截至目前，云安全聯(lián)盟已經(jīng)不止一次地發(fā)布報(bào)告，建議和督促企業(yè)采取措施，以更好地保護(hù)云服務(wù)。

云安全聯(lián)盟新的報(bào)告中對云計(jì)算的定義和國際標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)（NIST）的定義一致，其它的還按需自我服務(wù)、寬帶網(wǎng)絡(luò)接入、資源共享、快速配置和可擴(kuò)展性、計(jì)量使用等。

NIST還將云服務(wù)分成了三類：軟件服務(wù)（SaaS），即應(yīng)用程序由服務(wù)供應(yīng)商提供；平臺服務(wù)，即服務(wù)商提供工具和編程語言，客戶來開發(fā)和部署自己的應(yīng)用；基礎(chǔ)設(shè)施服務(wù)，即服務(wù)商提供帶網(wǎng)絡(luò)的硬件平臺供客戶使用。

“在云計(jì)算V2.1版本的指導(dǎo)意見中安全是需要注重的關(guān)鍵領(lǐng)域。”在早期的一些草案審議議題簡縮版本就提及了云安全的重要性，這些安全議題分布在13個(gè)領(lǐng)域的76頁文件中，每個(gè)議題還包括了更加具體的建議。

文件建議云服務(wù)商采用ISO/IEC 27001信息安全標(biāo)準(zhǔn)來構(gòu)建信息安全管理系統(tǒng)?？蛻魬?yīng)該認(rèn)真核實(shí)供應(yīng)商的資質(zhì)認(rèn)證，同時(shí)還要看他們制定的計(jì)劃是否按照認(rèn)證標(biāo)準(zhǔn)和要求來做的。至少，供應(yīng)商應(yīng)該向客戶展示他們的做法是參照ISO 27002國際標(biāo)準(zhǔn)來制定的。

報(bào)告指出，客戶需要清楚地認(rèn)識到，在他們所購買的云服務(wù)類型中，他們需要為數(shù)據(jù)的安全和應(yīng)用程序的管理承擔(dān)怎樣的責(zé)任，服務(wù)商又承擔(dān)怎樣的責(zé)任。

例如，亞馬遜的EC2基礎(chǔ)設(shè)施作為一個(gè)服務(wù)實(shí)體的地址，提供的是環(huán)境和虛擬化的安全，而不是虛擬的情況下操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)本身的安全。通過Salesforce.com的客戶關(guān)系管理軟件（CRM）提供的云服務(wù)，服務(wù)商就必須負(fù)責(zé)一切的安全，包括應(yīng)用程序和數(shù)據(jù)。

企業(yè)一定要充分了解供應(yīng)商的安全措施，否則就要冒著危及他們數(shù)據(jù)安全的風(fēng)險(xiǎn)。“除非云提供商樂意向客戶披露他們的安全控制，以及它們所實(shí)施的范圍和程度，消費(fèi)者才會(huì)知道哪些控制對于保持其信息安全是必須的，否則就會(huì)導(dǎo)致客戶做出錯(cuò)誤的決定，并存在很大的風(fēng)險(xiǎn)。”報(bào)告說。

報(bào)告指出，一般來說，云服務(wù)的潛在用戶需要針對數(shù)據(jù)的重要性以及業(yè)務(wù)安全做風(fēng)險(xiǎn)評估，并讓供應(yīng)商提供相關(guān)的證明。“對于任何涉及安全的方面，企業(yè)應(yīng)采取以規(guī)避風(fēng)險(xiǎn)為主的方式轉(zhuǎn)移到云計(jì)算環(huán)境，并選擇安全的方式。”報(bào)告說。

為此，報(bào)告建議采取以下步驟：

1、仔細(xì)考慮和確定什么樣的數(shù)據(jù)或功能運(yùn)行在云環(huán)境中；

2、評估該數(shù)據(jù)或功能對企業(yè)的重要性；

3、確定采取哪種云：公有云，私有云，社區(qū)，混合云；

4、評估現(xiàn)有的控制措施對風(fēng)險(xiǎn)的減少程度；

5、畫出進(jìn)出“云”的數(shù)據(jù)流圖，以確定風(fēng)險(xiǎn)的暴露點(diǎn)。

【編輯推薦】

1. 云計(jì)算安全保護(hù)不足會(huì)有何后果？
2. 2010網(wǎng)絡(luò)安全趨勢預(yù)測：黑客也云計(jì)算
3. “云計(jì)算安全風(fēng)險(xiǎn)評估” 列出7大風(fēng)險(xiǎn)