16、云服务的管理与安全保障

云服务的管理与安全保障

1. 云服务安全的重要性

在当今数字化时代，云计算已成为企业运营中不可或缺的一部分。然而，使用云模型并不意味着企业可以放弃对自身资产的责任，安全、治理和标准等方面都是至关重要的。对于任何考虑云计算对企业影响的 IT 经理来说，安全始终是首要关注的问题。无论是创建私有云还是利用公共云，都需要制定完善的安全策略，因为没有安全的环境，企业不敢轻易实施云计算。

即使企业已经拥有设计良好的 IT 安全策略，云计算仍会带来不同的安全问题。因此，企业的安全策略必须考虑到这种不同的计算模型，确保 IT 安全策略与云安全策略保持一致。

2. 向云服务提供商提问

在选择云服务提供商时，通过一系列问题来了解其安全措施是非常必要的。以下是一些关键问题：
- 云服务提供商的安全架构和策略是什么？
- 是否使用第三方评估自身安全风险？
- 是否理解治理问题（如跨境数据传输）的责任？
- 与企业的服务级别协议有多全面？
- 是否理解企业的数据保存和保护需求？
- 数据实际存储在哪里，能否保证数据的私密性？
- 是否将企业的数据、应用程序和管理工具与其他用户分离？
- 数据或系统泄露是否有明确的处罚措施？
- 数据可移植性是否是服务的一部分？
- 是否有承诺遵守的安全基线？
- 企业是否可以检查云设施？
- 是否有完善的补丁管理政策和程序？
- 是否有应用级防火墙和其他保障应用或代码安全的工具？
- 能否保护安全信息（如私钥）的私密性？
- 是否提供加密和密钥管理服务？
- 是否有完善的身份和访问管理架构？