Forrester Research Inc.发布了新的报告，督促企业在检查基于云的服务时要小心警惕。早期的采用者遇到了一些路障，包括不知道他们数据的位置、当做出决定更换服务的时候数据上的活动以及服务提供商保护客户隐私的方式。
 
　　据Forrester发布的名为《你的云有多安全？》（How secure is your cloud?）的报告称，考虑使用基于云的服务的公司需要在和服务提供商签合同前清楚地明白安全、隐私和法律后果。这份报告敦促企业制订数据安全和法规优先顺序检查表，并比较企业需求和云服务提供商的策略和程序。

　　报告的作者Forrester 的首席分析师Chenxi Wang 说：“凭经验，当你把内部开发的需求外包的时候，厂商笔记至少和要你一样安全。”

　　公司必须理解法规问题的影响、服务提供商处理数据安全的方式以及公司的知识产权是否存在风险。在很多情况下，合同应该详细地列出灾难准备程序、适合的数据处理和泄露事件中服务提供商的角色。

　　Wang说：“还要特别注意云服务中部明显的操作细节，例如数据位置、事件日志、复制方式以及架构。”

　　Wang称，很多公司都在转向云服务，来降低成本，提高效率。Forrester最近关于企业和中小型业务的调查发现，47%的软件决策者在2009年没有使用或者没有考虑使用SaaS。

　　据Wang所说，云计算经常会使数据安全和隐私变得复杂。企业失去了可见性和控制，因为公司数据可能存在于其他网络上。Wang说，有些公司中有的员工在没有IT安全的同意前就使用云服务。

　　“在很多情况下，不通过IT或者其它集中权威的参与而设置一项服务很简单。在很多情况下客户就可能出现在某人的桌面上，但是内容的位置是在企业之外。”

　　在最近的采访中，Eastman Kodak Co.的CISO，Bruce Jones说他的公司正在考虑在某些进程上使用云服务，但是他补充说，他的公司很谨慎，担心公司数据会有风险。
 
　　Jones说：“总是有人问我‘我们可以把这个移到云中吗’，在这一点上我很难处理。我没有发现巨大的利益。”

　　Jones说Kodak的研究和开发部门的计算程序在云计算中可能存在价值。他说，公司有时在按需计算能力上需要高性能来执行大型的计算。

　　“云可能在这时候提供一些好处，但是我想要确定我们没有霸IP数据或者任何个人信息或其它机密信息至于风险之中。”

　　Wang说，对云服务提供商的全面评估应该包括对它的审计，来获取内部操作的能见度。云提供商可能不会允许内部审计，但是他们应该提供“架构和网络的某种形式的外部审计。”目的是理解这项服务使用事件日志的方式以及谁可以访问后门的数据。
 
　　据Wang所说，法规问题也会阻碍云服务的采用。服务提供商的数据处理和业务连续性实践也应该在法规问题的解决中考虑。另外，公司应该主动记住他们行业内的特殊法规。

　　Wang建议客户谨慎地仔细检查安全等级以及合同条款。尽管大部分是相当标准的，有些公司可能会在合同的某些条款上协商，使其仅针对企业的业务程序和数据处理的程序。Wang说，在很多案例中，除非你是大型企业，云服务提供商不会特别华时间协商SLA或者合同条框。

　　她说：“如果你是小客户，他们就不会注意，但是如果是大型客户，他们就会为你拼命。这是他们工作的方式。”
 
　　Wang说，合同中应该包括如果没有遵守SLA的后果、当服务合同到期时数据的处理防洪四、回归到公司的数据类型以及在指定的时间内云服务提供商应该把他们网络上的所有数据删除。

　　“我们发现有些公司被厂商的禁闭惹火了。更改服务不是很容易。如果正在更换，祝你好运，希望他们可以为你工作；如果合同没有要求为你扩展末端服务支持，那么他们就什么也不会做。”