云计算供应商如何证明提供的服务值得信赖

云计算供应商们既然不允许对他们的网络进行审查，那么，他们也很难证明其网络的安全性。

一位云安全专家告诉安全标准大会的与会者们说，找到一种方法来验证云计算提供商的内部网络安全性是非常重要，但又是相当不容易的。

客户需要知道：数据是如何被保护的、这些数据的存放地点、是否可以转移到另一家供应商(如果客户根据衡量供应商之间安全保密措施之后需要进行转移的话)。IT风险管理的咨询公司麦克森公司副总裁文森特.坎皮泰利(Vincent Campitelli)表示。

云计算供应商根本就没有资源可以方便的让每一位客户检查自己的网络，甚而定期的进行审查，他说。“这是一种不可持续的模式。”

他说，大家正在广泛的探讨关于供应商网络化的新模式，包括建立一个已经被核实为安全的“uber 云”服务供应商，提供相应的基础设施和一系列的云供应商服务标准，以验证云计算提供商的服务是否符合其标准。

这些标准虽然尚未制定，且必须满足客户的要求，但云安全联盟可以从他们当前的工作中总结出相关的标准。

坎皮泰利说，传统的第三方物理网络评估将无法在云环境中工作，因为他们没有资格评审评估云架构。“他们需要的相关的工具和新的技能，”他补充说。

可以实现的升级服务目标是：使客户能够管理安全配置、审计日志、并进行自我管理服务。客户还将能够进行防止数据泄漏的预防措施、申请和执行漏洞修补服务、以及申请定购的相关的服务分析，他说。

但即使这样，也不会很理想。“你怎么知道这些工具具体是怎么工作的，真的如同云服务提供商描述的那样吗？”他问道。“供应商必须赢得他们的客户对于这些工具的充分信任。”

另一位发言者在会上表示，对云安全有助于形成良好决策所需的信息通常不是由云计算服务供应商提供的。“有时候，可能你想要的数据是得不到的，就算可以得到，也不会提供给你。” 一家为政府和私营部门提供咨询服务的非营利咨询，美国网际网络影响部门(US Cyber Consequences Unit)总监沃伦阿克塞尔罗德(Warren Axelrod)说。

客户想知道的并非什么新的风险问题，他们只是处于一个新的环境，因而很难对其加以评估。阿克塞尔罗德说。

这给企业IT安全部门的专业人士们批准使用公共云服务带来一定的压力，因为这些云服务较之传统昂贵的内部基础设施部署是如此的便宜。但是，这同时也意味着失去对数据的控制。

“如果你失去了对数据的控制，企业的管理者必然会责备你。”他说。“没有对数据的控制权，是很难负起责任的。”

当然，对于企业的IT安全和法律专家们来说，评估数据缺点，然后才提交数据，是稳妥的。就算数据受到损害，其带来的费用损失的价值也足够低，是可以忍受的，他说。