云计算安全联盟周三发布了一份文件，列出了它认为需要解决的十多处问题以更好的保护云计算环境。

　　这份83页的文件“云计算主要关注领域的安全指南（Security Guidance for Critical Areas of Focus in Cloud Computing）”列出了15个需要解决的领域，其中有两个需要特别关注：治理和云中的操作。

　　报告流出了组成很多云计算体系的架构，然后确定了三种传输模式：基础架构即服务（Infrastructure as a Service，IaaS），平台即服务（Platform as a Service，PaaS）和软件即服务（Software as a Service，SaaS）。它还解决了公司和服务提供商遇到的治理和风险管理问题。它建议服务提供商执行定期的第三方风险评估，并把结果告知客户。

　　这份报告解决的其他问题包括法规和审计，推荐服务提供商使用SAS 70 Type II审计以及SO 27001证书，还有要取得更多同样而全面的证书。加密和密钥管理、存储问题、应用安全关注点和虚拟化安全问题也都有细节的说明。

　　这个初出茅庐的组织是在本周的2009年RSA大会上启动的，目的是提高对云计算安全问题的了解。在周三的发言中，Reavis Consulting Group LLC的总裁兼这个非赢利组织的联合创始人Jim Reavis说这份报告可以向采用虚拟化或者正在选择云计算提供商的企业提供指导。

　　Reavis说：“我们是选择的这些领域是以虚拟化是阻碍构建云计算的战略战术痛处位基础得到，治理领域更加宽广、更具策略性。”

　　在过去的几年中，企业竞相采用虚拟化并把数据移交给云服务提供商，希望可以削减服务器管理成本。Reavis说云安全联盟计划在今天主办几次会议，提供云安全问题的专家建议，以及云计算实施的最佳实践报告。

　　eBay Inc.的全球信息安全副总兼CISO，Dave Cullinane是这个组织的顾问之一。在RSA的发言中，Cullinane说他们公司是于计算的早期采用者，而且遇到了缺乏保护云中数据的信息和最佳实践的问题。

　　Cullinane说：“我认为我们应该走在这些问题之前，至少要从安全的方面查看这些问题。我们想要做的是把我们可以接触到的专家意见结合在一起。”

　　这个组织的另一位顾问Jerry Archer是Intuit Inc.的副总兼CISO。Archer说Intuit看到云计算是不可避免的，并目前正在企业中研究和配置。

　　Archer说：“现在它还在试验阶段，但是如果有一定数量的亲自确认的信息和事务数据，确保它的安全毋庸置疑非常重要。确保你可以了解在云中进行的豁动并管理突发事件和正在进行的其它事件非常重要。”

　　Reavis说这个组织将会包含一切，目前成员包括从对云安全问题非常有热情的个人到微软、PGP Corp.、Qualys Inc.、Zscaler Inc.等厂商。

　　Reavis说：“我们不是把头埋在沙子里等待问题过去的安全人员。我们认为这是在计算方面不可避免的转变。”