Interop會議的參加者本周四聽說，如果你認為滿足安全審計要求是很難的，如果你要把你的數據放在云計算中，你要設法通過這種審計。

　　Savvis負責安全服務的副總裁Chris Richter領導一個云計算安全小組。他說，審計人員的任務是讓企業保持一個定義良好的標準。這些安全標準不僅僅是為云計算環境存在的。因此，審計人員要慎之又慎。他們需要非常嚴格，因為對于審計沒有明確的政策。

　　這些規則應該與時俱進。但是，這些規則目前還不存在。因此，企業需要謹慎對待他們要提交給云計算的數據類型，要保證數據符合遵守法規的標準，例如，保證在這些標準中能夠可驗證地處理HIPAA、PCI和Sarbanes-Oxley等法規要求的事情。

　　Richter說，審計人員要看到云計算的內部情況。這是許多云計算提供商不允許的。許多云計算提供商對于自己的物理架構、政策、安全、虛擬局域網架構和其它重要的因素都是保密的。如果你看不到數據是如何流動的，虛擬局域網是如何分段的，看不到你的數據是如何與其他人的數據分開的，你就不要允許做這個事情。

　　Richter說，使這個問題變得復雜的是身份識別和訪問管理是如何處理的，這樣，非授權用戶就不能進入企業云計算中。他說，我還不知道任何人在云計算中實現了真正有效的身份識別和訪問管理。

　　這就是說，他認為對于最敏感的信息使用專有云計算是可能的。他說，我知道最強大的專有的云計算。我有信心把我的最有價值的數據放在那里。這樣做的部分原因是企業在專用云計算中能夠保留對數據、應用程序和基礎設施的控制水平。你可以更相信你做的事情。

　　無論一項云計算是否得到企業的信任和是否能夠得到審計人員的批準，保護數據的責任仍在企業身上。外部應用程序、平臺或者基礎設施并不能把責任外包出去。

　　如果一個云計算提供商被人們普遍認為是遵守安全標準的，這并不意味著使用這個云計算服務的個別企業也會符合標準。正式你的最終用戶要為遵守法規負責，而不是服務提供商承擔責任。

　　Richter為計劃使用某種形式的云計算的企業制定了8個步驟，讓他們按照這些步驟從專有的傳統的基礎設施安全地過渡到云計算：

　　1.評估你的應用程序。有些應用程序與你的企業系統關系非常密切，不適用于云計算。

　　2.分類數據。確定什么是敏感的數據，什么不是敏感的數據。這個結果可以決定你選擇什么類型的云計算。

　　3.確定最適合你的云計算類型：軟件即服務、平臺即服務還是基礎設施即服務。

　　4.選擇交付方式。專有的云計算、自己管理的云計算、管理的或者外部的云計算、公共云計算、企業從高云計算、混合云計算。

　　5.指定平臺架構。這應該包括計算、存儲、備份、網絡路由、虛擬化與專用硬件等技術規范。

　　6.指定安全控制。這應該包括防火墻、入侵檢測/預防系統、記錄管理、應用程序保護、數據損失保護、身份和訪問控制、加密與安全漏洞掃描等。

　　7.政策要求。查看云計算提供商的政策，保證他們的政策符合你的要求。“相信我，每一個提供商的政策都是有很大區別的。”

　　8.查看服務提供商本身。服務提供商在地理上是不是分散的？用戶能自動配置嗎？服務提供商是否有足夠的容量滿足突然增長的需求？他們是否能夠監視所有的用戶通訊以避免一個用戶不慎對云計算實施拒絕服務攻擊？服務級協議是什么？這個提供商的財務狀況穩定嗎？