对云提供商的安全要求

　　对某些人来说云是改变他们工作方式的绝好机会。而对另外一些人来说，云更像是一团模糊的概念。虽然我是云服务的一位粉丝，但是也不能盲目的选择云。如果你有云服务要转售，你需要询问云提供商的安全性。

　　独立的云审计

　　根据SAS70(由美国会计师协会AICPA制定，针对金融服务机构向客户提供服务的内部控制、安全保障、稽核监督措施的审计标准)，云信任，云审计或其他云审计标准，你选择的提供商应该能够向你展示云性能和安全数据。

　　你当然不要期望提供商透露它们工作中的每一个细节，因为这对它自身会造成安全威胁。但你能得到一份综合性报告，从业务角度提供内容提要，调查结果和修复方法。

　　如果企业出于法律和审计的目的需要其他细节，你的提供商应该能为你定制报告。如果你还需要额外细查，你可以询问他们是否可以提供整体的独立漏洞评估。但这种方式是要支付额外费用的。

　　云安全：知识产权

　　在任何云服务的中心，多种刀片服务器运行的虚拟机数量惊人。这些机器很有可能共享你的信息。所以要知道这种环境是否能满足你期望的安全级别和有效性。高安全性的虚拟机必须配对在一起，额外的安全控制要超过标准的安全配置。

　　生命周期管理和跟踪元数据

　　不光你的信息安全需要担心，同样要担心的是在它们附近的元数据。如果收到攻击，你可能需要提供电子证据来说明发生的事情，像访问时间和登录凭据这样的元数据。

　　除此之外，还应该知道当不需要虚拟机时，如何销毁它们。因为它们很有可能仍有信息。一个安全清单和虚拟机永久消除方案会让你晚上睡得更踏实些。

　　云安全：物理安全

　　不可否认，我有点偏执，也许云提供商的物理数据中心站点会质疑：“难道我这没有员工来控制么?”但是设施越简单越好。在数据中心，关键任务系统必须物理分离并且有物理访问控制。

　　你负责什么安全控制?

　　一旦你将业务流程放到云里，并不意味着你没有安全责任。你得清晰地知道你和提供商各自的职责。

　　本文当然不是一个全面的清单，但还是有一些发人深思的东西。严谨的云提供商当然明白这些，他们可以提供上面大多数的信息。而那些没法提供的也不是你要找的云提供商。