如何选择您的云服务提供商

选择合适的云服务提供商以信任您的基础架构,关键应用程序和敏感数据可能是一个困难的过程。这些准则可以帮助您做出正确的选择。

现在,许多组织已经走到尽头,将自己的脚趾浸入了云计算的浅层末端,并且更多的组织正在考虑进行测试。其他组织已经双脚跳入云端。但是,无论您是涉足还是完全沉浸在其中,正确审查云服务提供商都是至关重要的。

IT行业协会CompTIA最近进行的一项研究发现,即使许多组织都担心云中数据的安全性,但仍有少数公司在达成交易之前对其云服务提供商进行了全面审查。

CompTIA研究副总裁蒂姆·赫伯特(Tim Herbert)表示:“尽管存在一些担忧,但在研究中只有29%的公司表示他们对云服务提供商的安全实践进行了详尽或全面的审查。”

MSPAlliance的联合创始人兼总裁Charles Weaver说,这是一个错误,MSPAlliance是一个拥有15,000名成员的强大组织,是托管服务提供商(MSP)的认证和标准机构。

“我们现在最主要的担心是,我们看到许多新的服务提供商实体进入市场,他们对如何构建和提供服务的态度几乎松懈,” Weaver说。 “它们似乎主要在云计算方面。”

Weaver解释说,这些服务提供商倾向于分为两个阵营:处于SMB端的组织将其自身视为端对端解决方案的提供商,但实际上是经销商,或者不知道MSP建立的标准的服务提供商在“云计算”这个术语诞生之前很久。

Weaver表示,考虑使用云服务提供商的组织应注意三件事:

  1. 相信。他说:“他们必须信任他们。” “这是通过亲和力实现的。您必须喜欢公司,要与之合作的原则以及与之共事的人。这是一种非常亲密的关系。必须相互尊重和信任才能一起工作。”
  2. 技术专长和理解。云服务提供商必须精通其技术并了解您的业务。 Weaver说:“他们必须了解您要做什么,并将其与他们的技术专长相匹配。” “如果您是一家银行的CIO,并且需要将IT的某些战略要素外包,那么您的MSP需要了解两家银行以及您打算外包的一切。”
  3. 第三方合规性审核。云服务提供商需要能够证明自己能够兑现自己的承诺。 Weaver说:“与管理公司和最终用户的敏感数据相比,在这个世界上,您需要进行更多的审查和持续的法规来削减头发。”尽管他不认为更多的政府监督将对云服务领域有所帮助,但他确实相信组织应该通过审核来验证其提供商的能力。

那么,您在审核中应该期待什么呢? MSPAlliance为云和托管服务提供商提供了统一认证标准(UCS)。它要求服务提供商在颁发认证之前遵守11个控制目标。组织可以使用UCS控制目标作为对供应商应了解的指南。控制目标如下:

  1. 提供者的组织,治理,计划和风险管理。提供者必须证明其具有正式的管理结构,包括组织结构图,风险评估政策,用于分析第三方服务提供者和供应商的正式流程以及提供适当职责分离的组织结构。
  2. 文件化的政策和程序。提供者必须证明文件化的政策和程序,每年进行审查和更新。必须要求员工证明并签署他们理解并遵守政策和程序的规定,新员工必须接受正式的培训方法以对标准进行教育和测试。
  3. 服务变更管理。提供者必须在正式的变更控制下拥有服务变更管理文档。 MSPAlliance建议文档(如果适用)包括容量规划以及对提供者和客户端配置的修改。该认证还要求基于提供商所提供给客户的服务水平,记录客户变更管理策略。
  4. 事件管理。提供者必须能够访问网络操作中心(NOC),该中心配备有训练有素的人员,能够提供必要的监视和管理,以识别和解决提供者与客户之间的服务水平协议(SLA)涵盖的问题或事件。此外,提供者必须能够证明问题管理系统的存在,该问题管理系统包括与其监视/管理系统集成在一起的帮助台和票务平台。另外,提供者必须能够证明其定期对其事件报告进行内部审查。
  5. 逻辑安全性。必须根据既定的政策和程序授予用户对提供者和客户的信息系统和数据的访问权,并且必须根据既定和成文的政策和程序撤销对重新分配或解雇的员工的访问权限。提供者必须显示文件化的控件,用于用户对信息系统和数据的身份验证,包括密码策略和高层管理人员审查。内部和远程访问都必须存在控件。此外,提供商必须具有管理员ID的书面政策,而卖方和第三方访问策略也要书面记录并接受高层管理人员的审查。这适用于对运营和数据中心以及信息系统和数据的物理访问。此外,提供者必须对提供者或客户信息系统进行第三方评估。
  6. 更换管理层。认证要求提供者证明其已记录并正式制定了对信息系统进行变更的变更管理政策和程序,包括在实施之前进行变更的请求,记录,批准,测试和接受的正式流程。提供者还必须表明紧急变更正在正式审查过程中。
  7. 数据的完整性。提供者必须证明其具有有效运行的足够的信息安全策略和过程。这些政策和程序必须每年进行审查,更新,批准并与提供者的人员进行沟通。这包括数据备份和保留策略。
  8. 物理和环境安全。提供者必须具有文件化的政策来管理对其IT资产的物理访问,包括适用设施中的访客/访客日志。它还必须显示每个设施的安全控制,包括卡密钥,CCTV,现场安全和其他有效的安全控制。提供者必须显示记录在案的控件,以控制已终止雇员和那些变动职位对提供者和客户设施的访问。供应商必须出示文件记录的策略,以对其在其设施中维护的主机托管硬件进行物理访问,并且必须每年在每个设施中执行物理安全评估,包括跟踪和解决评估期间发现的所有问题。此外,必须使用由维护合同提供服务和测试的环境保障措施,保护其NOC和数据中心免受破坏性事件的影响。 NOC必须在连接性和电源方面都具有有效的冗余,包括已记录的灾难恢复/业务连续性计划。
  9. 服务等级协定。提供者必须能够证明它与客户端一起使用了签名的SLA,并且存在足够的控件来跟踪和监视提供给客户端的服务。控件还必须跟踪对提供商系统中客户设置的修改。
  10. 客户报告,账单和满意度。提供者必须能够证明它已根据签署的SLA(包括发票)向客户提供绩效报告。另外,提供者必须具有经过验证的参考。
  11. 财务健康。提供者必须能够证明其财务状况稳定,健康,并且至少在过去六个月中表现出了盈利能力,或者提供者必须具有足够的资本来证明没有盈利能力时的稳定性。它还必须显示其收入在多个客户之间的充分分配。

托尔·奥拉夫斯鲁德(Thor Olavsrud)是《 首席信息官.com。跟随他@ThorOlavsrud。

版权© 2012 IDG通讯,Inc.