現在，一些企業并不放心遷移到云中，因為這意味著他們的系統數據可能會放到其他地方，而不是他們自己的數據中心內。對于某些企業來說，這是很難接受的概念，特別是對于那些25年以來一直在企業內部保存企業系統和數據的企業。顯然，假如云計算提供商沒有為其客戶的信息部署強大的安全控制的話，他們將很難在市場立足。但現實的情況是，現在很多領先的云計算解決方案提供的一些安全功能甚至超過了大多數企業自己能夠部署的功能。

在這篇文章中，我們將了解領先的云服務提供商的安全做法，并為考慮部署云計算解決方案的企業提出了幾個應該考慮的問題。

云計算解決方案是否有風險評估過程來評估信息資產面臨的風險?

確保有效安全控制的起點是確定云服務提供商的信息安全風險。應該通過執行風險評估來確定各種來源的信息，以及這些信息可能如何被泄露。現在有很多不同的風險評估模式，云服務提供商已經有一個過程來識別信息風險。在識別風險后，企業隨后應該部署控制來緩解這些風險。

云計算解決方案是否部署了安全政策和程序?

根據風險評估過程確定的風險，云服務提供商應該制定一套安全政策和配套程序來部署必要的控制，以解決其安全風險。特設的政策和程序或者沒有被云服務提供商記錄在案以及部署的政策，都應該因其重視。此外，企業還應該部署高級的安全政策和程序來確定企業的安全做法，并最終為實現控制目標建立問責制。

云計算解決方案是否執行安全漏洞或滲透測試?

滲透測試或者漏洞測試是對企業的基礎設施進行掃描，來確定是否存在任何安全漏洞(例如，如果關鍵系統補丁沒有修復，攻擊者則可能利用這個漏洞)。這種類型的測試的目的是確定系統是否可能受到內部或外部攻擊，以及確定企業可以采取哪些措施來抵御或者消除這些威脅。具有良好安全習慣的企業都會定期執行這些類型的測試，并采取行動來應對這些識別的威脅。

云計算解決方案部署了哪些措施來物理保護其數據中心?

保護云計算系統的關鍵在于，物理地保護這些數據中心。云服務提供商應該能夠為這些數據中心提供有限制的訪問，以及足夠的物理屏障，以防止未經授權的訪問。受到很好保護的數據中心可能會非常昂貴，很多企業無法提供像云服務提供商那種水平的安全保護。

云計算解決方案經過什么類型的第三方審計?

云服務提供商有很多第三方審計可供選擇。第三方審計為云服務提供商的各種操作提供獨立的保障。在云計算行業比較常見的報告包括SOC1，SOC2，在某些情況下，還有SOC3，這是由職業審計師執行和簽署的“服務組織控制”報告。這些報告涵蓋了云服務提供商的不同類型的控制。這些報告能夠為企業提供關于云服務提供商的有價值的信息來源。