隨著企業不斷進入云端，選擇云廠商以及同這個廠商簽訂合同一項重要的考慮就是要明確規定責任。大多數云環境以共享安全責任為特征，形成連續體。對于SaaS環境，SaaS提供商承擔了大部分的責任。對于基礎架構即服務(IaaS)或者平臺即服務(PaaS)環境，廠商的責任更小，而客戶的更大。

在IaaS云環境中(為了簡潔，這篇文章將吧IaaS和PaaS合并在一起)，廠商提供核心基礎架構。也就是說基礎的網絡、流程和存儲服務。客戶負責顆粒化網絡管理、服務器管理和數據存儲管理。大部分主要的云安全考量都控制在客戶手上，客戶責任包括：

控制網絡訪問(開啟和關閉端口以及協議)

授權或者拒絕服務器和服務層訪問(客戶負責服務器和服務配置)

設計、實施、維護和檢查應用內的訪問控制

實施故障恢復和其他冗余解決方案

持續監控訪問、安全和可用性

通過設計、配置和操作的主要控制，客戶在確保IaaS環境安全的責任就是確保廠商(通過技術或者策略控制)不能訪問服務器或者數據。廠商實施技術控制而不是依賴于策略更合適。作為一個限制技術控制的廠商的IaaS客戶而且較大依賴于策略和規程，理解廠商的監控方法非常重要。確信廠商能夠且將會監測未認證的嘗試對于你的資源的訪問。記住：目標是限制你的廠商的數據和服務訪問，同時他們能夠影響你的服務可用性。

隨著現在數據加密的新發展，廠商訪問敏感信息已經可以通過沒有加密密鑰的透視數據不可讀進行可行控制。這種情況下的密鑰考慮就是維護加密密鑰的位移控制。大量IaaS廠商將會同意“禁止訪問”場景，如果你的廠商對于密鑰訪問施壓，你應該嚴肅的重新考慮你們之間的關系。實施了數據加密，要記住依賴數據庫加密增加了風險。應用可以成功查詢數據庫服務器中的數據，就會擊敗加密工作。因為這個原因，***在應用層投資實施加密和解密。

在同一個IaaS廠商簽訂合同時，你的職責包括：

選擇具有強壯技術控制的廠商，能夠阻止訪問或者數據和服務中斷

在合適的地方加強合同關系，加強自身部分***的需求控制，最小化廠商部分的控制

開發和實施技術控制，強化合同關系，監測潛在服務終端和未授權訪問嘗試

設計和實施評估程序，在合同和技術邊界上驗證廠商的運營

簡而言之，你的IaaS環境目標就是限制廠商安全事件導致的風險，在評估中增加你發現不足技術和策略控制的可能性，最小化在事件發生時發現安全事件的可能性。