為了幫助緩解云計(jì)算安全問(wèn)題，企業(yè)希望通過(guò)云計(jì)算合同和服務(wù)水平協(xié)議來(lái)減小其風(fēng)險(xiǎn)，Gartner表示，云計(jì)算安全仍然是企業(yè)公共云部署的主要抑制劑。

但Gartner云計(jì)算安全分析師Jay Heiser表示，在解決安全性、業(yè)務(wù)連續(xù)性和安全控制評(píng)估方面，SLA仍然“不到位”且“不令人滿意”。

他表示：“這方面的問(wèn)題得到了很多的關(guān)注，但我們?cè)诤贤胁](méi)有看到相應(yīng)的改善，特別是在基礎(chǔ)設(shè)施即服務(wù)(IaaS)市場(chǎng)。”軟件即服務(wù)(SaaS)控制“很基本，但正在改進(jìn)中”。

以下是云計(jì)算合同中的一些常見(jiàn)的和專家建議的安全規(guī)定及其效力和在其云合同中的出現(xiàn)率。

客戶按需審計(jì)

這些條款允許客戶審計(jì)供應(yīng)商

有效性：部分有效，取決于供應(yīng)商允許客戶檢查的程度

出現(xiàn)率：有時(shí)候

數(shù)據(jù)刪除證書(shū)

證明當(dāng)服務(wù)過(guò)期時(shí)，數(shù)據(jù)將被刪除。

有效性： 高，有法律保障

出現(xiàn)率： 從來(lái)沒(méi)有

災(zāi)難恢復(fù)

很多供應(yīng)商聲稱，基于云服務(wù)的性質(zhì)，云服務(wù)基本等同于災(zāi)難恢復(fù)，但并不總是這樣，例如，當(dāng)數(shù)據(jù)僅存儲(chǔ)在云供應(yīng)商的單個(gè)位置而沒(méi)有異地備份的時(shí)候，這將會(huì)創(chuàng)造單點(diǎn)故障。

有效性：高，但很難核實(shí)。雖然供應(yīng)商聲稱他們擁有強(qiáng)大的系統(tǒng)，但當(dāng)要求他們提供證據(jù)時(shí)，他們總是有所保留。

出現(xiàn)率： 在合同條款中不常見(jiàn)

停機(jī)保障

當(dāng)出現(xiàn)停機(jī)時(shí)，這將為用戶提供保障或者某種形式的賠償。

有效性： 部分有效。雖然這可能會(huì)對(duì)企業(yè)有所幫助，但這只是一種事后補(bǔ)救措施，不能從一開(kāi)始防止停機(jī)事故。

出現(xiàn)率： 通常在合同條款中可見(jiàn)

加密

有效性： 各不相同。現(xiàn)在有多種加密方法。例如，當(dāng)數(shù)據(jù)到達(dá)供應(yīng)商的云環(huán)境時(shí)，供應(yīng)商才對(duì)數(shù)據(jù)進(jìn)行加密;用戶在發(fā)送到云環(huán)境之前，就對(duì)數(shù)據(jù)進(jìn)行加密，第一種方式更加便宜，但安全性也更低。重要的因素是誰(shuí)存儲(chǔ)加密密鑰以及誰(shuí)能夠訪問(wèn)密鑰，密鑰的副本越多，安全性就越低。請(qǐng)注意密鑰丟失的安全風(fēng)險(xiǎn)。

出現(xiàn)率： 這取決于供應(yīng)商。第三方工具也可以用于提供加密服務(wù)。

評(píng)估

很多企業(yè)使用第三方安全服務(wù)來(lái)檢查其供應(yīng)商的安全控制，例如ISO27001或者SOC1和SOC2審計(jì)。但是，但是在很多情況下，簡(jiǎn)單地報(bào)告其符合這些審計(jì)的供應(yīng)商并不能向最終用戶提供他們需要的信息，以根據(jù)其特定安全需求來(lái)評(píng)估供應(yīng)商的系統(tǒng)。

有效性：據(jù)稱有效率不夠

出現(xiàn)率：常見(jiàn)

針對(duì)安全故障影響的全額賠償

在這種情況下，合同中會(huì)規(guī)定，如果發(fā)生安全泄露事故，供應(yīng)商將負(fù)責(zé)賠償客戶的全部損失。

有效性：理論上很高

出現(xiàn)率： 從來(lái)沒(méi)有

攻擊保障

由第三方或者供應(yīng)商提供保障，這可以幫助客戶彌補(bǔ)安全或數(shù)據(jù)丟失問(wèn)題產(chǎn)生的損失。

有效性： 可能有幫助，但這像停機(jī)保障一樣，并不一定能夠激勵(lì)供應(yīng)商避免事故的發(fā)生

出現(xiàn)率： 很少，但正在增加

協(xié)商安全條款

這允許客戶與供應(yīng)商為某些程序或者數(shù)據(jù)協(xié)商更高級(jí)別的安全水平。

有效性： 可能很高

出現(xiàn)率： 主要針對(duì)大客戶