跟着企业大数据量的增加，企业关于布置云核算也开端提上了日程。但是，由于企业关于云供货商无法清楚的了解所供给的云服务的安全性，因而，企业有必要在挑选云供给商之前对其进行缝隙评价和浸透测验。

了解云使用程序或云服务背面的状况有时分很困难，但也不全然是这样。对云服务供给商的审计一般先要弄清楚：查看、了解和评价的需求，但一般企业不是依据他们面临的危险来挑选查看云供货商的。

在对云服务供货商进行审计之前，企业要确认好方针，弄清楚你关怀的是什么，你想要维护什么等。假如云服务存储的数据被走漏的话，或许会对企业形成影响，那么应该愈加积极地对供货商进行评价，不然后果不堪设想。合理分配你的时刻、资金和资源，不要将过多时刻(超越必要的时刻)花在评价第三方上，花一些时刻在其他作业上，例如供给更好的安全维护来下降企业危险。请保证涵盖了一切危险点，例如数据中转、存储、评价操控、供货商职工拜访、日志记载、使用程序安全、物理安全和第三方集成等。

不要这样做：不要带着巨大的清单列表和问卷查询来开端审计。咱们都面临过这样的查询表，咱们都厌烦这样的表，没有人想要答复这些繁复的问题，更重要的是，没有人乐意查看答案是否正确。这些问题历来不能精确界说被评价的危险或许服务，反而会糟蹋两边的时刻。开端评价前，先弄清楚第三方的操控状况，企业需求面临哪些审计，企业现已契合了哪些合规规范等。清晰你的方针和重视焦点将可以协助辅导评价进程，特别是在云环境----基础设施和使用程序与传统企业环境中的天壤之别，而且发展迅速。

缝隙评价和浸透测验是验证你的云服务供货商安全态势的***办法。从笔者的经历来看，大多数云服务供货商都欢迎潜在客户对他们的基础设施进行缝隙评价，只要是在商定的时刻范围内，而且他们的团队乐意答复各种问题。有时分也会碰到不乐意协作的供货商，而这种时分也一般意味着你***不要挑选这个供货商。

这些评价关于大多数云服务供货商来说都是有优点的，由于他们没有什么其他信息可以供给给客户来证明他们的服务可以满意严厉的企业安全规范，这是由于许多供货商都是在公共云服务上树立他们的服务，而且企业安全产品并不能与云基础设施***匹配。有没有在云环境中尝试过IPS和全包捕捉呢?假如试过的话，那么你就知道安全清单的IDS/IPS是很难完成的。旁边面提示：在确认一切范围内体系中有必要进行尽职查询，而且验证供货商供给的成果。一些供货商将他们的使用程序保管在更大云供货商的基础设施中，因而，需求进行一些验证进程。这些验证进程并不是最全面的，也并不一定可以处理你重视的问题。对与你相关的部分进行验证，由于你需求承当自己的危险。

在与云供货商协作时，请清晰你的问题，依据本身危险进行评价，最重要的是，要意识到在云环境，咱们的传统办法和程序都不在适用。从企业视点来看，承当云环境中的安全危险是困难的作业，咱们企图证明他们的安全性，但咱们并没有真实需求的资源来满意咱们为企业内部设定的相同规范。即便如此，云服务或许是安全的，有些也或许是不安全的，咱们有必要对其进行查看才干下结论，然后挑选合适自己企业的安全的供货商。

【修改引荐】

1. GSM手机安全，不应忘记的“旮旯”
2. 安全编码规范缺失 移动使用将走向何方?
3. 安全办理规划：提醒要害事务安全晋级
4. 科学家创造电脑安全体系：心率暗码