云計算供應商如何證明提供的服務值得信賴？

　　云計算供應商們既然不允許對他們的網絡進行審查，那么，他們也很難證明其網絡的安全性。

　　一位云安全專家告訴安全標準大會的與會者們說，找到一種方法來驗證云計算提供商的內部網絡安全性是非常重要，但又是相當不容易的。

　　客戶需要知道：數據是如何被保護的、這些數據的存放地點、是否可以轉移到另一家供應商(如果客戶根據衡量供應商之間安全保密措施之后需要進行轉移的話)。IT風險管理的咨詢公司麥克森公司副總裁文森特.坎皮泰利(Vincent Campitelli)表示。

　　云計算供應商根本就沒有資源可以方便的讓每一位客戶檢查自己的網絡，甚而定期的進行審查，他說。“這是一種不可持續的模式。”

　　他說，大家正在廣泛的探討關于供應商網絡化的新模式，包括建立一個已經被核實為安全的“uber 云”服務供應商，提供相應的基礎設施和一系列的云供應商服務標準，以驗證云計算提供商的服務是否符合其標準。

　　這些標準雖然尚未制定，且必須滿足客戶的要求，但云安全聯盟可以從他們當前的工作中總結出相關的標準。

　　坎皮泰利說，傳統的第三方物理網絡評估將無法在云環境中工作，因為他們沒有資格評審評估云架構。“他們需要的相關的工具和新的技能，”他補充說。

　　可以實現的升級服務目標是：使客戶能夠管理安全配置、審計日志、并進行自我管理服務。客戶還將能夠進行防止數據泄漏的預防措施、申請和執行漏洞修補服務、以及申請定購的相關的服務分析，他說。

　　但即使這樣，也不會很理想。“你怎么知道這些工具具體是怎么工作的，真的如同云服務提供商描述的那樣嗎？”他問道。“供應商必須贏得他們的客戶對于這些工具的充分信任。”

　　另一位發言者在會上表示，對云安全有助于形成良好決策所需的信息通常不是由云計算服務供應商提供的。“有時候，可能你想要的數據是得不到的，就算可以得到，也不會提供給你。” 一家為政府和私營部門提供咨詢服務的非營利咨詢，美國網際網絡影響部門(US Cyber Consequences Unit)總監沃倫阿克塞爾羅德(Warren Axelrod)說。

　　客戶想知道的并非什么新的風險問題，他們只是處于一個新的環境，因而很難對其加以評估。阿克塞爾羅德說。

　　這給企業IT安全部門的專業人士們批準使用公共云服務帶來一定的壓力，因為這些云服務較之傳統昂貴的內部基礎設施部署是如此的便宜。但是，這同時也意味著失去對數據的控制。

　　“如果你失去了對數據的控制，企業的管理者必然會責備你。”他說。“沒有對數據的控制權，是很難負起責任的。”

　　當然，對于企業的IT安全和法律專家們來說，評估數據缺點，然后才提交數據，是穩妥的。就算數據受到損害，其帶來的費用損失的價值也足夠低，是可以忍受的，他說。