围绕云计算的喧嚣可能会让你以为，明天就会发生大规模采纳云计算的事情。然而，来自多方面的研究已经表明，安全是阻碍大规模采纳云计算的最大障碍。现实的情况是，云计算不过是沿着主机、客户机/服务器和Web应用等技术演变路径自然而然的又一阶段而已，所以它也和其他所有阶段一样，都有它自己的安全问题。

　　当然，对安全的担忧并不能阻止对这些技术的使用，也不能阻止对于能够解决实际业务需求的云应用的采纳。为了确保云是安全的，需要将其作为技术的下一步进化来对待，而不是将其视为一次需要彻底改变安全模式的革命。安全的策略和程序需要针对云模式进行调整，以便对云服务的采用做好准备。和其他的技术一样，我们看 到一些早期用户通过带头部署私有云或者在公用云中试验一些非关键性的应用而逐步打消了人们对于云模式的不信任。

　　企业和组织会询问很多问题，并权衡使用云计算解决方案的利与弊。安全性、可用性和可管理性都是需要考虑的因素。本文所说的是组织应该考虑的10个和安全相关的问题，回答这些问题有助于企业和组织能够对是否需要部署云作出决定，而且，如果需要部署的话，究竟应该采用哪种云模式——私有云、公用云还是混合云？

　　1.云部署会如何改变企业的风险管理？

　　部署云计算——无论是私有云还是公用云——都意味着你不再能够完全控制环境、数据或者人员。控制上的变化会带来风险管理上的变化——在某些情况下风险会增加，而在另一些情况下风险可能会降低。某些云应用对你来说会完全透明，而且能提供高级报表功能，并且能够与企业现有的系统进行集成。此类应用会降低企业的风险。而另外一些云应用或许无法改进其安全配置，无法与企业现有的安全措施相匹配，因此有可能使安全风险变大。总而言之，企业的数据及其敏感级别将会最终决定应采取哪类云模式才是合理的。

　　2.需要做些什么才能确保现有的安全策略能够接纳云模式？

　　向云模式的迁移是改进企业整体安全状况和安全策略的一个机会。云应用的早期用户将会发挥影响作用，帮助推动由云提供商实施的安全模式。企业不必为了云而去创 建新的安全策略，而是应该扩展现有的安全策略去容纳新增加的云平台。为了部署云而去修改安全策略，需要考虑的其实是一些和以前一样的因素：数据存放在哪儿，如何保护数据，谁能够访问数据，遵从哪些监管条例，以及服务等级协议等等。

　　3.云部署会损害企业的法规遵从能力吗？

　　云部署会改变企业的风险状况，因而可能会影响到企业适应各种法规遵从的能力。这就要求在合规性需要与云部署相关联时，需要重新评估合规性需要。有些云应用有很强的报表功能，可加以剪裁以适应特殊的合规性需要，而有些应用比较通用，不太可能或者不能适应详细的合规性需要。举例说，如果某个国家的法规规定，企业的数据不得存放在国境之外，然而有些云提供商由于其数据中心的位置有可能无法满足这一法规的规定。

　　4. 云提供商是否在使用某种安全标准（SAML、WS-Trust、ISO或其他）？

　　在云计算中，标准发挥着非常重要的作用，因为各种云服务之间的互操作性对于确保云不会陷入专利的安全孤岛来说是至关重要的。有不少的组织已经创建并扩展了支持云的各种标准倡议。Cloud-standards.Org列出了和云计算有关的大多数标准组织，其中也有和云安全标准相关的组织。

　　5. 如果发生数据泄漏该如何处理？

　　当企业在规划云安全时，必须要正确地制定好防止数据泄漏和数据损失的规划。这一点在企业与云服务提供商签署整体协议时是至关重要的一点。云提供商和企业双方都应该制定数据泄漏告知政策或者必须遵从的监管规则。企业必须敦促云提供商在一旦有需要时能够支持企业的告知需要。

　　6. 在保障企业数据的安全时，谁是责任方?或者谁应被视为责任主体？

　　在实际情况中，安全责任将是双方共担的。然而在公众舆论的法庭看来(至少今天是如此)，是企业而不是云提供商负责收集数据，因此只有企业应被视为信息安全的最终责任人。如果企业与云提供商之间的协议签的滴水不漏，或许企业可以少负些责任，和云提供商责任共担，但是从企业客户的角度来看，企业仍然会被认为是最终责任人。

　　7. 如何保证只有适当的数据存入云中？

　　企业必须清楚哪些数据时敏感数据，依据数据和应用的关键与否来构建适当的安全模式，这对于了解哪些数据可以存入云中是非常重要的。这个过程应在考虑云部署之前很久就开始着手，因为这是良好的安全行为的关键部分。很多企业使用数据泄漏防范技术来分类和标记数据。

