摘要
在本文中，专家们分享了在研究和使用云服务时所有企业应该关注的安全性问题。

云服务商与云租户责任如何划分？

“我认为你应该像建立社交关系一样梳理云服务商和客户之间的关系，”

Mike Santimaw表示。他是一家信息安全、创新实验室和租赁中心公司负责解决方案的副总裁。该公司一直致力于开发无服务器架构，并与AWS (亚马逊云服务，以下简称AWS)合作，同时他还表示：

“我们必须检查相当多的安全控制措施，而且围绕AWS的职责进行开诚布公的对话至关重要。”

Gartner的Judd解释说，云服务商和他们的企业客户之间存在着共同的责任，他指出，一些安全控制是由提供者实现的，有些是由客户实现的，有些则是在两者之间共享的。例如在配置身份和访问管理（IAM）时，云服务商将允许客户访问他们的云订阅，组织将实施控制，让员工和涉众访问环境中的数据。

在云服务环境中，云服务商能够提供哪些安全措施？

Florescu解释说，IaaS、PaaS、SaaS是不同的云消费模式，对于云中消费的某些服务、某些安全流程将不得不进行调整。每个企业上云时所采取的安全措施是不相同的。

例如，如果您从IaaS提供商处租用虚拟机，那您需要自己负责加固系统。 如果您正在租用SaaS服务，服务商的工作是提供补丁更新并确保您正在使用的产品中包含最新的安全更新。

Florescu表示，从SaaS、IaaS到PaaS，安全流程有些不同，但是有些安全策略在云上是保持一致的。一般来说，组织应继续使用基准安全流程，让他们随时了解自己的安全环境，以及他们在内部环境中使用的相关流程。

我的安全团队需要怎样的培训？

Judd表示，在云中实施安全控制与保护内部系统类似，但有不同之处。您的安全团队需要知道如何应用适当的控制措施，或与第三方提供商云访问安全代理、云工作负载保护平台（Cloud Workload Protection Platform，简称CWPP）合作，以更好地保护存储在云中的数据。

“云服务商并不像内部部署环境那样实施安全措施，甚至没有像其他云服务商那样实施安全性，”他继续说道。“了解这些差异对于确保所有数据得到妥善保护至关重要。”

与云服务商合作时，询问他们是否提供了可帮助员工更好地理解和管理云安全的培训。Rent-A-Centre的Santimaw指出，在整个公司的转型过程中，安全团队与AWS密切合作，确保他们使用正确的服务并获得正确的培训。

Alert Logic公司产品创始人兼高级副总裁Misha Govshteyn说：“培训不限于初始云基础功能; 您应该确保员工了解添加到云中的新工具和新功能。例如，AWS就会定期更新新功能，由于开发团队首先采用新服务，因此安全团队经常会知道何时可以使用新服务”。

“我们的内部安全团队是否充分发挥技术能力？我如何让我的团队了解情况？我如何确保您提供的一切都得到充分利用？” 他列出一些公司常见问题。

其他企业在数据安全方面犯了什么错误？

在过去的一年里，云的错误配置已经损害了Booz Allen Hamilton, Dow Jones & Co.， Verizon Wireless, Time Warner Cable, WWE和Alteryx的数据。所有这些信息都在Amazon Simple Storage Service （以下简称S3存储系统）存储系统中提供。它们都应该作为其他使用云服务或企业上云时应该借鉴的经验。

Florescu说:“从他们的角度来看，企业应该在如何确保特定服务的安全方面做得更好。”在S3存储系统中，基于角色的访问控制完全掌握在客户手中。错误配置造成了非常令人关注的事件。

“在公共区域S3存储系统的默认配置是被锁定和加密的”，Judd补充道。“在组织的配置过程中，在某些时候，默认的安全性被关闭并暴露他们的数据。”

如果您了解您的特定云提供商如何实现安全控制，那么您的安全团队在无意中降低或删除将保护您的托管数据的控件的风险就会降低，Judd补充道。

云环境对企业的可见度有多大？

无论您使用的是SaaS，IaaS还是PaaS，企业应该关注的是对云环境对企业的可见性有多大。Govshteyn说，这个问题随着云使用的增长变得越来越复杂，也越来越重要，信息安全官必须了解多个环境中部署的应用和变化。

几年前，云计算非常集中化，IT部门总是负责部署基础设施。他解释说，现在已经完全不同了。因为他所在的公司使用来自亚马逊、微软和谷歌的云服务，他说云计算的集中化导致IT部门并不知道应该部署什么，什么时候部署，而且安全团队甚至不知道部署了什么。这种复杂性使得IT人员很难知道谁对生产环境做出了改变，这些变化代表了什么，以及它们是否符合公司安全策略。

可见性问题因您的云服务商规模而异。较小的服务商通常会降低可见性。较大的服务商则提供了很多，这意味着他们的客户负责管理并存储海量数据。

“挑战不在于他们提供什么，而在于企业是否能够利用这些数据并使其发挥作用，”Govshteyn说。

第三方评估让你知道差距在哪里？

第三方评估可以帮助企业确定哪些安全控制措施已经实现，以及检测安全漏洞是否依然存在，Judd解释说。一旦您知道了控件的位置，就可以关注需要采用的控制措施，以及那些与云服务提供商共享的控件。

他说:“和通过第三方安全评估的云服务商合作，将使组织有的放矢，将工作重心放在数据安全的高风险领域。”

安全团队对他们的数据进行分类也是很重要的，以便确定采用哪种程度的保护措施。虽然所有数据对日常运营都有着各自的价值，但与企业声誉相关的重要数据是需要重点保护的。

Judd说:“通过在数据分类程序中识别这些差异，可以让组织更好地了解它们最重要的数据资产的位置，并允许它们实现适当的安全控制，以保护云中的信息。”

原文链接：https://www.darkreading.com/cloud/6-questions-to-ask-your-cloud-provider-right-now/d/d-id/1331189?image_number=1