Evaluando la seguridad del proveedor de la nube

3

Estoy intentando emitir un juicio sobre la seguridad de un proveedor en la nube. Esto es lo que sé:

Proveedor A - PRGMR.COM (no muy conocido pero competente y confiable)

  • Es muy transparente: busca comentarios, honestidad sobre el tiempo de inactividad, etc. (una gran ventaja en mi experiencia)
  • proporciona acceso fuera de banda a través de ssh (las claves ssh utilizadas para la autenticación, el compromiso de las claves de otros usuarios no significa necesariamente el compromiso del sistema)
  • Utiliza software de código abierto (hipervisor Xen)
  • ubicado en los EE. UU.

Proveedor B: Amazon EC2 (un proveedor de nube muy conocido)

  • Ha obtenido la certificación PCI nivel 1
  • ubicado en los EE. UU.

¿Cuál es la probabilidad / riesgo asociado con la infraestructura / consola fuera de banda del proveedor que se está comprometiendo (lo que es más probable? el compromiso de la infraestructura de Amazon o el compromiso de sshd en el hipervisor Xen, también conocido como proveedor B)

Me pondré en contacto con el proveedor A para preguntar sobre sus medidas de seguridad física ...

En papel, Amazon se ve mejor que A, pero debería transparencia & ¿La honestidad triunfa sobre una certificación y popularidad de PCI?

    
pregunta Hilton D 21.03.2012 - 15:22
fuente

3 respuestas

4

Esto puede parecer un poco descuido, pero al final del día depende de las garantías que necesite del proveedor, por lo que debe hacerles las mismas preguntas a ambos, y estas deben ser específicamente sobre qué debe sentirse seguro de que el uso del proveedor no lo expone a más riesgos de los que puede aceptar.

Echa un vistazo a esta pregunta sobre la seguridad de EC2 para obtener un poco de información.

Algunos más:

  • Amazon proporciona servicios a grandes corporaciones, por lo que tenga un gran interés en la seguridad física del centro de datos: si usted puede confiar en esto depende de usted. Las probabilidades de que obtengas una visita guiada son muy escasas.

  • Del mismo modo, no son tan transparentes con respecto a muchas de sus características de seguridad, pero tienen mucho que perder y un presupuesto de seguridad decente, así que han implementado las características que consideran apropiadas para sus clientes.

  • Si necesita un proveedor con certificación PCI (sin importar su valor en el mundo real), Amazon se ajustará a la factura. Si no necesita eso, entonces puede ignorar esa función como casi irrelevante, solo acepte que significa que ha mostrado la protección de los datos de la cuenta suficiente para pasar el PCI-DSS.

  • Los servicios en la nube implican despojar de algún control sobre la seguridad y la disponibilidad. Si tiene un requisito crítico de tiempo de actividad o necesita poder realizar una comprobación inmediata del hardware, es posible que la nube no sea para usted.

respondido por el Rory Alsop 21.03.2012 - 16:32
fuente
1

Depende de sus requisitos [confidencialidad, integridad, disponibilidad] sin embargo, dos grandes recursos generales que he encontrado útiles son:

respondido por el lew 22.03.2012 - 01:03
fuente
1

Debe ver lo que está haciendo Cloud Security Alliance, incluido un registro de proveedores de la nube que han dado fe de su seguridad, que es un paso en la dirección correcta. enlace

Aún mejor, debería solicitar un informe de garantía de terceros, como ISAE3402 o un informe SOC 2, que habrá sido realizado por un tercero independiente.

    
respondido por el Matthew 29.01.2013 - 17:01
fuente

Lea otras preguntas en las etiquetas