云安全理應是云服務供應商和企業的共同責任，不過當今責任的界限的確有些 “云遮霧罩”。責任界限的劃分應直接取決于企業所選擇的云服務模型，它們既可能是軟件即服務(SaaS)，又可能是平臺即服務(PaaS)，還可能是基礎架構即服務(IaaS)。

在云計算模型下，企業應怎樣提高云安全，以充分利用云計算來獲得利益?CA Technologies認為只要六種方法就可以讓企業走上通往“云安全”的大道。下面就讓我們跟隨本文來看看這六個方法。

讓企業走上通往“云安全”的大道方法：1.內部私有云，奠定你的云計算基礎

企業需要對現有的內部私有云環境，以及企業為此云環境所構建的安全系統和程序有深刻的理解，并從中汲取經驗。不要辯解說你的企業并沒有建立私有云，事實上，不知不覺中，企業已經建立了內部云環境。在過去十年中，大中型企業都在設置云環境，雖然他們將其稱之為“共享服務”而不是“云”。這些“共享服務”包括驗證服務、配置服務、數據庫服務、企業數據中心等，這些服務一般都以相對標準化的硬件和操作系統平臺為基礎。

讓企業走上通往“云安全”的大道方法：2.風險評估，商業安全的重要保障

對各種需要IT支持的業務流程進行風險性和重要性的評估。 你可能很容易計算出采用云環境所節約的成本，但是“風險/收益比”也同樣不可忽視，你必須首先了解這個比例關系中的風險因素。云服務供應商無法為企業完成風險分析，因為這完全取決于業務流程所在的商業環境。對于成本較高的服務水平協議(SLA)應用，云計算無疑是首選方案。作為風險評估的一部分，我們還應考慮到潛在的監管影響，因為監管機構禁止某些數據和服務出現在企業、州或國家之外的地區。

讓企業走上通往“云安全”的大道方法：3.不同云模型，精準支持不同業務

企業應了解不同的云模式 (公共云、私有云與混合云)以及不同的云類型(SaaS，PaaS，IaaS)，因為它們之間的區別將對安全控制和安全責任產生直接影響。根據自身組織環境以及業務風險狀況(見上文第2條的分析)，所有企業都應具備針對云的相應觀點或策略。在風險分析的過程中，法律機構也應發揮重要作用，因為涉及擔保和債務的事務也是分析的重要內容。

讓企業走上通往“云安全”的大道方法：4.SOA體系結構，云環境的早期體驗

提升云安全的第四個方法：將SOA(面向服務的架構)設計和安全原則應用于云環境。多數企業在幾年前就已將SOA原則運用于應用開發流程 。其實，云環境不就是SOA的大規模擴展嗎?面向服務的架構的下一個邏輯發展階段就是云環境。

企業可將SOA高度分散的安全執行原則與集中式安全政策管理和決策制定相結合，并直接運用于云環境。在將重心由SOA轉向云環境時，企業無需重新制定這些安全策略，只需將原有策略轉移到云環境即可。

讓企業走上通往“云安全”的大道方法：5.雙重角色轉換，填補云計算生態鏈

從云服務供應商的角度考慮問題。多數企業剛開始都會把自己看作云服務用戶，但是不要忘記，你的企業組織也是價值鏈的組成部分，你也需要向客戶和合作伙伴提供服務。

如果你能夠實現風險與收益的平衡，從而實現云服務的利益最大化，那么你也可以遵循這種思路，適應自己在這個生態系統中的云服務供應商的角色。這樣做也能夠幫助企業更好地了解云服務供應商的工作流程。

讓企業走上通往“云安全”的大道方法：6.網絡安全標準，設置自身“防火墻”

熟悉企業自身，并啟用網絡安全標準 -長期以來，網絡安全產業一直致力于實現跨域系統的安全和高效管理，目前已經制定了多項行之有效的安全標準，并已將其用于、或即將用于保障云服務的安全。

為了在云環境世界里高效工作，企業必須采用這些標準，它們包括：SAML(安全斷言標記語言)，SPML(服務配置標記語言)，XACML(可擴展訪問控制標記語言)和WS-Security(網絡服務安全)。對于那些已經將瀏覽器會話與SAML結合的企業，下面這句話則是最好鼓勵：你們已經把云安全IQ提高了!

為了提高云服務的安全性，企業必須確保安全專家們是云服務的理性提倡者，而非反對者或者懷疑者，這是對企業最重要的要求之一。擁有正確心態的業務驅動型技術人員能夠成為“風險/收益”對話中的積極力量，從而幫助企業提升云安全。