2013年的RSA信息安全大會再一次談到了云計算的安全問題。在云計算真正落地之前，其安全性必須首先獲得企業(yè)客戶的認(rèn)可。但在目前看來，這個障 礙并不容易掃除。云計算服務(wù)商和云安全聯(lián)盟（Cloud Security Alliance——行業(yè)協(xié)會）盡了最大的努力卻收效甚微，云安全問題依然讓IT主管們頭疼。

在本屆大會云安全分會場，IT安全專家抱 怨云計算服務(wù)商缺乏透明度，致使客戶面對云服務(wù)時踟躕不前。云服務(wù)的不透明性主要體現(xiàn)在服務(wù)水平協(xié)議、管理功能以及安全責(zé)任這些領(lǐng)域。與會者指出，當(dāng)前云 安全沒有權(quán)威認(rèn)證，云計算服務(wù)商又不允許企業(yè)客戶去實地考察接觸機器，IT主管不知從何處入手。

對于云服務(wù)的不透明性，舉個具體的例 子，云計算服務(wù)軟件漏洞對客戶不透明，這直接阻礙了客戶對漏洞相關(guān)運行風(fēng)險的管理。會上，Zynag公司前CSO Nils Pulhman提醒企業(yè)客戶：面對安全漏洞，云計算服務(wù)商們首先考慮的是降低對自己的影響，其次才會考慮客戶，所以客戶必須建立對云計算服務(wù)的控制。

Nils Pulhman建議IT高管嚴(yán)格考察云計算服務(wù)商。“像警察一樣去調(diào)查，”他說。“摸清服務(wù)商是否成熟。”——根據(jù)他的經(jīng)驗，尤其是初創(chuàng)公司，十有八九被盤問擊潰。

在透明度問題上，專家的意見是一致的。 vScaler云計算業(yè)務(wù)副總裁Patrick Foxhoven補充說：“你必須對服務(wù)商提出透明度的要求，沒有足夠透明度，你不可能進(jìn)行審計。”

但很多與會者指出，單憑一個企業(yè)客戶的力量，不足以挑戰(zhàn)強大的云計算服務(wù)商一貫的不開放的安全策略。

還有一位參會者提出了問題：如果想評估一個SaaS服務(wù)商，它運行在另一個PaaS服務(wù)商的平臺上，而且又是托管在第三個云計算基礎(chǔ)設(shè)施服務(wù)商處——“這是否意味著需要評估三次？”

Foxhover把這個問題擱置一邊，而是說起作為一個服務(wù)商，他收到過大量與安全相關(guān)的調(diào)查問卷，這些都來自潛在客戶，其中很多問題并不適用云計算實現(xiàn)安全。

然后他回到剛才的問題，僅說到答案沒那么簡單。最后，在服務(wù)商的選擇上，他建議IT高管多與其他客戶交談，針對一個特定的服務(wù)商了解他們的經(jīng)驗。“這是我們今天所面臨的不幸的現(xiàn)實。”Foxhoven總結(jié)說。