重要的一点就是协助避免毛病与歹意行动的产生当用户们了解到审计机制的存在,他们会以更加严谨的方式使用服务平台,同时也能够阻挠他们利用此类平台作为攻击活动的载体。除此之外,审计追踪机制的存在也有助于排除故障并分析致使问题的缘由。

--CloudBolt Software公司CTO Bernard Sanders

我们双方在数据保护工作中各自扮演怎样的角色?

必须认识到,企业需要在保护本身数据安全的工作当中扮演至关重要的角色。而了解数据的具体访问方式即便是在有云服务供应商参与的前提下对于风险管理工作依然非常关键。大部分云服务供应商会要求将相关与安全部门进行分担,而企业客户也不能想当然地假定一切数据泄漏问题都该由服务供应商负责。

-- Elastica公司CEO Rehan Jalil

数据中心以内的所有传输数据是否全部经过加密,包括一切服务器到服务器传输数据?

安全性的实际水平取决于体系中最薄弱的那一环。尽管客户与服务供应商之间利用加密机制保护数据流量、从而确保数据完整性及保密性的作法已相当普遍,但目前仍没有多少服务供应商会在企业自有环境内部对服务器之间的通讯内容进行加密。有这种情况下,一旦全部体系出现突破口、攻击者常常能够抓紧机会将其作为恶意活动的契机。

-- SystemExperts公司高级顾问Paul Hill

供应商采取怎样的日志访问机制?

听起来确实很简单,不过日志访问机制真的应当成为评估服务供应商时侧重考量的一项标准。最终用户不应该能够从数据中心里的服务器或云服务供应商处得到丰富的日志信息集,而企业也必须认真考虑那些信息可以、而那些信息不能从供应商处获得。虽然某些信息可能与企业本身没有任何关系,但也有一些非常重要的部分可能也会因此而完全没法为企业客户所掌握。而且在必要情况下,企业应当尝试通过谈判提前商讨与日志访问相干的事宜。

-- NSS实验室研究主管Rob Ayoub

我们如何确保本身能够顺利中断或退出流程,从而将服务转移到其它供应商的云环境之下?

我们必须苏醒地认识到,任何一段合作关系都不可能永久持续下去。也就是说,企业需要考虑如何顺畅地解除与当前云服务供应商的合作关系。因此作为1大重点,企业应当将以下内容纳入到与云服务供应商签订的合约当中:

?注明供应商将如何协助全部过渡过程,包括将企业客户的数据进行交还或有效提供给第三方。

?在政策中规定服务供应商应如何销毁企业客户的数据或对其进行电子清除,这样客户就能够有理有据地确信自己的数据不再存留于服务供应商的系统当中、从而免除遭到潜伏攻击或进行电子取证的可能性。

?服务供应商需要利用独立的第三方对其退出规程的有效性进行审核与验证。

-- Accuvant公司CISO办公室副总裁Renee Guttmann

服务器、流程和数据的物理位置究竟在那里?

虽然云计算常常被认为是一种能够逾越国界的灵活解决方案,但云服务供应商却必须保证企业客户的全部履行流程及数据存在于真实的地理位置,而且不同国家对数据隐私及安全的法律法规要求亦有所区分。请注意选择那些立足于您所在的国家,而且能确保所有客户资产都被托管在同一国家以内的供应商。

-- iSIGHT Partners公司经理Stephen Ellis

谁能够在云环境下查看企业数据?

与内部数据中心的情况一样,云服务供应商的基础设施也会由专门的技术支持团队负责维护。因此,请务必了解这些能够查看到我们数据内容的工作人员。供应商会采取那些内部控制机制来避免未经授权的查阅、复制或将客户信息以邮件情势发送出去?

-- Adallom公司战略副总裁Danelle Au

供应商为正常运行时间提供怎样的服务水平协议(简称SLA)?

大部分供应商都提供99.9%的正常运行时间,这意味着每一个月的非计划停机时长大约为45分钟。即使是出现了有违这1服务水平协议的状态,我们的账户也常常只能得到一定比例的月费信誉折扣作为补偿这与停机给实际业务带来的损失相比几近可以疏忽不计。因此,选择一家能够提供理想正常运行时间的云服务供应商对正在寻求理想云解决方案以满足具体需求的企业客户而言至关重要。

-- Konica Minolta Business Solutions公司All covered部门高级云架构师Nick Zeigler

你们是不是具有ISO27001:2013认证资质?如果答案是肯定的,那么认证的涵盖范畴具体如何?

这个问题的目标在于了解一家云服务供应商是不是符合公认的信息安全标准,同时确认对方的整套业务体系是否都被涵盖在认证范围以内包括其业务系统、操作系统以及运营平台,而非单纯其中的某一项。

-- Mimecast公司络安全专家Orlando Scott-Cowley

供应商是不是允许客户对生产环境或其它经过设计的测试环境进行定期渗透测试?

对企业而言,渗透测试是一种常见的检验方式,能够确保本身系统得到恰当保护并有能力免受攻击影响。允许客户履行此类测试的云服务供应商明显愿意以更加透明的方式将本身安全实践置于监督之下,同时也表明其对自己的系统安全性及可靠性更具信心。

宝宝最近不爱吃饭怎么办
如何判断腿部经络不通
发烧时冷敷还是热敷
藤黄健骨丸的效果好吗
什么药治疗勃起功能障碍
猜你会喜欢的
猜你会喜欢的