安全團隊和開發(fā)人員可以發(fā)現(xiàn)難以掌握基于云計算的控制概念。但實際上，放棄其廣域網(wǎng)中光纖和銅纜的所有權(quán)也是類似的情況：電信運營商擁有物理基礎(chǔ)設(shè)施，但數(shù)據(jù)仍由客戶擁有和控制。這一切都與描述安全責(zé)任有關(guān)。一旦定義了切換點，企業(yè)就會知道除此之外，其云計算服務(wù)提供商負責(zé)安全性。

　　企業(yè)的責(zé)任在于設(shè)計一個身份訪問管理策略，該策略不僅涵蓋云平臺，還涵蓋云平臺向外界呈現(xiàn)的應(yīng)用程序和服務(wù)。訪問權(quán)應(yīng)基于以“最低權(quán)限”為基礎(chǔ)授予用戶權(quán)限，而不是給予所有人更多的權(quán)限。這可以提高審計能力，并降低未經(jīng)授權(quán)更改平臺的風(fēng)險。

　　最重要的是，企業(yè)應(yīng)該與云計算提供商合作，以確保對更高程度的邏輯隔離進行加密�？臻e和傳輸中的數(shù)據(jù)加密通常被視為在公共云平臺上另一種保護和隔離數(shù)據(jù)的方式。雖然任何人都不可能闖入公共云數(shù)據(jù)中心，并物理竊取包含數(shù)據(jù)的磁盤驅(qū)動器，但強烈建議企業(yè)考慮使用空閑數(shù)據(jù)加密。

　　隨著監(jiān)管環(huán)境越來越復(fù)雜，越來越多地要求使用云計算的組織展示其強大的治理。企業(yè)已將某些控制權(quán)委托給其云計算服務(wù)供應(yīng)商，這一事實意味著企業(yè)必須證明治理程序已到位并且正在遵循。

　　為此，企業(yè)應(yīng)該尋求與提供安全性和合規(guī)性監(jiān)控和報告的云計算服務(wù)提供商合作。并且采用必要的方法和合規(guī)性證明，可確保企業(yè)云計算工作負載能夠滿足審核時間的要求。

　　另一個需要密切關(guān)注的是合同條款，它約束了云計算服務(wù)商在保護客戶數(shù)據(jù)和隱私方面的作用。與超大規(guī)模云計算提供商簽訂的合同往往絕大多數(shù)都會保護這些云計算服務(wù)商，但是可以與一些云計算服務(wù)商合作，就更有利于客戶的條款達成協(xié)議。

　　最終的影響和建議是圍繞云計算服務(wù)提供商合同和服務(wù)等級協(xié)議（SLA）。許多云計算服務(wù)商，特別是超大規(guī)模的提供商，在其SLA上可能非常嚴(yán)格，并且在被要求更改它們時可能非常不靈活。了解云計算服務(wù)提供商在合規(guī)性的不同方面的立場非常重要。但他們能夠分享認(rèn)證和證明嗎？他們的SLA對可用性等主題有多大的靈活性？如果SLA不提供服務(wù)，他們會支付服務(wù)信用嗎？在開始使用云計算服務(wù)提供商的服務(wù)之前，這些是企業(yè)需要獲得這些問題的答案。在此提出的另一條建議是將外部托管數(shù)據(jù)的安全要求與風(fēng)險偏好背景下的云計算服務(wù)提供商功能進行比較。

　　總而言之，隨著安全風(fēng)險和合規(guī)性法規(guī)的不斷增加，以及云計算服務(wù)的采用，理解云計算安全方面的共同責(zé)任非常重要。在云中放棄和保留控制之間取得適當(dāng)?shù)钠胶�，將使企業(yè)能夠安全地利用云計算服務(wù)的諸多優(yōu)勢�？刂圃朴嬎悴⒉灰馕吨�企業(yè)應(yīng)該管理云計算的每一個方面，但要確保知道應(yīng)該負責(zé)什么職責(zé)，并獲得正確的控制。