如果你将自己的数据委托给某个云服务提供商管理，加密方面会处理吗？如何处理的呢？用户认证和数据破坏责任方面是怎样落实的呢？

　　上周，在加利福尼亚州的圣克拉拉市举行的海湾地区安全世界（Bay Area SecureWorld）会议上，小组讨论了有关云计算服务的安全挑战相关的问题。小组辩论人员Tim Mather（安全顾问兼云安全联盟创始人）说：“我们不能说云计算是不好。然而即使它有很多优点，我们想提醒大家注意的是它所面临的挑战。”

　　他说云安全的重要问题在加密方面。如果数据在云中处理它将需要被解密，然而一些供应商甚至不提供加密处理。并且一旦采用加密，密匙管理将成为一个大问题，“谁来管理这些密匙呢？”他说道。

　　Sun Microsystems公司的高级安全经理Subra Kumaraswamy还谈到，随着往云方向的发展进程的推进，网络安全的性能正越来越低，这使得基于用户的控制愈发重要。

　　“关注的关键点在于联盟，它允许单点登录（SSO）……并不是每个云都是平等的。大多数的供应商不支持SAML[安全断言标记语言],应该强调并迫使他们支持这一语言。”

　　同样是CSA创始成员的Kumaraswamy说，中间人攻击和木马病毒将给云计算带来问题，这凸显了组织理解他们与云服务供应商间的强认证方案的重要性。他还说，如果某个公司使用双因素认证，如何转向云计算将会成为一个问题。

　　对云计算服务的客户来说，另一个焦点应该就是授权——用户在云中能做什么。“并不是所有的供应商支持基于角色的访问控制”，他说道。

　　作为软件即服务（SaaS）的供应商Salesforce公司的CISO兼小组成员Izak Mutlu说：“存在不同种类的云。有某些种类比其他的更安全”

　　他还说在早期，他的公司执行了安全措施。他的公司雇佣第三方的安全公司来做它的安全审查并且执行内部安全审查。他说：“我们做得都很透明”。

　　Salesforce公司的安全改进已取得了广泛的收益，Mutlu表示：“ 我们为安全所作的所有强化工作对我们所有的客户起到了作用”。

　　小组还提到，使用共享的、多重租赁架构应用的服务提供商遇到安全漏洞的情况下的责任问题。Mutlu说，责任依赖于客户和服务提供商如何议定的合同。

　　在会议的要旨上，云安全联盟的共同创办人Nils Puhlmann说，云计算带来了风险的同时也带来了正面的安全机遇。

　　Puhlmann还说，考虑到云计算的软件即服务（SaaS）模型，客户有义务确保供应商有足够的安全功能。然而，举例来说，如果是个大客户要求SaaS供应商提供一个特别的安全控制，这一供应商将必定执行这一控制，这也将给供应商的其他客户带来和收益。

　　他说道，“实际上，我们能够从安全前景中不断进行改善”。

　　云供应商通常对安全不承担义务，但是有时可能是因为他们刚起步并且不理解这一事物，他还补充道：“在大多数情况下，你可以教导他们”。

　　非盈利云安全联盟（CSA）组织在4月份正式启动，它的目标是共享云计算安全的最佳实践。这个组织的成员超过了4000人，它发布了一个超过12个区域的文件提纲指出必须更好地保护云计算的环境。Puhlmann说CSA预计将在10月份发布这个文件的第二版。