安全團(tuán)隊(duì)和開發(fā)人員可以發(fā)現(xiàn)難以掌握基于云計(jì)算的控制概念。但實(shí)際上，放棄其廣域網(wǎng)中光纖和銅纜的所有權(quán)也是類似的情況：電信運(yùn)營(yíng)商擁有物理基礎(chǔ)設(shè)施，但數(shù)據(jù)仍由客戶擁有和控制。這一切都與描述安全責(zé)任有關(guān)。一旦定義了切換點(diǎn)，企業(yè)就會(huì)知道除此之外，其云計(jì)算服務(wù)提供商負(fù)責(zé)安全性。

　　企業(yè)的責(zé)任在于設(shè)計(jì)一個(gè)身份訪問(wèn)管理策略，該策略不僅涵蓋云平臺(tái)，還涵蓋云平臺(tái)向外界呈現(xiàn)的應(yīng)用程序和服務(wù)。訪問(wèn)權(quán)應(yīng)基于以“最低權(quán)限”為基礎(chǔ)授予用戶權(quán)限，而不是給予所有人更多的權(quán)限。這可以提高審計(jì)能力，并降低未經(jīng)授權(quán)更改平臺(tái)的風(fēng)險(xiǎn)。

　　最重要的是，企業(yè)應(yīng)該與云計(jì)算提供商合作，以確保對(duì)更高程度的邏輯隔離進(jìn)行加密。空閑和傳輸中的數(shù)據(jù)加密通常被視為在公共云平臺(tái)上另一種保護(hù)和隔離數(shù)據(jù)的方式。雖然任何人都不可能闖入公共云數(shù)據(jù)中心，并物理竊取包含數(shù)據(jù)的磁盤驅(qū)動(dòng)器，但強(qiáng)烈建議企業(yè)考慮使用空閑數(shù)據(jù)加密。

　　隨著監(jiān)管環(huán)境越來(lái)越復(fù)雜，越來(lái)越多地要求使用云計(jì)算的組織展示其強(qiáng)大的治理。企業(yè)已將某些控制權(quán)委托給其云計(jì)算服務(wù)供應(yīng)商，這一事實(shí)意味著企業(yè)必須證明治理程序已到位并且正在遵循。

　　為此，企業(yè)應(yīng)該尋求與提供安全性和合規(guī)性監(jiān)控和報(bào)告的云計(jì)算服務(wù)提供商合作。并且采用必要的方法和合規(guī)性證明，可確保企業(yè)云計(jì)算工作負(fù)載能夠滿足審核時(shí)間的要求。

　　另一個(gè)需要密切關(guān)注的是合同條款，它約束了云計(jì)算服務(wù)商在保護(hù)客戶數(shù)據(jù)和隱私方面的作用。與超大規(guī)模云計(jì)算提供商簽訂的合同往往絕大多數(shù)都會(huì)保護(hù)這些云計(jì)算服務(wù)商，但是可以與一些云計(jì)算服務(wù)商合作，就更有利于客戶的條款達(dá)成協(xié)議。

　　最終的影響和建議是圍繞云計(jì)算服務(wù)提供商合同和服務(wù)等級(jí)協(xié)議（SLA）。許多云計(jì)算服務(wù)商，特別是超大規(guī)模的提供商，在其SLA上可能非常嚴(yán)格，并且在被要求更改它們時(shí)可能非常不靈活。了解云計(jì)算服務(wù)提供商在合規(guī)性的不同方面的立場(chǎng)非常重要。但他們能夠分享認(rèn)證和證明嗎？他們的SLA對(duì)可用性等主題有多大的靈活性？如果SLA不提供服務(wù)，他們會(huì)支付服務(wù)信用嗎？在開始使用云計(jì)算服務(wù)提供商的服務(wù)之前，這些是企業(yè)需要獲得這些問(wèn)題的答案。在此提出的另一條建議是將外部托管數(shù)據(jù)的安全要求與風(fēng)險(xiǎn)偏好背景下的云計(jì)算服務(wù)提供商功能進(jìn)行比較。

　　總而言之，隨著安全風(fēng)險(xiǎn)和合規(guī)性法規(guī)的不斷增加，以及云計(jì)算服務(wù)的采用，理解云計(jì)算安全方面的共同責(zé)任非常重要。在云中放棄和保留控制之間取得適當(dāng)?shù)钠胶猓瑢⑹蛊髽I(yè)能夠安全地利用云計(jì)算服務(wù)的諸多優(yōu)勢(shì)。控制云計(jì)算并不意味著企業(yè)應(yīng)該管理云計(jì)算的每一個(gè)方面，但要確保知道應(yīng)該負(fù)責(zé)什么職責(zé)，并獲得正確的控制。