我所说的安全,并不是指机器本身以及从网络对机器的访问。我的意思是,我认为这可以应用于任何类型的托管服务,当您将所有知识产权交给托管提供商时,硬盘在循环使用时会发生什么?假设我在软件上投资了数百万美元,我拥有的信息和数据很有价值,我如何确保在回收旧磁盘时不会读取它们?是否有某种标准可以确保提供商使用最严格的知识产权保护形式?SAS70 适用于此吗?
答案1
当你控制了物理环境,你就有能力完全控制环境的安全性,只受限于你的能力和钱包。
在云环境中,情况有所不同——你控制环境安全的唯一方法是通过法律合同。这有好有坏……想想电子邮件。一方面,谷歌或微软不会和你谈判条款,你必须接受或拒绝服务条款。另一方面,一家专业运营的财富 10 强企业拥有运行真正安全环境的资源。
我不是律师,但根据我与律师的交谈,另一个问题是,从法律上讲,许多与数据保管相关的美国法律(即电子取证、传票等情况)都取决于身体的数据的位置。因此,如果您所在的行业存在诉讼问题,您可能需要聘请其他州或国家的律师来处理电子取证。
您需要认真考虑您的要求,对 SAS-70 或其他认证持保留态度。没有标准可以解决所有问题。
我会考虑的事情:
- 您所在的行业是否是诉讼(或劳动仲裁等)常见的行业,或者您的公司是否面临被起诉的风险?
- 您是否在处理敏感数据?PPSI?健康数据?银行数据?商业机密?
- 您是其他人的数据的保管人吗?
- 您的规模是否足够大(或者您的供应商是否足够灵活)来定制合同安排或服务条款以满足您的独特需求?
- 将非敏感数据移动到云端,同时将关键数据保存在其他地方的安全环境中,这是否具有成本效益?
- 您所在的行业是否受到监管?
- 您的客户是否受隐私法或数据泄露披露法的约束?(例如欧盟、美国许多州)
不要害怕,只要确保你了解你需要做什么,以及云环境的含义是什么。在许多情况下,你在云中可能比自己动手更安全!
答案2
如果你在软件上投入了那么多,那就购买自己的服务器,并将它们放在你可以控制的地方。相对于如此规模的开发工作,服务器并不昂贵。
如果您有敏感物品,请将其保存在您可控制的环境中。
答案3
这一切都取决于提供商。如果你只是将机器托管在负责更换硬盘的托管商处,你也会有同样的问题……实际上,情况是一样的,只是有了“云”,你就不必担心实际的硬件了。
给他们打电话询问他们的流程。阅读他们糟糕的服务条款协议,其中绝对涵盖了他们在数据泄露情况下的责任。与你的上级谈谈他们想投资多少,然后做出选择。
我想说大多数大公司都相当可靠,但这真的取决于你的数据有多有价值。大多数人会用“相当好”来形容 BP 的安全记录。
如果其他方法都失败了,您可以在将数据发送给他们之前对其进行加密。
答案4
我建议尝试以两种方式控制它... 在你的终端和你正在使用的托管服务上
[] 在您这边 {最好先从您这边确认}
->(一般)尝试并遵循所有方法来确保你的网络和密码安全
->(具体来说)您在云端托管的所有数据,当这些数据对您来说很敏感时,请尝试在那里存储更多加密数据(在您的终端)...这是您可以确认您的数据安全免受回收磁盘上取证攻击者攻击的一种方法
[] 在另一端
->检查提供的所有加密机制以及加密在所有级别(n/w、hdd)上可用...并确保选择最安全的加密策略