幾乎在每個關(guān)于云計算的調(diào)查中，公司對采用基于云的技術(shù)猶豫不決的眾多原因中，安全都排名靠前。并且確實如此，如果無法確定你的數(shù)據(jù)會被如何對待，以及是否得到充分地保護，那么盲目地采用云服務(wù)就只是有勇無謀的行為，即使云服務(wù)在經(jīng)濟上的利益看起來十分誘人。

　　那么，企業(yè)怎樣才能證實云服務(wù)提供商是否達標準？大型公司和政府部門或許有影響力來要求對云提供商的場所和流程進行詳細的考察。然而，小公司們可能就不太受歡迎了。

　　最值得人注意的是來自于云安全聯(lián)盟（Cloud Security Alliance，CSA）的幾個倡議，已經(jīng)在設(shè)法幫助企業(yè)至少商定出正確的問題來詢問預(yù)期的服務(wù)提供商，但這可能仍是一項緩慢且艱巨的任務(wù)。并且正如我們已經(jīng)注意到的，小型企業(yè)向大型的云服務(wù)提供商提交問卷只能期望很少的合作，更別提得到回答了。

　　但希望可能就在眼前。一個用于給云服務(wù)公司評分的新的云成熟度模型承諾為企業(yè)提供簡單的指導(dǎo)，針對云服務(wù)公司提供的安全水平，給預(yù)期的買方及賣方都帶來了好處，后者現(xiàn)在只需要經(jīng)歷一次審計過程，而用為每個顧客都進行一次。

　　所謂的通用保障成熟度模型（Common Assurance Maturity Model，CAMM）是Raj Samani的思想結(jié)晶，他是安全界的一名老手，曾經(jīng)作為顧問在公共部門工作，現(xiàn)在是McAfee公司的歐洲CTO。

　　CAMM的形成

　　Samani已經(jīng)從一家大型企業(yè)早期的項目中了解到，要和大量的供應(yīng)商打交道是多么的困難。他恰好沒有資源或財力來執(zhí)行必須的檢查，以確保他們正在照看著這些信息，這些是數(shù)據(jù)保護法案背景下他所要負責(zé)的信息。

　　然而，在和他的父親、倫敦中心的一家旅館擁有人的談話中他找到了解決方案：“我的父親正在抱怨那些想對旅館進行詳細檢查的令人棘手的顧客，他說這會引起很大的麻煩”，Samani說道。“他的回答是這是一家一***的旅館，意味著它不是豪華而是廉價的。這就是所有那些顧客們需要知道的”。

　　這個事件孕育了類似的五星評分系統(tǒng)，后者可能應(yīng)用在云計算服務(wù)上。Samani意識到如果該系統(tǒng)被廣泛采用的話，不僅會讓云計算服務(wù)的顧客們更容易找到恰當(dāng)?shù)陌踩墑e及服務(wù)，同時也緩解了提供商們所經(jīng)歷的無盡的顧客審計。

　　這是兩年前的事情，并且從那以后來自各種支持組織的志愿者們組成的團隊一直在努力著，但如果CAMM有一些全職的工作人員幫助時，這種狀況會很快得到改變。Samani表示，他將在二月的舊金山CSA峰會上宣布關(guān)于招聘計劃的完整細節(jié)。

　　CAMM組件

　　Samani說，CAMM模型目的在于涵蓋關(guān)于安全的基線控制，但已被設(shè)計和其它標準如ISO27001、COBIT及PCI DSS進行交叉映射，因為顧客們對這些標準有特定的需要。

　　“CAMM模型提供控制的基線級別，然后你可以在上面添加不同的模塊”，Samani說道。“這意味著人們能為他們要求的安全級別進行支付。所以如果現(xiàn)在你需要在德國找到一家?guī)в蠵CI模塊的級別為3的提供商，CAMM讓找到這家公司變得更容易了”。

　　Samani表示，CAMM模型的重要方面之一，是用于執(zhí)行審計的工具和知識產(chǎn)權(quán)框架對任何人都是免費的。“它是愛心的勞動成果”，他補充道。

　　公司開始使用CAMM模型時唯一需要付費的組件是第三方保障中心（Third Party Assurance Centre，TPAC）。TPAC是關(guān)于服務(wù)提供商的信息倉庫，列出他們根據(jù)一系列衡量標準得到的安全級別。TPAC將作為一個市場，旨在為顧客和提供商提供交流。顧客們會上傳他們的要求，列出CAMM級別加上任他們需要的何其它模塊，TPAC將立刻呈現(xiàn)符合他們要求的供應(yīng)商的簡短列表。

　　Samani補充道，CAMM模型會有助于安全經(jīng)理們根據(jù)他們的老板能理解的東西來量化殘余風(fēng)險。“你走到CEO面前并且說，‘我們打算尋找一家級別為3級的公司但是那會留下一些風(fēng)險’”，Samani說道。“CEO接著會詢問找一家4或5級的公司要花費多少錢，然后在理解風(fēng)險后做出判斷。因為這種時候，你不能有同業(yè)務(wù)主管談?wù)摪踩哪欠N談話”。

　　最近CAMM模型經(jīng)歷了有四個試用用戶的alpha測試，一旦來自這些測試的反饋結(jié)果在二月份得到“消化”，在年底大規(guī)模啟動前會進行一系列beta測試。

　　該項目得到150個組織的支持包括大型云服務(wù)提供商、政府團體以及行業(yè)團體諸如CSA和ISACA（信息系統(tǒng)審計與控制協(xié)會）。

　　對CAMM模型的反應(yīng)

　　CAMM方法被普遍視為一個有價值和有前途的方法。Paul Simmonds談到CAMM發(fā)揮了***價值的作用，他是國際組織Jericho Forum的董事會成員、CSA的安全指導(dǎo)V3版本的合著者。

　　“CAMM模型已非常深思熟慮，我對此印象十分深刻”，Simmonds說道。“該模型在它的領(lǐng)域內(nèi)是模塊化的，因此作為云服務(wù)的用戶，你能明確要求在不同的區(qū)域需要什么級別的安全。CAMM使得更容易找到潛在供應(yīng)商的簡短列表，并且它會繼續(xù)發(fā)展為大多數(shù)公司可以自我管理的更為完善和徹底的審計方法”。

　　該倡議還得到了來自歐洲的有力支持，其中包括歐洲網(wǎng)絡(luò)及信息安全機構(gòu)（ENISA）的督導(dǎo)委員會。“我們堅信CAMM模型是幫助云計算起飛的關(guān)鍵所在”，ENISA在希臘Crete島的安全服務(wù)項目經(jīng)理Giles Hogben談道。

　　不過Hogben提醒注意，任何新的標準應(yīng)該避免給公司增加額外的費用。他補充道，按照1到5的范圍來衡量成熟度“可能導(dǎo)致過度簡化”，因此必須小心處理。