　　8. 如何保证只有经过授权的员工、合作伙伴和客户才能访问数据与应用？

　　身份管理和访问管理是早已存在的安全挑战，这种挑战在云部署中会被放大一些技术性功能，如联邦制、安全虚拟化系统和预配置等都在云安全中发挥着作用，就像它们在今天的IT平台上发挥的作用一样。扩展并补充企业的现有环境去支持云部署，将有助于解决这一问题。

　　9. 如何托管企业的数据与应用，怎样的安全技术才是适当的？

　　云提供商应当提供这方面的信息，因为它会直接影响到一个组织遵从法规的能力。透明是重要和必须的，因为这可以让企业基于对情况的了解而做出决策。

　　10. 企业可通过哪些因素去了解和信任云提供商？

　　在评估一家云提供商的信任等级时，有很多的因素可以考虑。这其中有很多因素和企业在考虑外包合同时所考虑的因素是相通的，比如：提供商及其服务是否成熟；合同的类别、SLA、漏洞程序和安全策略；提供商的业绩记录;是否具有前瞻性的战略等等。

　　向一种新的计算平台的迁移绝非一件不加慎重考虑便能做决定的事情。对这些问题的答案是复杂的，通常还会引出更多的问题。本文也只是触及了再考虑云平台时的一些有关安全的浅层次问题而已。

　　另外，企业还应当了解到，他们有能力去推动云中所用的安全技术的发展。应当明了，云的消费者可以、应该，并且会期待着他们负起安全责任来，从而使云成为一个真正能够节约成本，提高生产率的安全的平台。

云安全
 信息安全的出路“云”中来
 云安全是否可以给局域网带来安全？
 云计算：出了问题该找谁
 方滨兴院士：云计算仍存安全隐患
 公共云计算彼端的数据能否得到有效保护？
 虚拟化、云计算发展受安全困扰
 Gartner：安全领域正面临云革命
 云计算怀疑论：IT安全和法规遵从问题
 关于云安全的五点经验
 云计算和应用安全所面临的问题与风险
 IBM：2010年三大安全趋势 黑客也用云计算
 分析报告：云端运算风险到底有多大？
 “隐私权”挑战CIO：云计算利弊并存
 下一代防火墙在“云”中？
 思科：下一代防火墙进入云时代
 安全专家：用云计算破解无线网络
 PaaS云计算服务中常见的威胁及处理方法
 云计算正流行：你来应用 谁当保安
 评论：云计算是网络噩梦还是虚拟保镖
 操作系统让IaaS云计算服务暴露在危险之下
 云计算一道坎：如何保证云数据安全
 云安全：2010年=云计算僵尸年？
 云计算安全漫谈之PaaS阴暗面
 FTC对云计算隐私保护和安全性展开调查
 如何安全地使用IaaS云计算服务？
 虚拟化让云计算面临新的袭击
 微软首席法律顾问呼吁云计算立法
 如何确保云中的数据安全？
 云安全：进入云之前必须弄清的10个问题
 2010年IT安全形势:云计算面临更多威胁
 公共云中能否遵守PCI标准？
 从虚拟化和云计算来看IT安全的两大疑惑
 分析：谷歌Buzz出现的问题或影响云计算前景
 云计算渐成潮流 安全性是主要障碍
 IBM设计超安全专用云计算 为美军介绍开支
 亚马逊酝酿推出可管理加密服务 云安全问题已经解决？
 分析：真正威胁来自内部云
 云安全3.0为云计算提供安全防护
 数据中心成为云安全市场的决胜法宝
 云计算来袭 多方谋攻拨云安全迷雾
 云计算之难 全球四大顶尖安全公司各抒己见
 Terremark vCloud Express经历断电事故 用户表示不满
 安全第一 寻找云计算的“拆弹部队”
 微软等厂商高管谈云安全难题
 细数云安全之七宗罪
 75%受访者称云计算效果低于预期 安全最关键
 安全是云计算的一块短板
 云计算安全如何保障？
 解析“云”火墙
 云安全服务浮出水面
 畅谈云计算的真正威胁来自何处
 工信部何宝宏：云计算可能让密码学崩溃
 云计算：凭什么让我相信你
 软硬件厂商联手打造更安全的云计算平台
 Novell和Verizon联手推行云安全管理服务
 实施云计算难题待解：安全最受关注
 云安全联盟CSA：七个致命安全风险
 云计算数据保护模式应该引入第三方保障
 各种云计算模式是把鸡蛋放在同一篮子里吗？
 保卫云端：解析云计算时代的安全视角
 RSA观察：云安全工具曲折中发展
 部署云计算前需要注意的10个问题
 耕云播雨:安全最重要
 云安全两大误解：公有云和私有云谁更安全？（上）
 云安全两大误解：公有云和私有云谁更安全？（下）
 Google Chrome OS安全承诺：把所有的鸡蛋放在同一个篮子里？
 同态加密能否拯救云计算安全
 云中数据的安全性策略和做法
 CIO要知道的四个基本的云安全提示
 IaaS安全性认知：IT专业人士VS法律专业人士
 Savvis:云计算的安全问题要求提升供应商的透明度
 从多租户到混合托管：建立一个安全的云计算