Estoy intentando emitir un juicio sobre la seguridad de un proveedor en la nube. Esto es lo que sé:
Proveedor A - PRGMR.COM (no muy conocido pero competente y confiable)
- Es muy transparente: busca comentarios, honestidad sobre el tiempo de inactividad, etc. (una gran ventaja en mi experiencia)
- proporciona acceso fuera de banda a través de ssh (las claves ssh utilizadas para la autenticación, el compromiso de las claves de otros usuarios no significa necesariamente el compromiso del sistema)
- Utiliza software de código abierto (hipervisor Xen)
- ubicado en los EE. UU.
Proveedor B: Amazon EC2 (un proveedor de nube muy conocido)
- Ha obtenido la certificación PCI nivel 1
- ubicado en los EE. UU.
¿Cuál es la probabilidad / riesgo asociado con la infraestructura / consola fuera de banda del proveedor que se está comprometiendo (lo que es más probable? el compromiso de la infraestructura de Amazon o el compromiso de sshd en el hipervisor Xen, también conocido como proveedor B)
Me pondré en contacto con el proveedor A para preguntar sobre sus medidas de seguridad física ...
En papel, Amazon se ve mejor que A, pero debería transparencia & ¿La honestidad triunfa sobre una certificación y popularidad de PCI?