Gartner研究副總裁Jay Heiser表示，實(shí)現(xiàn)高水平云計(jì)算安全仍然需要經(jīng)歷長(zhǎng)期而艱難的努力。他表示，在云計(jì)算安全得到改善之前，擁有敏感數(shù)據(jù)的企業(yè)和政府組織可能會(huì)從云服務(wù)中撤離。

Heiser表示：“與小企業(yè)相比，金融機(jī)構(gòu)對(duì)云計(jì)算更加保守。”另外，他認(rèn)為，使用基礎(chǔ)設(shè)施即服務(wù)要比軟件即服務(wù)更容易建立安全基線，因?yàn)橛懈囔`活性，更少依賴于服務(wù)供應(yīng)商。但總體而言，云服務(wù)供應(yīng)商對(duì)于其業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)做法并不是很明確，這使他們很難贏得客戶的信任。

Gartner的客戶對(duì)于云計(jì)算合同的不完整性普遍感到失望，他們并沒有在合同中看到他們期望的與安全相關(guān)的條例。

界定云計(jì)算和客戶之間的技術(shù)和法律義務(wù)很困難，不僅美國(guó)聯(lián)邦政府在其FedRAMP計(jì)劃(尋找為政府提供服務(wù)的云服務(wù)供應(yīng)商)提到了這個(gè)問題，云安全聯(lián)盟(CSA)也在關(guān)注這個(gè)問題，他們建立了幾個(gè)工作組來定義行業(yè)標(biāo)準(zhǔn)。

雖然很多組織都在努力改善云計(jì)算安全，并且所有這些云計(jì)算安全努力也是值得的，但這些標(biāo)準(zhǔn)都需要一年到五年時(shí)間才能成熟。

在此期間，企業(yè)和政府明確其需求，并盡可能地評(píng)估潛在的云服務(wù)及其安全選項(xiàng)。首先應(yīng)該檢查進(jìn)入其云服務(wù)的數(shù)據(jù)的機(jī)密性。

目前云計(jì)算領(lǐng)域最成熟且可用的安全控制都涉及身份和訪問管理機(jī)制以及基于服務(wù)器的加密，但云服務(wù)客戶應(yīng)該詢問供應(yīng)商，加密密鑰是如何管理和存儲(chǔ)的，并確定這種風(fēng)險(xiǎn)是否可接受。取證調(diào)查目前還不可行，并且，從整體安全控制來看，可能需要5到10年才能看到針對(duì)云計(jì)算的“強(qiáng)大的技術(shù)”。

云計(jì)算的經(jīng)濟(jì)吸引力很強(qiáng)大，有時(shí)候經(jīng)濟(jì)利益似乎大約潛在風(fēng)險(xiǎn)。Gartner建議客戶考慮將低敏感度數(shù)據(jù)放到云服務(wù)中，而對(duì)于“中等”敏感度的數(shù)據(jù)，企業(yè)必須進(jìn)行風(fēng)險(xiǎn)評(píng)估。對(duì)于高敏感度數(shù)據(jù)，則不應(yīng)該考慮放到云服務(wù)中。

云服務(wù)供應(yīng)商很少提供針對(duì)攻擊的任何賠償。并且，考慮到云供應(yīng)商可能會(huì)離開云計(jì)算領(lǐng)域，客戶需要確保該供應(yīng)商可以歸還數(shù)據(jù)或者有一個(gè)備份應(yīng)急計(jì)劃。Heiser指出，當(dāng)兩年前Mumboe SaaS關(guān)閉時(shí)，他們給客戶兩個(gè)星期時(shí)間來取回?cái)?shù)據(jù)。這給客戶敲響了警鐘，即云服務(wù)可能會(huì)突然“消失”，客戶應(yīng)該對(duì)這種情況做好準(zhǔn)備。

即使是一些家喻戶曉的云服務(wù)供應(yīng)商(亞馬遜、谷歌和微軟等)，也可能出現(xiàn)數(shù)據(jù)消失的情況，至少在一段時(shí)間內(nèi)消失，或者永久消失。Heiser稱：“恢復(fù)并不是簡(jiǎn)單的過程，將服務(wù)損失和可用性放在你的列表首位。”此外，他還指出，實(shí)時(shí)服務(wù)升級(jí)可能導(dǎo)致廣泛的數(shù)據(jù)損壞。

IT管理人員習(xí)慣地認(rèn)為，對(duì)于應(yīng)用程序、服務(wù)、服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)，他們對(duì)自己能做什么擁有控制權(quán)，但他們需要充分認(rèn)識(shí)到，根據(jù)云計(jì)算的性質(zhì)來看，這種習(xí)慣的靈活性在云計(jì)算中并不存在。