谨慎地采用云计算技术
 
　　这些并不这意味着你的公司应该排除使用云计算开展业务的计划；你也不应该为安全问题妥协。

　　Alpha Software的Kalwerisky 说：“你现在唯一能做的就是在应用云计算之前慎重考虑合同”。他说，大客户可以利用主要的云计算提供商保证更好的安全性和透明度。 毕竟，有选择的余地。

　　“如果一个供应商做不到，我可以去其他的供应商”，他说，“市场将推动它。”

　　Gartner公司建议你对外包商坚持坚定的安全要求，即使云计算环境是比较大的问题。你的数据的风险仍然存在。

　　在名为“评估云计算的风险” 的报告中，Gartner公司强烈建议引入第三方安全公司进行风险评估。它警告说，即使是习惯自已进行评估的大型高端的企业，如主要金融机构，也最好聘请第三方评估提供云计算的商业伙伴。

　　云计算分布式的性质使得这种评估变得更加困难。而且，与传统的外包合作伙伴将良好的安全性视为一个有竞争力的竞争标准不同，云计算供应商可能会对外人审计他们的运作有所保留，或至少是限制其访问。它们不太可能允许审计和评估小组接触自己的数据中心，但进行日志检查和审查审计跟踪也就是可以商量的了。

　　Forrester公司的Wang说：“显然，审查不可能很具体。例如，对谷歌进行漏洞评估（是不合理） 。他们不会让你这样做。你必须看是否有可能做某种程度的外部审计。目前，这是非常困难的。”

　　大型企业当然不应该迁就供应商的标准服务协议，但规模较小的公司是另一回事。 他们通常缺乏充分评估服务的安全性的专业知识或机能，所以他们更倾向于依靠具备专业知识或机能的供应商。

　　“我接触过的大多数小公司，除非它们是高度专业化的，往往将性能、减少资源的开销置于安全之前考虑，” 王说，“但是，这并不意味着云计算供应商不应该做更多的工作，满足他们的需求，而且更加透明化。 ”

　　不论公司大小，最重要的考虑是暴露给了服务供应商的数据的敏感度。如果服务不必把敏感数据暴露在风险中或不会危及你的操作，对供应商的安全性要求也可以不那么严格。另一方面，如果机密的客户信息、知识产权或其他敏感的数据处于危险之中，公司也不应该对安全性要求妥协。

　　“企业所需要做的是在风险与商业利益之间做出选择，确定那些商业利益相对高于风险的业务，” Gartner公司的Nicolett说，“那些业务现在是最适合云计算的。”

　　公司也应坚持对数据进行加密，无论是传输过程还是静止数据。加密传输过程中的数据是可以保证的；所有服务供应商都使用SSL或其他一些强大的加密功能。静止数据更加复杂，并且你可能必须依靠自己的资源进行加密。关键的问题是：谁拥有密钥？

　　如果供应商控制密钥，加密则变得不现实。这又会回到一个信任和核查的问题，要核查该供应商不管什么人、在什么情况下接触密钥都严格遵循规定。如果你的公司持有密钥，这一机制就更复杂，但是安全显然是在你的手中，因为只有你的工作人员可以解密数据。

　　Gartner公司的Nicolett将漏洞管理服务提供商Qualys公司视做一个很好的模式。客户的数据是混合的，但它是加密的，由客户控制的解密密钥。

　　“敏感的安全数据存放在外部，而企业感到放心，这是能力”，他说。

　　坚持规定

　　容易获得是云计算的优势，也是它的风险。一个部门、工作组甚至个人可以轻易进入云计算中。只需要出示企业卡

　　“这是从安全的角度来看民主化的负面影响，” Balding 说，“除非你已有优秀的DLP，你可能甚至不知道云正被使用。”

　　考虑一组开发人员，他们可以绕过公司的规定和流程--也许事情比他们所希望的要慢很多。他们不是坏人，他们只是试图要完成自己的工作，并做他们想做的：为公司创建一流的软件。

　　或是业务部门可以作出决定，签定合同开发应用程序或是购买CRM，如salesforce.com 。他们完成任务，但绕过所有他们应该遵守的控制规定。

　　“这可能是一个有效的商业决定，但值得担心的是这是一种无意识的决定”，Gartner公司的Nicolett说，“这样，就没有对安全性、规定和风险程度进行评估，因为了解这些风险的人员并没有参与这项决定。”

　　同时这也有经营风险，他说。 工作流程可能会被损坏或破坏，因为应用程序之间的联系进入云中，内部程序不明确，流程的完整性可能会退化。

　　你仍然可以将应用迁移到云计算中，他说，但是你必须制定有意识的、计划周密的决定，这些决定可以解决这些将要出现的潜在的问题。

　　解决的办法很简单。如果你的公司有良好管理规定，员工遵守进行风险评估的规定和流程，在签约前为服务进行规划和审查。从高层传递来的消息应该是肯定的：外包的措施适用于云计算。因此，在这走完这一流程前，不要急于付钱。

　　标准化--下一步吗？

　　评估云计算供应商的主要障碍之一是缺乏用于比较的标准。没有标准对数据如何存储、访问控制、性能指标等进行衡量。

　　这引起了商业和安全问题。例如，如果我将我的销售系统外包给一个供应商，但要与收帐款业务指定另一个供应商，我怎么在他们之间共享数据？更进一步，这种方案可行吗？

　　供应商、分析师和安全领导人正在讨论标准化的必要性，例如，SLA。

　　“我的客户在与其他的SLA对比时遇到了问题，因为语言是不同的；他们承诺的特性不同”， Forrester公司的王说。“你真的要花费大量的时间确保你拿来做比较的是两个苹果，而不是一个梨和一个苹果。”

　　下一步可能会由一个行业联合会达成一项协定，并最终由一些公认的标准化组织进一步认可这一协定。使竞争者服从一个标准从历史上看是很困难的，这一协定也不可能会例外。

　　“没有一个供应商希望做出改变以符合其他一些供应商的标准”，阿尔法软件公司的Kalwerisky 说。 “但是，一旦我们有了关于数据存储、安全问题和许多其他事情的标准，那么云计算就成为了不可阻挡的选项，因为你会拥有你在数据中心所拥有的一切，但会减少麻烦和资本投入。”