云計(jì)算供應(yīng)商們既然不允許對(duì)他們的網(wǎng)絡(luò)進(jìn)行審查，那么，他們也很難證明其網(wǎng)絡(luò)的安全性。

　　一位云安全專(zhuān)家告訴安全標(biāo)準(zhǔn)大會(huì)的與會(huì)者們說(shuō)，找到一種方法來(lái)驗(yàn)證云計(jì)算提供商的內(nèi)部網(wǎng)絡(luò)安全性是非常重要，但又是相當(dāng)不容易的。

　　客戶(hù)需要知道：數(shù)據(jù)是如何被保護(hù)的、這些數(shù)據(jù)的存放地點(diǎn)、是否可以轉(zhuǎn)移到另一家供應(yīng)商(如果客戶(hù)根據(jù)衡量供應(yīng)商之間安全保密措施之后需要進(jìn)行轉(zhuǎn)移的話(huà))。IT風(fēng)險(xiǎn)管理的咨詢(xún)公司麥克森公司副總裁文森特.坎皮泰利(Vincent Campitelli)表示。

　　云計(jì)算供應(yīng)商根本就沒(méi)有資源可以方便的讓每一位客戶(hù)檢查自己的網(wǎng)絡(luò)，甚而定期的進(jìn)行審查，他說(shuō)?！斑@是一種不可持續(xù)的模式?！?/P>

　　他說(shuō)，大家正在廣泛的探討關(guān)于供應(yīng)商網(wǎng)絡(luò)化的新模式，包括建立一個(gè)已經(jīng)被核實(shí)為安全的“uber 云”服務(wù)供應(yīng)商，提供相應(yīng)的基礎(chǔ)設(shè)施和一系列的云供應(yīng)商服務(wù)標(biāo)準(zhǔn)，以驗(yàn)證云計(jì)算提供商的服務(wù)是否符合其標(biāo)準(zhǔn)。

　　這些標(biāo)準(zhǔn)雖然尚未制定，且必須滿(mǎn)足客戶(hù)的要求，但云安全聯(lián)盟可以從他們當(dāng)前的工作中總結(jié)出相關(guān)的標(biāo)準(zhǔn)。

　　坎皮泰利說(shuō)，傳統(tǒng)的第三方物理網(wǎng)絡(luò)評(píng)估將無(wú)法在云環(huán)境中工作，因?yàn)樗麄儧](méi)有資格評(píng)審評(píng)估云架構(gòu)?！八麄冃枰南嚓P(guān)的工具和新的技能，”他補(bǔ)充說(shuō)。

　　可以實(shí)現(xiàn)的升級(jí)服務(wù)目標(biāo)是：使客戶(hù)能夠管理安全配置、審計(jì)日志、并進(jìn)行自我管理服務(wù)?？蛻?hù)還將能夠進(jìn)行防止數(shù)據(jù)泄漏的預(yù)防措施、申請(qǐng)和執(zhí)行漏洞修補(bǔ)服務(wù)、以及申請(qǐng)定購(gòu)的相關(guān)的服務(wù)分析，他說(shuō)。

　　但即使這樣，也不會(huì)很理想?！澳阍趺粗肋@些工具具體是怎么工作的，真的如同云服務(wù)提供商描述的那樣嗎？”他問(wèn)道?！肮?yīng)商必須贏得他們的客戶(hù)對(duì)于這些工具的充分信任?！?/P>

　　另一位發(fā)言者在會(huì)上表示，對(duì)云安全有助于形成良好決策所需的信息通常不是由云計(jì)算服務(wù)供應(yīng)商提供的?！坝袝r(shí)候，可能你想要的數(shù)據(jù)是得不到的，就算可以得到，也不會(huì)提供給你?！?一家為政府和私營(yíng)部門(mén)提供咨詢(xún)服務(wù)的非營(yíng)利咨詢(xún)，美國(guó)網(wǎng)際網(wǎng)絡(luò)影響部門(mén)(US Cyber Consequences Unit)總監(jiān)沃倫阿克塞爾羅德(Warren Axelrod)說(shuō)。

　　客戶(hù)想知道的并非什么新的風(fēng)險(xiǎn)問(wèn)題，他們只是處于一個(gè)新的環(huán)境，因而很難對(duì)其加以評(píng)估。阿克塞爾羅德說(shuō)。

　　這給企業(yè)IT安全部門(mén)的專(zhuān)業(yè)人士們批準(zhǔn)使用公共云服務(wù)帶來(lái)一定的壓力，因?yàn)檫@些云服務(wù)較之傳統(tǒng)昂貴的內(nèi)部基礎(chǔ)設(shè)施部署是如此的便宜。但是，這同時(shí)也意味著失去對(duì)數(shù)據(jù)的控制。

　　“如果你失去了對(duì)數(shù)據(jù)的控制，企業(yè)的管理者必然會(huì)責(zé)備你?！彼f(shuō)?！皼](méi)有對(duì)數(shù)據(jù)的控制權(quán)，是很難負(fù)起責(zé)任的。”

　　當(dāng)然，對(duì)于企業(yè)的IT安全和法律專(zhuān)家們來(lái)說(shuō)，評(píng)估數(shù)據(jù)缺點(diǎn)，然后才提交數(shù)據(jù)，是穩(wěn)妥的。就算數(shù)據(jù)受到損害，其帶來(lái)的費(fèi)用損失的價(jià)值也足夠低，是可以忍受的，他說(shuō)。