有孩子的家庭在買新車的時候，是不可能從汽車廠商那里購買安全兒童座椅的，因為這是一種專業(yè)設備，需要保護的是家庭中最敏感的資產(chǎn)。Gartner副總裁兼安全分析師John Pescatore認為，云安全也可以按照相同的邏輯去思考：用戶不應仰仗云服務商的安全功能去保護他們至關(guān)重要的數(shù)據(jù)。

　　敏感信息(客戶數(shù)據(jù)、關(guān)鍵任務應用、生產(chǎn)級別信息)需要特殊保護，很多場合下需要自己的安全控制來提供全面保護。“當企業(yè)想要遷移到云模式之時，有些事情你可以信賴云提供商，但是對于關(guān)鍵業(yè)務數(shù)據(jù)和監(jiān)管控制信息來說，云提供商所提供的基礎(chǔ)設施夠用的情況可謂少之又少。”Pescatore在Gartner主板的一次網(wǎng)絡會議上如是說。

　　Pescatore指出，雖然安全依然是企業(yè)在部署云戰(zhàn)略時的首要擔憂，但是已經(jīng)有一些方法可以減輕這些擔憂。他說，其中的一個關(guān)鍵就是必須要設計好安全條款，專門保護云應用、數(shù)據(jù)或工作負載。一個顯著的例子就是信用卡信息。支付卡行業(yè)(PCI)的認證要求任何客戶的信用卡數(shù)據(jù)必須以電子方式存儲，并且加密。一些云服務商會在其云存儲產(chǎn)品中提供加密服務，但是客戶也可以購買第三方應用，專門針對自己的云部署進行定制，以提供加密服務、DDoS防范，以及接入控制等。其中不少服務都是以云格式交付的。

　　市場上已經(jīng)有了不少云安全產(chǎn)品，功能也眾多。如Zscaler、Websense或思科的ScanSafe等廠商的產(chǎn)品都是在用戶和云服務商之間建立一道“門戶”，監(jiān)控有哪些數(shù)據(jù)流入了云中，以便確保惡意數(shù)據(jù)或惡意應用不會滲透到用戶的系統(tǒng)中。如果云是被某個網(wǎng)站托管的，那么也有一些網(wǎng)站保護服務，例如Imperva、CloudFlare，還有出自Akamai的服務等。

　　Pescatore認為，整體而言，云安全尚處于初級階段。很多大企業(yè)都是以私有云或內(nèi)部云開始其云征程的，這也是便于進行安全控制的一個好起點。他的建議是，“首先要確保私有云的安全，然后再擴展到混合云和公有云。”由于保護虛擬化環(huán)境免受外部攻擊的流程十分重要，所以“需要系統(tǒng)具備可視性，變更控制和漏洞防護等功能”。這包括保護架構(gòu)編排的安全，預配置新的賬戶、域名和虛擬機。

　　向私有云之外的遷移通常都會納入一些公有云服務。很多時候，企業(yè)會把一些非關(guān)鍵任務應用向公有云擴展，如測試、開發(fā)或擴充容量等。所以，并非所有東西都需要獲得最高級別的安全。“保護敏感數(shù)據(jù)，只把不太敏感的數(shù)據(jù)放在本地云中，”他將這一過程稱為數(shù)據(jù)分割。

　　Pescatore稱，對云安全的關(guān)注應放在保護云的流程上。為云安全創(chuàng)建政策，然后確保這些政策在整個云部署期間被堅決執(zhí)行和貫徹。只要存在政策的不一致或者沒有強制執(zhí)行安全控制，就會出現(xiàn)安全漏洞。“我們迄今為止尚未看到企圖危害云基礎(chǔ)設施或虛擬化層的新型攻擊，”他說。“當今的現(xiàn)實情況是，黑客們攻擊使用云服務的企業(yè)是比較容易賺錢的。”

　　好消息是客戶擁有大量的選擇。對低級別的安全需求來說，云服務商(無論是IaaS還是SaaS服務商)通常都有他們自己的安全功能。亞馬遜Web服務是遵從FISMA的;另外一家云服務商FireHost是遵從PCI的。Pescatore說，用戶至少應該看看他們的云服務商是否遵從ISO 27001、SOC 2或SOC 3認證。除此之外，尤其對敏感信息而言，還有很多第三方安全產(chǎn)品可供選擇。