Valutazione della sicurezza del provider di servizi cloud

3

Sto cercando di esprimere un giudizio sulla sicurezza di un fornitore cloud. Questo è quello che so:

Provider A - PRGMR.COM (non molto conosciuto ma competente e affidabile)

  • È molto trasparente - cerca feedback, onesto sui tempi di fermo, ecc. (un grande vantaggio nella mia esperienza)
  • fornisce accesso fuori banda tramite ssh (chiavi ssh utilizzate per l'autenticazione, compromissione delle chiavi degli altri utenti non significa necessariamente compromissione del sistema)
  • Utilizza software open source (hypervisor Xen)
  • situato negli Stati Uniti

Provider B - Amazon EC2 (un provider di cloud molto noto)

  • Ha ottenuto la certificazione PCI livello 1
  • situato negli Stati Uniti

Qual è la probabilità / rischio associato alla console / infrastruttura fuori banda del provider che viene compromessa (che è più probabile - compromissione dell'infrastruttura di amazon o compromissione di sshd sull'ipervisore Xen alias provider B)

Contatterò il fornitore A per chiedere informazioni sulle misure di sicurezza fisica ...

Sulla carta Amazon sembra migliore di A, ma dovrebbe essere trasparente e amp; l'onestà supera la certificazione e la popolarità del PCI?

    
posta Hilton D 21.03.2012 - 15:22
fonte

3 risposte

4

Questo può sembrare un po 'fuori tempo, ma alla fine della giornata dipende dalle assicurazioni di cui hai bisogno dal fornitore, quindi dovresti chiedere ad entrambe le stesse domande - e queste dovrebbero essere specificamente su cosa hai bisogno di sentirti sicuro che l'utilizzo del provider non ti espone a rischi maggiori di quelli che puoi accettare.

Dai un'occhiata a questa domanda sulla sicurezza EC2 per un po 'di informazioni.

Altri ancora:

  • Amazon fornisce servizi alle grandi aziende, quindi ha un interesse particolare per la sicurezza del data center fisico: se puoi fare affidamento su questo dipende da te. Le probabilità che tu abbia una visita guidata sono piuttosto ridotte.

  • Allo stesso modo, non sono così trasparenti su molte delle loro funzionalità di sicurezza, ma hanno molto da perdere e un budget di sicurezza decente quindi hanno messo in atto le funzionalità che ritengono appropriate per i loro clienti.

  • Se hai bisogno di un fornitore certificato PCI (indipendentemente dal valore che meritano nel mondo reale), Amazon si adeguerà al progetto. Se non ne hai bisogno, puoi ignorare questa caratteristica come quasi irrilevante: accetta solo che ciò significa che hanno mostrato protezione dei dati dell'account sufficienti per passare PCI-DSS.

  • I servizi cloud comportano la cessione di alcuni controlli sulla sicurezza e sulla disponibilità. Se hai un requisito di tempo di servizio critico o devi essere in grado di effettuare un controllo in loco dell'hardware, il cloud potrebbe non essere adatto a te.

risposta data 21.03.2012 - 16:32
fonte
1

Dipende dai tuoi requisiti [riservatezza, integrità, disponibilità] tuttavia due grandi risorse generali che ho trovato utili sono:

risposta data 22.03.2012 - 01:03
fonte
1

Dovresti dare un'occhiata a ciò che sta facendo la Cloud Security Alliance, incluso un registro dei fornitori di servizi cloud che si sono auto-attestati alla loro sicurezza che è un passo nella giusta direzione. link

Ancora meglio dovresti chiedere un rapporto di assurance di terze parti come ISAE3402 o un rapporto SOC 2 che sarà stato fatto da una terza parte indipendente.

    
risposta data 29.01.2013 - 17:01
fonte

Leggi altre domande sui tag