一、云標(biāo)準(zhǔn)很薄弱

        ISO27001是一個相當(dāng)全面的標(biāo)準(zhǔn)，它涵蓋了很多客戶關(guān)心的運行安全方面的問題。“這對于我來說，至少是評估SaaS供應(yīng)商是否成熟的一個基本依據(jù)，”Wang表示。

        然而，將你的數(shù)據(jù)交給通過ISO27001標(biāo)準(zhǔn)的供應(yīng)商并不能保證你的數(shù)據(jù)的安全性。調(diào)查發(fā)現(xiàn)，很多公司自稱符合ISO27001標(biāo)準(zhǔn)，然后卻承認(rèn)“在特權(quán)用戶管理方面存在不足”，包括在用戶間管理員帳戶的共享以及向用戶授予非必要的更寬泛的特權(quán)。

         二、云計算中的身份驗證并不成熟

        Forrester分析師ChenxiWang表示，云供應(yīng)商本身并不會周全地在他們的云計算平臺中加入身份驗證服務(wù)(通常存在于企業(yè)防火墻后面的服務(wù))。有一些第三方技術(shù)可以讓IT部門加強云計算中基于角色的訪問控制。但總體而言，“這個領(lǐng)域目前仍然處于早期階段，”她表示。

        “對企業(yè)應(yīng)用程序的身份驗證和訪問控制進(jìn)行管理仍然是IT部門面臨的最大挑戰(zhàn)，”根據(jù)云安全聯(lián)盟的研究顯示，“雖然企業(yè)可以部署沒有良好身份驗證和訪問管理戰(zhàn)略的云計算服務(wù)，但從長期來看，將企業(yè)的身份驗證服務(wù)擴展到云服務(wù)中是非常必要的。”

         三、保密

        云供應(yīng)商認(rèn)為他們能夠比一般客戶本身更好地保護(hù)數(shù)據(jù)安全，并且SaaS實際上比大多數(shù)人所想象的更加安全。但是很多客戶覺得這很難相信，因為SaaS供應(yīng)商通常對于他們的安全過程都相當(dāng)保密。

        特別是，很多云服務(wù)供應(yīng)商很少會發(fā)布關(guān)于他們數(shù)據(jù)中心及運行的詳細(xì)數(shù)據(jù)，并聲稱這樣做將會破壞安全性。然而，客戶和行業(yè)專家們早已受夠了所有懸而未決的問題以及保密協(xié)議。

        在某些情況下，如果供應(yīng)商愿意，客戶可能可以調(diào)來自己的專家并試圖進(jìn)入供應(yīng)商的網(wǎng)絡(luò)進(jìn)行安全測試。

         四、你并不總是知道你的數(shù)據(jù)的位置

        不過這仍然是比較少見的功能，即使數(shù)據(jù)存儲在一個國家內(nèi)，客戶也需要能夠確認(rèn)數(shù)據(jù)的位置以滿足監(jiān)管要求，這也是EMC正在開發(fā)跟蹤和驗證云網(wǎng)絡(luò)中虛擬機位置的技術(shù)，但是這種技術(shù)要到明年才會面市，并且它要求EMC、VMware以及英特爾產(chǎn)品的整合。

        “現(xiàn)在，沒有任何技術(shù)可以驗證虛擬機的位置，”EMC公司VMware技術(shù)副總裁ChadSakac表示，“沒有任何失誤可以阻止你將一個虛擬機轉(zhuǎn)移到世界上任何位置，更重要的是，并沒有辦法對這種轉(zhuǎn)移進(jìn)行審計。”