[[173082]]

認證是評估云提供商的安全性的一個很好的起點，但如果用戶想了解其中有多大的風險，就不能只是簡單的照本宣科，必須進行更深一步的了解。

云安全評估和認證旨在幫助企業了解提供商采取了哪些步驟來保護機密信息。不過，雖然安全認證可以給于用戶一定程度的信心，但只靠它們來保證信息安全往往是不夠的。

數據安全仍然是公有云的一大死穴。“緊隨價格之后，供應商提供什么程度的安全性是所有企業在檢驗公有云服務時首先要問的問題之一，”Dan Blum，一家總部設在華盛頓特區的咨詢公司，Security Architects LLC的管理合伙人及***顧問說道。

組織經常會對于將敏感信息從自己的數據中心移到第三方提供商時感到不安。為了緩和這種感覺，企業會先確認供應商已經完成了某種程度的云安全評估，或持有某些認證。這些云安全認證通常由兩部分組成。首先，由一個特設專家小組開發一個框架，概述應該執行哪些檢查來確保護數據的安全。然后，由第三方負責開發具體的流程，以確保這些檢查工作落到實處。

IT安全認證基準

IT安全性是很復雜的，因此，這些年來，來自許多不同的組織開發的框架便應運而生。當企業想評估云提供商的安全性時，往往會從審核業務標準16的報表開始，據Pete Lindstrom，總部設在馬薩諸塞州Framingham的分析公司，IDC的安全研究副總裁表示。

美國注冊會計師研究所制定了該規范，它定義了服務提供商應該如何部署安全控制。該規范產生三份報表：服務組織控制(SOC)1側重于財務報告;SOC 2報表則評估安全性，可用性，過程完整性，廠商內部系統的保密性和隱私性;而SOC3報表所描述的信息與SOC2相同，但是旨在面向一般受眾，而不是特定方。

國際標準化組織(ISO)和國際電工委員會(IEC)兩大組織共同合作，制定了第二個標準。ISO 27001規范側重于信息安全管理體系而ISO 27002描述了系統控制。

云安全評估和認證

前面所提的標準沒有針對云和傳統本地系統的安全性進行區別對待，但是，近來專為云所設計的安全評估和認證開始崛起。例如，國家標準和技術研究所特別出版物-500的規范概括了云計算在美國聯邦政府中的作用。該文件涉及了云運營、管理和安全問題。

垂直標準初具規模

除了水平的標準之外，在評估云服務提供商時，還可以了解以下行業認證：

• 健康保險可移植性和責任法案是用來保護個人醫療信息，主要是在美國。
• PCI-DSS保障消費者信用卡付款信息。
• FedRAMP監控政府數據并提供了標準的方法來進行安全評估，授權和云服務的不間斷監測。

信息保障框架是由歐洲網絡信息和安全局開發的，目的是關閉網絡和信息安全漏洞。

成立于2008年12月，云安全聯盟(CSA)是為采用云計算的企業提供指導的聯盟。該組織的云控制矩陣包括了能幫助未來云用戶評估云提供商整體安全風險的原則。該組織的安全，信任和保證注冊(STAR)的評估和認證過程提供三個等級的云安全認證：1級是由供應商進行自我評估;2級是由第三方所做的供應商評估;而3級則是基于持續不斷的安全檢測，而不僅僅是一次性的檢查。

買家當心

云供應商所持有的各種標準和認證常常附帶一些額外條件。首先，他們無法提供一些企業所想要的牢不可破的保證;而認證只提供了提供商在安全檢查方面的高層次概述。

第二，這些規范本身只在高層次起作用。例如，某認證可能要求企業部署強大的身份認證系統，但卻不強制該組織使用生物識別技術。

第三，這些標準經常有重疊的部分。例如CSA STAR 1級認證的一部分，是基于SOC2的要求，而CSA的2級認證則使用了部分ISO/IEC 27001的標準。

***，認證的過程是費時和昂貴的。因此，舊的認證便在云服務提供商之間得到越來越廣泛的采納。“許多大型云服務提供商都通過了流行的認證，”Lindstrom說道。

部分認證接受度低

新的云安全認證的數量還很少;只有大約20家云供應商已經公開聲明，他們完成了CSA STAR的自我評估，30家第三方廠商可以提供2級認證，根據Jim Reavis，CSA的聯合創始人兼CEO表示。

小型，利基市場或初創云提供商可能缺乏認證。“客戶必須確定他們對于所提供服務的需求勝過任何潛在的安全風險，”Blum說道。

請記住，云安全評估和認證并不是一個供應商安全態勢的完整體現。Blum表示，想要充分了解你的供應商如何實現其安全流程，以及這些流程是否足夠，企業需要仔細閱讀各種報告。這些報告通常不會在一個云提供商的網站上發布，所以用戶必須做一些功課才能找到這些信息。