签订云服务合同前必须知道的5件事

云服务可以为企业节省巨额资金，在许多企业眼里是未来IT的发展方向。但是，人们在签订有关服务合同时要睁大眼睛，在将数据交给云服务提供商之前必须知道5件事。

1、审计云提供商的权利

许多默认合同并不为你提供恰当审计你的云服务的权利，或在一些案例中根本不提供审计云服务的权利。你必须确保你拥有和在你自己的数据中心里一样的审计权，至少要提出这个要求。但真实的情况是你可能最后得到某种略低于期望值的审计权利。一定要询问云提供商“在每个人都具有同样的审计权的多客户环境中将如何控制隐私”。你必须确保你的服务与其他人的服务恰当隔离，使他们不能审计你。应当知道目前没有审计云服务的专有或公共规定。我们需要一个可信第三方，这个第三方为我们完成这种审计，使我们可以比较类似的云服务的安全性。在没有出现可信第三方之前，我们所有人都必须各自为战，争取我们渴望在合同中得到的审计权。

2、数据隐私问题

在几乎所有情况下，只要你使用IaaS(基础设施服务化)或PaaS(平台服务化)服务，就应当加密你的数据。还要确保不把密钥服务器放在云中，因为这会使加密失去作用。把密钥服务器放在你的企业站点中，或其他与云提供商无关的站点中。为什么要加密你的数据?简单地说，当你转移数据时，“它还是你的数据吗?”这个问题是你不得不考虑的事情。

云提供商时刻面临着执法传票、侦察和数据查封活动的威胁，而这些威胁是你在自己的数据中心中通常不会遇到的。把数据转移到云服务，很可能减弱了避免执法部门和民事原告搜查你的数据的保护。附带言论禁止令的搜查证意味着你的云提供商必须提供你的数据，而无须通知你他们的所作所为。由于搜查证是签发给云提供商的而非签发给你的，因此反对搜查的能力也受到限制。云提供商在遵守法庭命令交出数据的同时，并没有必须通知客户的法律义务。

在一个案件中，FBI查封了设备代管提供商的服务器资产。在这个过程中，50多家公司因为它们的数据与FBI的目标混在一起而关闭。当其中的一家受影响的公司向法院起诉时，德州法院裁决FBI有权这样做。

3、数字取证

云提供商一般不愿意帮助客户进行有系统的数字取证。如果你遭遇泄密事件，数字取证将成为发现这次泄密将造成多大损失的关键。多个州和地方政府都制定了“泄密通知”法，此外，医疗保健高科技法和PCI要求你向客户通告泄密事件。根据泄密事件的大小，通知方法有时会不同。应该确保你签署的合同写明了云提供商必须为你提供必要的数字取证。监管链也是个问题。要确保你的云提供商不会减弱你起诉罪犯的能力。一定要询问他们是如何处理日志和其他重要信息的。

4、渗透测试

渗透测试在云提供商的默认合同中通常是禁止的。但是，这是PCI和大多数安全政策的要求。这对于云提供商是个棘手的问题。一方面，他们希望为客户提供这种能力，而另一方面，提供这种能力如果使用不当的话可能给他们的系统和其他客户造成损害。几家大型云提供商，如Amazon和Google，让客户扫描他们自己的设备和服务。这是向前迈出的良好的一步，但仍缺少扫描云提供商基础设施的能力。你应当在合同中要求这种能力或相当的能力(如来自扫描服务的可信第三方的定期报告)。

5、自然灾害和合同终止问题。

一定要询问云提供商他们如何处理以下问题：

自然灾害清理。一个常常被忽视的问题是云提供商在自然灾难发生时和发生后如何保护你的数据。例如，如果一场飓风袭击并摧毁他们的数据中心，他们保护你的数据安全的程序是什么?在许多案例中，暴风雨会让物理访问控制失去作用，在最坏的情况下，服务器可能会散落到站点的各处。他们必须向你出示在清理工作中保证站点和你的数据安全的全面计划。你不会希望由志愿者来清理这些服务器。

合同终止时将会删除有关数据，但你可以验证数据确实被销毁了吗?关于在合同终止时如何安全处置客户的数据，云提供商已经做得越来越好，但你仍然必须询问或查看你的合同，确保合同满足你的需要。云提供商最好物理销毁硬盘或执行得到批准的国防部消磁程序。