截至目前，云安全联盟已经不止一次地发布报告，建议和督促企业采取措施，以更好地保护云服务。

    云安全联盟新的报告中对云计算的定义和国际标准与技术协会（NIST）的定义一致，其它的还按需自我服务、宽带网络接入、资源共享、快速配置和可扩展性、计量使用等。

    NIST还将云服务分成了三类：软件服务（SaaS），即应用程序由服务供应商提供；平台服务，即服务商提供工具和编程语言，客户来开发和部署自己的应用；基础设施服务，即服务商提供带网络的硬件平台供客户使用。

    “在云计算V2.1版本的指导意见中安全是需要注重的关键领域。”在早期的一些草案审议议题简缩版本就提及了云安全的重要性，这些安全议题分布在13个领域的76页文件中，每个议题还包括了更加具体的建议。

    文件建议云服务商采用ISO/IEC 27001信息安全标准来构建信息安全管理系统。客户应该认真核实供应商的资质认证，同时还要看他们制定的计划是否按照认证标准和要求来做的。至少，供应商应该向客户展示他们的做法是参照ISO 27002国际标准来制定的。

    报告指出，客户需要清楚地认识到，在他们所购买的云服务类型中，他们需要为数据的安全和应用程序的管理承担怎样的责任，服务商又承担怎样的责任。

    例如，亚马逊的EC2基础设施作为一个服务实体的地址，提供的是环境和虚拟化的安全，而不是虚拟的情况下操作系统、应用程序和数据本身的安全。通过Salesforce.com的客户关系管理软件（CRM）提供的云服务，服务商就必须负责一切的安全，包括应用程序和数据。

    企业一定要充分了解供应商的安全措施，否则就要冒着危及他们数据安全的风险。“除非云提供商乐意向客户披露他们的安全控制，以及它们所实施的范围和程度，消费者才会知道哪些控制对于保持其信息安全是必须的，否则就会导致客户做出错误的决定，并存在很大的风险。”报告说。

    报告指出，一般来说，云服务的潜在用户需要针对数据的重要性以及业务安全做风险评估，并让供应商提供相关的证明。“对于任何涉及安全的方面，企业应采取以规避风险为主的方式转移到云计算环境，并选择安全的方式。”报告说。

    为此，报告建议采取以下步骤：

    1、仔细考虑和确定什么样的数据或功能运行在云环境中；

    2、评估该数据或功能对企业的重要性；

    3、确定采取哪种云：公有云，私有云，社区，混合云；

    4、评估现有的控制措施对风险的减少程度；

    5、画出进出“云”的数据流图，以确定风险的暴露点。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。