但是，當企業(yè)將數(shù)據(jù)和責任委托給云計算提供商時，不可能再達到這種熟悉程度，這可能會阻止組織獲得最佳的云計算效率和安全性。顯然，人們需要改變思維方式。

 

調(diào)研機構(gòu)Gartner公司做出了這樣的比喻：與自己駕駛汽車相比，企業(yè)將業(yè)務移動到云端有些像乘坐飛機，而在旅程中，飛機由機組人員進行控制，這可能會引起人們的焦慮。然而，這種焦慮是不合理的，因為就像開車之前會檢查汽車上的油表和輪胎一樣，在每次飛行前都會嚴格檢查飛機的狀況。總而言之，這意味著將業(yè)務遷移到云端，企業(yè)需要對如何控制數(shù)據(jù)具有新的展望，并更好地了解云計算服務提供商為確保安全性所做的工作，以便放棄其底層平臺的所有權(quán)。

 

在當今的背景下，客戶仍然擁有他們的數(shù)據(jù)，但可以與云計算提供商分享管理權(quán)。“控制”的概念已從基于物理位置的所有權(quán)轉(zhuǎn)變?yōu)閷α鞒痰目刂啤Ｒ虼耍髽I(yè)信息安全和風險管理領(lǐng)導者需要采用間接控制的新方法來提高效率和安全性，最重要的是讓人高枕無憂。考慮到這一點，人們將會嘗試定義如何對云計算進行正確的控制。

 

 

安全團隊和開發(fā)人員可以發(fā)現(xiàn)難以掌握基于云計算的控制概念。但實際上，企業(yè)放棄其廣域網(wǎng)中光纖和銅纜的所有權(quán)也面臨類似的情況：電信運營商擁有物理基礎(chǔ)設施，但數(shù)據(jù)仍由客戶擁有和控制。這一切都與描述安全責任有關(guān)。一旦定義了切換點，企業(yè)就會知道除此之外，其云計算服務商(CSP)需要負責數(shù)據(jù)安全。

 

企業(yè)的責任在于設計身份訪問管理策略，該策略不僅涵蓋云平臺，還涵蓋云平臺向外界呈現(xiàn)的應用程序和服務。訪問權(quán)應基于以“最低權(quán)限”為基礎(chǔ)授予用戶權(quán)限，而不是給予所有人更多的權(quán)限。這可以提高審計功能，并降低未經(jīng)授權(quán)更改平臺的風險。

 

最重要的是，企業(yè)應該與云計算提供商合作，以確保加密更高程度的邏輯隔離。靜態(tài)和傳輸中的數(shù)據(jù)加密通常被視為在公共云平臺上保護和隔離數(shù)據(jù)的另一種方式。雖然攻擊者不可能闖入公共云數(shù)據(jù)中心，竊取包含數(shù)據(jù)的物理磁盤驅(qū)動器，但強烈建議考慮使用靜態(tài)數(shù)據(jù)加密。

 

 

隨著監(jiān)管環(huán)境越來越復雜，越來越多地要求使用云計算的組織展示其強大的治理。企業(yè)已將某些控制權(quán)委托給其云計算服務商這一事實，意味著企業(yè)必須證明治理程序已經(jīng)到位，并且正在遵循。

 

為此，企業(yè)應該尋求與提供安全性和合規(guī)性的監(jiān)控和報告的云計算服務提供商合作。并且，具有必要的方法和合規(guī)性證明，可確保企業(yè)的云計算工作負載能夠滿足審核時間的必要要求。

 

 

另一個需要密切關(guān)注的是合同條款，它約束了云計算服務提供商在保護客戶數(shù)據(jù)和隱私方面的作用。與超大規(guī)模云計算提供商簽訂的合同往往絕大多數(shù)都會保護這些云計算服務提供商，但是可以與一些云計算服務提供商合作，就更有利于客戶的條款達成協(xié)議。

 

最終的影響和建議是圍繞云計算服務提供商合同和服務等級協(xié)議(SLA)。許多云計算服務提供商，特別是超大規(guī)模的提供商，在其服務等級協(xié)議(SLA)上可能非常嚴格，并且在被要求更改它們時可能非常不靈活。了解企業(yè)的云計算服務提供商在合規(guī)性不同方面的立場非常重要。云計算服務提供商能夠分享他們的認證和證明嗎?他們對可用性等主題的服務等級協(xié)議(SLA)有多少靈活性?如果根據(jù)服務等級協(xié)議(SLA)提供服務，他們是否會為此支付費用?在開始使用云計算服務提供商的服務之前，這些都是企業(yè)需要獲得答案的問題。在此提出的另一條建議是將外部托管數(shù)據(jù)的安全要求與風險偏好背景下的云計算服務提供商功能進行比較。

 

總而言之，隨著安全風險和合規(guī)性法規(guī)的不斷增加，以及云計算服務的采用，理解云計算安全方面的共同責任非常重要。

 

在云中放棄和維護控制之間取得適當?shù)钠胶猓瑢⑹蛊髽I(yè)能夠安全地利用云計算服務的諸多優(yōu)勢。控制云平臺并不意味著企業(yè)應該管理它的各個方面，但要確保知道負責什么，而不是獲得全面的控制。