云計算獲得了企業(yè)越來越多的關注，是否意味著云服務對于企業(yè)來說已經足夠安全可靠 ?

雖然筆者的回答是“適情況而定”，但對于安全經理來說，了解概括地否定回答并不是一個可接受的答案，這一點很關鍵。高管和其它業(yè)務領導因基于云的廠商所提供了成本和便利的好處而受到吸引。然而，在采取任何行為之前，安全團隊需要了解什么樣的系統(tǒng)和數據可以托管在云端，在這之前團隊人員可以對云服務安全性時行判斷。

另外，組織需要做出決策，決定出什么可以置于云端，什么不能。一旦這些基準得到解決，項目經理就可以評估一下使用云供應商的特殊功能的優(yōu)劣勢。

最重要的，安全團隊需要了解什么樣的系統(tǒng)和數據在云中。云的一個最重大的負面影響是任何持有公司信用卡的員工都可以成為他自己的采購員。這類影子IT場景導致更惡劣的情況，卻無從知曉。如果數據已經遷移到云端，但是卻沒有人知道的話，安全就不能正確地審查供應商，或持續(xù)對供應進行性能監(jiān)測。盲目的安全團隊不能確保應用安全。

在監(jiān)測確保未知的數據并沒有依賴于云服務安全后，組織需要決定出什么樣的數據和系統(tǒng)是他們希望托管于云端的。管理需求可能描述了什么可以放于云中，什么不可以。公司政策可能有更加嚴厲的需求。

那些正在尋找著手點的組織可以看看他們企業(yè)現有的數據分類政策。關于不同類型的數據必須如何處理的政策可能取消了某些來自于使用云廠商的信息和功能的資格。這些相同的協(xié)議可能也強調了其它適合于基于云解決方案的功能。為了得到真正的 幫助，政策可能需要擴展到創(chuàng)建云特定的IT部門和業(yè)務線（LOB）指南中。

依賴云供應商有好處有壞處。云服務安全可以犧牲讓IT團隊接受。所有的 云計算都涉及到大量的控制，因為有另外一些人負責開通服務、運行并維護服務器和軟件。云服務也是對攻擊者很有吸引力的目標，因為成功的突破口提供大量的組織數據的訪問權限。

然而，有些情況下，云選項可能比本地的更安全。合格云提供商已經擁有成熟的安全運營項目，如威脅情報、備份、修補、入侵檢測和響應。安全經理需要誠懇地問他們自己，他們的組織這些功能及其它關鍵任務運行的有多良好。

云供應商能夠利用一些規(guī)模經濟，這也非常吸引中小型企業(yè)，同時也給企業(yè)組織增加了價值。另外，有些組織對云供應商卸載了一些業(yè)務流程，從而減少合規(guī)工作的規(guī)模，如外部設備連接。

云供應商可以給IT部門和LOB提供大量的價值，但向云遷移服務和數據的決定需要謹慎。有現成的決定性流程可以幫助避免創(chuàng)建影子IT操作，而且可幫助阻止數據蔓延。有了足夠的提前計劃，企業(yè)可以利用云供應商提供的好處，而不造成IT運營的失控。