為了幫助緩解云計算安全問題，企業(yè)希望通過云計算合同和服務(wù)水平協(xié)議來減小其風險，Gartner表示，云計算安全仍然是企業(yè)公共云部署的主要抑制劑。

但Gartner云計算安全分析師Jay Heiser表示，在解決安全性、業(yè)務(wù)連續(xù)性和安全控制評估方面，SLA仍然“不到位”且“不令人滿意”。

他表示：“這方面的問題得到了很多的關(guān)注，但我們在合同中并沒有看到相應(yīng)的改善，特別是在基礎(chǔ)設(shè)施即服務(wù)(IaaS)市場。”軟件即服務(wù)(SaaS)控制“很基本，但正在改進中”。

以下是云計算合同中的一些常見的和專家建議的安全規(guī)定及其效力和在其云合同中的出現(xiàn)率。

客戶按需審計

這些條款允許客戶審計供應(yīng)商

有效性：部分有效，取決于供應(yīng)商允許客戶檢查的程度

出現(xiàn)率：有時候

數(shù)據(jù)刪除證書

證明當服務(wù)過期時，數(shù)據(jù)將被刪除。

有效性： 高，有法律保障

出現(xiàn)率： 從來沒有

災(zāi)難恢復(fù)

很多供應(yīng)商聲稱，基于云服務(wù)的性質(zhì)，云服務(wù)基本等同于災(zāi)難恢復(fù)，但并不總是這樣，例如，當數(shù)據(jù)僅存儲在云供應(yīng)商的單個位置而沒有異地備份的時候，這將會創(chuàng)造單點故障。

有效性：高，但很難核實。雖然供應(yīng)商聲稱他們擁有強大的系統(tǒng)，但當要求他們提供證據(jù)時，他們總是有所保留。

出現(xiàn)率： 在合同條款中不常見

停機保障

當出現(xiàn)停機時，這將為用戶提供保障或者某種形式的賠償。

有效性： 部分有效。雖然這可能會對企業(yè)有所幫助，但這只是一種事后補救措施，不能從一開始防止停機事故。

出現(xiàn)率： 通常在合同條款中可見

加密

有效性： 各不相同?，F(xiàn)在有多種加密方法。例如，當數(shù)據(jù)到達供應(yīng)商的云環(huán)境時，供應(yīng)商才對數(shù)據(jù)進行加密;用戶在發(fā)送到云環(huán)境之前，就對數(shù)據(jù)進行加密，第一種方式更加便宜，但安全性也更低。重要的因素是誰存儲加密密鑰以及誰能夠訪問密鑰，密鑰的副本越多，安全性就越低。請注意密鑰丟失的安全風險。

出現(xiàn)率： 這取決于供應(yīng)商。第三方工具也可以用于提供加密服務(wù)。

評估

很多企業(yè)使用第三方安全服務(wù)來檢查其供應(yīng)商的安全控制，例如ISO27001或者SOC1和SOC2審計。但是，但是在很多情況下，簡單地報告其符合這些審計的供應(yīng)商并不能向最終用戶提供他們需要的信息，以根據(jù)其特定安全需求來評估供應(yīng)商的系統(tǒng)。

有效性：據(jù)稱有效率不夠

出現(xiàn)率：常見

針對安全故障影響的全額賠償

在這種情況下，合同中會規(guī)定，如果發(fā)生安全泄露事故，供應(yīng)商將負責賠償客戶的全部損失。

有效性：理論上很高

出現(xiàn)率： 從來沒有

攻擊保障

由第三方或者供應(yīng)商提供保障，這可以幫助客戶彌補安全或數(shù)據(jù)丟失問題產(chǎn)生的損失。

有效性： 可能有幫助，但這像停機保障一樣，并不一定能夠激勵供應(yīng)商避免事故的發(fā)生

出現(xiàn)率： 很少，但正在增加

協(xié)商安全條款

這允許客戶與供應(yīng)商為某些程序或者數(shù)據(jù)協(xié)商更高級別的安全水平。

有效性： 可能很高

出現(xiàn)率： 主要針對大客戶