虽然云计算服务供应商已经在尽自己的最大努力,行业协会诸如云安全联盟Cloud Security Alliance也在不断地在做尝试,但是,现实中云安全还是遗留下许多麻烦的问题,云服务提供商有太多推卸责任的机会。
旧金山举行的RSA大会一个分会场专门就此展开了讨论,与会的专家们抱怨云计算供应商缺乏足够的透明度,这严重影响了用户的采购决心。
参加大会的观众指出,当前云计算服务没有权威的认证。并且云计算服务供应商不允许企业用户接触云服务的物理设备和具体位置,这给用户进行托管服务时造成了困惑。
Zynga公司的前CSO Nils Pulhman建议,所有的IT采购人员都应该严格考验云计算服务供应商,在云安全方面。你要像一个警察一样的调查你的供应商,要摸清你的供应商是否足够成熟。
根据他的亲身体验,特别是那些新兴公司,10个里面有9个当你不断地用问题考验他们,他们都会招架不住,露出马脚。
他认为企业用户需要首先认清楚这一点,就是云计算供应商会极大地削弱他们的安全保障。这种安全的先天不足削弱了用户的主导作用。所以,用户需要增强自身对云计算服务的控制能力。
vScaler云服务提供商副总监建议,用户要尽可能的让供应披露自己的产品服务,没有足够的透明度,你不可能去审计。
但是,现场还有人认为,一个小型的企业用户没有足够的精力和财力去审计云计算提供商的安全政策开发性。
一位与会者问及试图评估SaaS提供商的不同厂商的PaaS平台的问题,这是托管在三分之一个供应商的云计算基础设施。“这是否意味着需要工作三次?”
福克斯霍芬推迟了企业客户的问题说,作为一个供应商,他得到了巨大的安全相关的问卷调查,来自那些潜在客户,大部分的问题并不适用于安全是云计算的实现方式。
他说,没有简单的答案,但它管理的建议之一是用户多跟其他客户交流,了解他们的经历和体验,针对一个特定的服务商。“这是不幸的现实,我们在今天,”福克斯霍芬说。