企業如何評估雲服務安全？

隨著雲服務的流行度不斷提升，企業必須與IT合作決定什麼是可以放于雲端的，以及如何確保其它安全。

雲計算獲得了企業越來越多的關注。 是否意味著雲服務對於企業來說已經足夠安全可靠 ？

雖然我的回答是「適情況而定，」但對於安全經理來說，瞭解概括地否定回答並不是一個可接受的答案，這一點很關鍵。 高管和其它業務領導因基於雲的廠商所提 供了成本和便利的好處而受到吸引。 然而，在採取任何行為之前，安全團隊需要瞭解什麼樣的系統和資料可以託管在雲端，在這之前團隊人員可以對雲服務安全性時 行判斷。

另外，組織需要做出決策，決定出什麼可以置於雲端，什麼不能。 一旦這些基準得到解決，專案經理就可以評估一下使用雲供應商的特殊功能的優劣勢。

最重要的，安全團隊需要瞭解什麼樣的系統和資料在雲中。 雲的一個最重大的負面影響是任何持有公司信用卡的員工都可以成為他自己的採購員。 這類影子IT場 景導致更惡劣的情況，卻無從知曉。 如果資料已經遷移到雲端，但是卻沒有人知道的話，安全就不能正確地審查供應商，或持續對供應進行性能監測。 盲目的安全團 隊不能確保應用安全。

在監測確保未知的資料並沒有依賴于雲服務安全後，組織需要決定出什麼樣的資料和系統是他們希望託管于雲端的。 管理需求可能描述了什麼可以放于雲中，什麼不可以。 公司政策可能有更加嚴厲的需求。

那些正在尋找著手點的組織可以看看他們企業現有的資料分類政策。 關於不同類型的資料必須如何處理的政策可能取消了某些來自于使用雲廠商的資訊和功能的資 格。 這些相同的協定可能也強調了其它適合於基於雲解決方案的功能。 為了得到真正的 説明，政策可能需要擴展到創建雲特定的IT部門和業務線（LOB）指南 中。

依賴雲供應商有好處有壞處。 雲服務安全可以犧牲讓IT團隊接受。 所有的 雲計算都涉及到大量的控制，因為有另外一些人負責開通服務、運行並維護伺服器和軟體。 雲服務也是對攻擊者很有吸引力的目標，因為成功的突破口提供大量的組織資料的存取權限。

然而，有些情況下，雲選項可能比本地的更安全。 合格雲供應商已經擁有成熟的安全運營專案，如威脅情報、備份、修補、入侵偵測和回應。 安全經理需要誠懇地問他們自己，他們的組織這些功能及其它要徑任務運行的有多良好。

雲供應商能夠利用一些規模經濟，這也非常吸引中小型企業，同時也給企業組織增加了價值。 另外，有些組織對雲供應商卸載了一些業務流程，從而減少合規工作的規模，如外部設備連接。

雲供應商可以給IT部門和LOB提供大量的價值，但向雲遷移服務和資料的決定需要謹慎。 有現成的決定性流程可以説明避免創建影子IT操作，而且可説明阻止資料蔓延。 有了足夠的提前計畫，企業可以利用雲供應商提供的好處，而不造成IT運營的失控。