1. 誰有訪問權(quán)限?

訪問控制確實(shí)是一個(gè)問題。云身份認(rèn)證是如何管理的?內(nèi)部人員攻擊是一種持續(xù)威脅。任何獲得云平臺(tái)訪問權(quán)限的人都有可能成為潛在的問題。

2. 你是否有審計(jì)權(quán)限?

這個(gè)問題并不是小問題，相反是其中一個(gè)最重要的云安全問題。云提供商可能同意在書面上遵守一個(gè)審計(jì)標(biāo)準(zhǔn)，如SSAE 16。但是，對(duì)于審計(jì)人員和評(píng)估人員而言，想要評(píng)估云計(jì)算是否符合法規(guī)要求，已經(jīng)被證明是一件越來越難完成和驗(yàn)證的工作。在IT要面對(duì)的諸多法規(guī)中，幾乎沒有專門針對(duì)云計(jì)算的。審計(jì)人員和評(píng)估人員可能還不熟悉云計(jì)算，也不熟悉某個(gè)特定的云服務(wù)。

3. 是否使用了加密手段?

加密手段也應(yīng)該在考慮范圍內(nèi)。原始數(shù)據(jù)是否允許離開企業(yè)，或者它們應(yīng)該留在內(nèi)部，才能符合法規(guī)要求?數(shù)據(jù)在靜止和/或移動(dòng)過程中，是否會(huì)使用加密措施?此外，你還應(yīng)該了解其中所使用的加密類型。例如，DES和AES就有一些重要差別。另外，要保證自己知道是誰在維護(hù)密鑰，然后再簽合約。加密手段一定要出現(xiàn)在云安全問題清單中。

4. 你的數(shù)據(jù)與其他人的數(shù)據(jù)是如何分隔的?

數(shù)據(jù)位于一臺(tái)共享服務(wù)器還是一個(gè)專用系統(tǒng)中?如果使用一個(gè)專用服務(wù)器，則意味著服務(wù)器上只有你的信息。如果在一臺(tái)共享服務(wù)器上，則磁盤空間、處理能力、帶寬等資源都是有限的，因?yàn)檫�有其他人一起共享這個(gè)設(shè)備。你需要確定自己是需要私有云還是公有云，以及誰在托管服務(wù)器。如果是共享服務(wù)器，那么數(shù)據(jù)就有可能和其他數(shù)據(jù)混在一起。

5. 如果出現(xiàn)安全漏洞會(huì)有什么應(yīng)對(duì)措施?

如果發(fā)生了安全事故，你可以從云提供商獲得哪些支持?雖然許多提供商都宣稱自己的服務(wù)是萬無一失的，但是基于云的服務(wù)是極其容易受到黑客攻擊的。側(cè)向通道、會(huì)話劫持、跨站腳本和分布式拒絕服務(wù)等攻擊都是云數(shù)據(jù)經(jīng)常遇到的攻擊方式。

6. 災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃是什么?

雖然你可能不知道服務(wù)的物理位置，但是它們最終都位于某一個(gè)物理位置。所有物理位置都會(huì)面臨火災(zāi)、風(fēng)暴、自然災(zāi)害和斷電等威脅。如果出現(xiàn)這些意外事件，云提供商將有什么的響應(yīng)措施，他們將如何保證自己承諾的不間斷服務(wù)?