進入公共云的門檻雖然很低，只需要一張信用卡就可以購買到服務，但是要安全地運行云中企業(yè)應用并不簡單。組織需要了解該部門的安全責任分工以及云部署特有的安全需求。

接下來，一個合乎情理的問題是，你自己處理云數(shù)據(jù)安全還是聘請第三方?答案是：看情況。

專門從事降低云計算風險的顧問兼講師Thomas Trappler談到，對于內(nèi)部部署應用程序以及新接觸基礎設施即服務(IaaS)的組織來說，“有一些關(guān)于如何使用這種服務的知識，對這些人來說是新知識” 。

云數(shù)據(jù)安全

云學習曲線

例如，公司普遍希望基于云的應用與本地系統(tǒng)集成。Trappler談到：“有些東西可能會保留在內(nèi)部，需要與云打交道。公司可能需要一些專門技術(shù)，來使云和內(nèi)部系統(tǒng)能共同工作。”他補充說，但是企業(yè)是否有足夠的資源來獲取這些技能還是一個“問號”。

PricewaterhouseCoopers信息安全和風險保障的經(jīng)理Nikita Reva表示認可。“技術(shù)學習曲線確實存在，并且最大的問題是缺乏云安全技能，”Reva說，“這個行業(yè)正在逐步形成新的認證和培訓服務，因為世界正在向云邁進，并且沒有幾個人能真正理解云安全。”

這種情況限制了云的成功，他繼續(xù)說到：“一些客戶將不再使用云，因為他們不了解如何保護基礎設施，并且他們不具備相關(guān)人員，他們也負擔不起聘請顧問。他們的員工不能迅速地趕上節(jié)奏。”

IaaS提供商未必能使情況變好。每個提供商承擔著不同級別的云數(shù)據(jù)安全責任，并且為客戶提供不同的資源，使客戶了解他們的職責。

例如，亞馬遜提供給客戶強大的文檔和一個很好的基準。Reva說：“如果相對來說，客戶具備一定技術(shù)能力，他們應該能夠使用文檔以及基于文獻資料配置實例，但有一點讓人束手無策，即有非常多的文獻資料。與其他人相比，他們已經(jīng)做得足夠好，但是對于那些沒有經(jīng)驗的人來說，數(shù)百頁、數(shù)量巨大的文獻資料，確實有一點讓人束手無策。”與此同時，他補充說：“其他提供商提供的產(chǎn)品并沒有這么一目了然。你需要更多的技術(shù)知識，做更多的探索工作。”

云代理的角色

Trappler說，對于能負擔得起的組織，云代理或者云顧問“從技術(shù)的角度來看，有助于你安裝并運行云服務”。

云代理提供許多不同的功能。“所有的代理都不一樣，他們具有不同的能力，”推廣最佳實踐和提高云安全培訓的組織—云安全聯(lián)盟的執(zhí)行主任Jim Reavis表示，云代理是“一個新興領域，云代理是與時俱進的，但是對我來說，云代理只是中間件技術(shù)的一個組合，也是系統(tǒng)集成商業(yè)模式(集成為你提供你所需要的業(yè)務和技術(shù)解決方案)的演變。”

他說，云代理“提供抽象的技術(shù)層來幫助你簡化大量虛擬機的管理，并且可能幫你做很多安全管理工作以及將不同的系統(tǒng)劃分，確保他們使用的是共同的安全性配置文件。”

此外，作為“新一代的系統(tǒng)集成商，”云代理也可以管理客戶合同，同時提供其他的業(yè)務及符合規(guī)定措施，Reavis表示：“一個大型的云提供商通常不會定制(服務水平協(xié)議)和諸如此類。云代理是一種中介，能夠幫你實現(xiàn)定制的合同要求、財務要求、符合性要求。反過來，這些要求也可能管理更多的技術(shù)云代理”。

云代理或云顧問能夠幫你保證(運行在公共云中的)企業(yè)應用的安全，但是首先你必須找出云代理或者云顧問。“這是個挑戰(zhàn)，因為一些人認為【云代理】僅僅是一個技術(shù)塊。你必須提出正確的問題，并且他們不會設立一個標牌，上面寫著‘我是云代理’”，Reavis說，“那些說會幫你管理你的云關(guān)系，或者提供更多的技術(shù)解決方案，來幫你管理你的云基礎設施的經(jīng)銷商或顧問通常都屬于云代理。”