回顧即將過去的2013年，企業越來越多地開始使用云計算服務，但是云計算的安全問題仍然是企業部署這些服務的最大障礙。對于大多數行業而言，云服務已經成為企業基礎設施的一部分，很多員工在沒有經過IT部門批準就已經部署了云服務。例如云服務評估公司Skyhigh Networks增加了約500項云服務。

Skyhigh Networks首席執行官兼聯合創始人Rajiv Gupta表示：“員工使用云服務幾乎沒有評估這些服務的風險。”出于這個原因，在2014年，安全要求將會成為企業的核心問題，近一半的IT經理都關心其云資源的安全性，而35%的人認為云安全要優于企業內部部署。其中一個原因是：很多云供應商未能解決其客戶關心的問題。

安全服務供應商Sage Data Security公司總裁Charles Burckmyer稱其客戶經常通過他們評估第三方云服務的安全性。他表示，“客戶需要建立一個結構化的方法來與云供應商合作，并要有一個程序來創建被允許的例外情況、分配風險和緩解這種風險，對于大多數客戶而言，圍繞云服務的安全性是非常重要的。”

通過與其云供應商進行溝通，企業客戶可以創建一個安全的混合基礎設施。下面是企業應該與云供應商討論的五個問題：

1. 明確安全責任

云服務供應商繼續將保護數據的責任放在客戶身上，而很多客戶認為云服務應該對數據承擔責任。與前幾年相比，在2013年，這種期望差距有所縮小，但根據Ponemon研究公司的調查顯示，超過三分之一的客戶仍然期望其軟件即服務供應商保護應用程序和數據的安全。只有8%的企業通過其信息技術和安全團隊來評估應用程序的安全性。

Sage Data Security的Burckmyer表示，雖然很多行業已經轉移到云計算，但一些安全意識較強的行業和那些需要遵守法規的行業則止步不前，因為云供應商沒有明確其風險。

他表示，“云供應商盡職調查、了解客戶的責任以及了解你的供應商將如何支持你履行你的職責，都是非常必要的話題，從監管和安全的角度來看，轉移到云計算的過程一直沒有很明確，因為很多供應商做的還不夠。”

2.構建能夠提供有意義日志數據的系統

越來越多的企業想要收集關于其數據和應用程序在云中的安全信息。然而，很多云供應商沒有提供詳細的日志文件，或者不能完全分離一個客戶與另一個客戶的事件信息。

“我們需要制定默認的標準做法，即有一定量的日志信息可以主動提供給所有需要追蹤的企業來進行各種分析，”云安全聯盟首席執行官Jim Reavis表示，“日志文件一直是癥結所在。”

對管理訪問日志保持審計是非常重要的，但大多數小型云服務沒有提供這種信息。

3. 加密應該更普遍

企業不僅要求云中終端到終端加密，而且越來越多地要求云供應商允許他們在將數據轉移到云中前，在企業內部加密數據。

云服務管理公司Netskope首席執行官Sanjay Ber表示，云供應商不僅要與客戶合作，而且要制定強大的加密解決方案，以讓企業確保其數據的安全性，同時允許保留一些功能。

Beri說，“作為應用程序供應商，加密應該是他們可以比任何人都做得更好的事情，沒有人比他們更了解應用程序，只要他們將密鑰交給第三方管理，很多客戶都會很高興。”

4. 通知用戶異常情況

如果攻擊者獲取了賬戶信息，加密將不足以保護客戶的數據。出于這個原因，云供應商還必須部署良好的異常檢測系統，并與客戶共享這些系統的信息和審計記錄。Gupta表示：“你需要所有這些不同的工具來確保云供應商滿足客戶的需求，這是一種分層的辦法。”

5. 如何保護從第三方的訪問

雖然云供應商受到其所在國家以及數字所在國家的監管，由美國國家安全局和其他國家情報局進行的大量數據收集工作讓企業越來越多地開始詢問云供應商，誰在請求數據、頻率如何，以及供應商是否實現這些國家的請求等。

CSA的Reavis表示，“很顯然，供應商需要讓客戶了解他們是如何管理和處理信息請求，供應商還沒有開始看到，他們需要對政府的請求敬而遠之。”

這種明確需要延伸到信息的所有權，云供應商需要強調其客戶仍然對這些數據擁有所有權，并盡可能明確供應商對數據的使用權。