摘要：云计算的概念本意上是围绕基础架构设计的企业外部共享资源池。云计算作为一种能够减少企业成本和提升IT灵活性的有效途径，最近得到了更多企业的关注和长足发展的动力。但不容忽视的是云计算的应用也伴随着安全性的风险，诸如企业应用的风险，可用性和数据完整性等。

第1页:如何确保云计算的安全性 第2页:如何确保云计算的安全性 第3页:如何确保云计算的安全性 第4页:如何确保云计算的安全性 第5页:如何确保云计算的安全性 第6页:如何确保云计算的安全性

　　
　　Forrester的王提到了一个相关的问题，即传递信任，因为云计算供应商必须依靠第三方供应商提供的计算和基础设施资源。那么如果我与我的供应商之前存在值得信赖的关系，我该如何扩展这一信赖关系呢？
　　
　　“这些第三方基础设施资源接触到我的机密数据”，王说。“我是否应当允许这种我已经与我的供应商，比如亚马逊，建立的信任关系传递到第三方，以及如何对此进行评估？传递信任的问题没有明确的说法。”
　　
　　所以，你的供应商并不知道在特定时间你的数据在何处，这就难以确定你的数据是否正在以保密和隐私的方式进行处理。
　　
　　这些并不这意味着你的公司应该排除使用云计算开展业务的计划；你也不应该为安全问题妥协。
　　
　　Alpha Software的Kalwerisky说：“你现在唯一能做的就是在应用云计算之前慎重考虑合同”。他说，大客户可以利用主要的云计算提供商保证更好的安全性和透明度。毕竟，有选择的余地。
　　
　　“如果一个供应商做不到，我可以去其他的供应商”，他说，“市场将推动它。”
　　
　　Gartner公司建议你对外包商坚持坚定的安全要求，即使云计算环境是比较大的问题。你的数据的风险仍然存在。
　　
　　在名为“评估云计算的风险”的报告中，Gartner公司强烈建议引入第三方安全公司进行风险评估。它警告说，即使是习惯自已进行评估的大型高端的企业，如主要金融机构，也最好聘请第三方评估提供云计算的商业伙伴。
　　
　　云计算分布式的性质使得这种评估变得更加困难。而且，与传统的外包合作伙伴将良好的安全性视为一个有竞争力的竞争标准不同，云计算供应商可能会对外人审计他们的运作有所保留，或至少是限制其访问。它们不太可能允许审计和评估小组接触自己的数据中心，但进行日志检查和审查审计跟踪也就是可以商量的了。
　　
　　Forrester公司的Wang说：“显然，审查不可能很具体。例如，对谷歌进行漏洞评估（是不合理）。他们不会让你这样做。你必须看是否有可能做某种程度的外部审计。目前，这是非常困难的。”
　　
　　大型企业当然不应该迁就供应商的标准服务协议，但规模较小的公司是另一回事。他们通常缺乏充分评估服务的安全性的专业知识或机能，所以他们更倾向于依靠具备专业知识或机能的供应商。
　　
　　“我接触过的大多数小公司，除非它们是高度专业化的，往往将性能、减少资源的开销置于安全之前考虑，”王说，“但是，这并不意味着云计算供应商不应该做更多的工作，满足他们的需求，而且更加透明化。”
　　
　　不论公司大小，最重要的考虑是暴露给了服务供应商的数据的敏感度。如果服务不必把敏感数据暴露在风险中或不会危及你的操作，对供应商的安全性要求也可以不那么严格。另一方面，如果机密的客户信息、知识产权或其他敏感的数据处于危险之中，公司也不应该对安全性要求妥协。
　　
　　“企业所需要做的是在风险与商业利益之间做出选择，确定那些商业利益相对高于风险的业务，”Gartner公司的Nicolett说，“那些业务现在是最适合云计算的。”
　　
　　公司也应坚持对数据进行加密，无论是传输过程还是静止数据。加密传输过程中的数据是可以保证的；所有服务供应商都使用SSL或其他一些强大的加密功能。静止数据更加复杂，并且你可能必须依靠自己的资源进行加密。关键的问题是：谁拥有密钥？
　　
　　如果供应商控制密钥，加密则变得不现实。这又会回到一个信任和核查的问题，要核查该供应商不管什么人、在什么情况下接触密钥都严格遵循规定。如果你的公司持有密钥，这一机制就更复杂，但是安全显然是在你的手中，因为只有你的工作人员可以解密数据。
　　
　　Gartner公司的Nicolett将漏洞管理服务提供商Qualys公司视做一个很好的模式。客户的数据是混合的，但它是加密的，由客户控制的解密密钥。
　　
　　“敏感的安全数据存放在外部，而企业感到放心，这是能力”，他说。