隨著云服務(wù)的流行度不斷提升，企業(yè)必須與IT合作決定什么是可以放于云端的，以及如何確保其它安全。

云計算獲得了企業(yè)越來越多的關(guān)注。是否意味著云服務(wù)對于企業(yè)來說已經(jīng)足夠安全可靠 ？

雖然我的回答是“適情況而定，”但對于安全經(jīng)理來說，了解概括地否定回答并不是一個可接受的答案，這一點很關(guān)鍵。高管和其它業(yè)務(wù)領(lǐng)導(dǎo)因基于云的廠商所提供了成本和便利的好處而受到吸引。然而，在采取任何行為之前，安全團隊需要了解什么樣的系統(tǒng)和數(shù)據(jù)可以托管在云端，在這之前團隊人員可以對云服務(wù)安全性時行判斷。

另外，組織需要做出決策，決定出什么可以置于云端，什么不能。一旦這些基準(zhǔn)得到解決，項目經(jīng)理就可以評估一下使用云供應(yīng)商的特殊功能的優(yōu)劣勢。

最重要的，安全團隊需要了解什么樣的系統(tǒng)和數(shù)據(jù)在云中。云的一個最重大的負面影響是任何持有公司信用卡的員工都可以成為他自己的采購員。這類影子IT場景導(dǎo)致更惡劣的情況，卻無從知曉。如果數(shù)據(jù)已經(jīng)遷移到云端，但是卻沒有人知道的話，安全就不能正確地審查供應(yīng)商，或持續(xù)對供應(yīng)進行性能監(jiān)測。盲目的安全團隊不能確保應(yīng)用安全。

在監(jiān)測確保未知的數(shù)據(jù)并沒有依賴于云服務(wù)安全后，組織需要決定出什么樣的數(shù)據(jù)和系統(tǒng)是他們希望托管于云端的。管理需求可能描述了什么可以放于云中，什么不可以。公司政策可能有更加嚴(yán)厲的需求。

那些正在尋找著手點的組織可以看看他們企業(yè)現(xiàn)有的數(shù)據(jù)分類政策。關(guān)于不同類型的數(shù)據(jù)必須如何處理的政策可能取消了某些來自于使用云廠商的信息和功能的資格。這些相同的協(xié)議可能也強調(diào)了其它適合于基于云解決方案的功能。為了得到真正的 幫助，政策可能需要擴展到創(chuàng)建云特定的IT部門和業(yè)務(wù)線（LOB）指南中。

依賴云供應(yīng)商有好處有壞處。云服務(wù)安全可以犧牲讓IT團隊接受。所有的 云計算都涉及到大量的控制，因為有另外一些人負責(zé)開通服務(wù)、運行并維護服務(wù)器和軟件。云服務(wù)也是對攻擊者很有吸引力的目標(biāo)，因為成功的突破口提供大量的組織數(shù)據(jù)的訪問權(quán)限。

然而，有些情況下，云選項可能比本地的更安全。合格云提供商已經(jīng)擁有成熟的安全運營項目，如威脅情報、備份、修補、入侵檢測和響應(yīng)。安全經(jīng)理需要誠懇地問他們自己，他們的組織這些功能及其它關(guān)鍵任務(wù)運行的有多良好。

云供應(yīng)商能夠利用一些規(guī)模經(jīng)濟，這也非常吸引中小型企業(yè)，同時也給企業(yè)組織增加了價值。另外，有些組織對云供應(yīng)商卸載了一些業(yè)務(wù)流程，從而減少合規(guī)工作的規(guī)模，如外部設(shè)備連接。

云供應(yīng)商可以給IT部門和LOB提供大量的價值，但向云遷移服務(wù)和數(shù)據(jù)的決定需要謹(jǐn)慎。有現(xiàn)成的決定性流程可以幫助避免創(chuàng)建影子IT操作，而且可幫助阻止數(shù)據(jù)蔓延。有了足夠的提前計劃，企業(yè)可以利用云供應(yīng)商提供的好處，而不造成IT運營的失控。