Gartner比来的一项研究猜想了所有云范畴的营业都将延续在两位数的增加傍边。

　　但将关头功能外包给第三方还请用户们重点存眷一下安然标题问题。当企业将IT营业运行在内部时，则可以进行安然和谈的定义与节制。但当依托云办事供给商时，你又如何能体味到安然和谈存在哪里？并且它们是如何履行的呢？

　　为体味决这些标题问题，云财产本身也在不竭演变与调剂其架构。经由过程定义云的安然尺度则是最好的解决编制——在其行业范围内供给一个统一的尺度，使其成为云办事供给商公认的认证尺度。经由过程贯彻与遍及采取这类尺度，暗藏的云客户将利用评估东西对云办事供给商进行安然评估。

　　可是，良多业内的云办事供给商还未采取统一的尺度。他们采取了本身所承认的准则，现有的各类和谈则导致了利诱性指导的产生。

　　云安然联盟

　　范围最大年夜且介入者浩繁的安然尺度机构是CSA或称作云安然联盟(Cloud Security Alliance)。此中包含亚马逊收集办事公司、微软、甲骨文、红帽、RackSpace和Salesforce公司等(还包含几十个企业)，最有前景的云办事企业都撑持CSA。

　　CSA已开辟出一个合规尺度，被称作为CCM或云节制矩阵(Cloud Control Matrix)。该尺度被清算到Excel电子表格傍边，CCM浏览十多个云根本举措措施范畴，包含风险治理和安然信息等。CCM已超出了其本身安然标题问题标范围，傍边还包含了当局、法令律例和硬件架构等合规解决办法。

　　CCM阐述了数百条尺度。例如，从类别“举措措施安然-安然区域授权”傍边，你可以找到以下节制规范：安然区域的进口和出口应遭到限制，并监督物理拜候节制机制以确保只有颠末授权的人员才可以进进。

　　明显，该尺度讲的是云办事供给商举措措施的物理安然标题问题。但尺度其实不完全安排其实施的步履。

　　针对客户对云办事供给商的评估，假定该厂商可以向你包管一个审计尺度，并在供给合适(在本例中)CCM V1.3节制规范FS-04的环境下，这将远远优于全无所闻或是简单地听取供给商一面之词的景况。

　　NIST、IEEE和ENISA

　　这些尺度机构向全球分享了一个有爱的名字，它们读起来仿佛是一轮拼字游戏。他们也正在开辟本身的准则，此中也笼盖到了云办事安然性的标题问题。

　　NIST，美国国度尺度与手艺研究所，该机构在往年发布了其公共云计较安然和隐私准则。不合于CSA的CCM尺度，NIST的指导方针则是针对云客户及其相干细节的——对暗藏的云办事供给商，客户应考虑提出哪些咨询标题问题。

　　IEEE，电气和电子工程师协会，已着手开辟本身的云安然尺度。并称其为P2301项目-云可移植性和互把持性指南-IEEE的尺度定义首要集中在云供给商之间的互把持性上。

　　当然安然只是互把持尺度的一个方面，但云客户互把持本身就是一个关头，以避免对云办事供给商产生暗藏的依托。若没有这些尺度，是以则很等闲在云办事供给商之间产生数据的移动和流程的更改。客户将可以或许以此卡住供给商，这也将成为一个关于安然的法令责任尺度。

　　为了不被萧瑟，欧洲收集与信息安然局或称作ENISA也已发布了其速成的安然尺度：云合同安然办事程度监测指南。该指南面向公共云客户，ENISA将指导用户向云供给商提出细节性标题问题，以确保云供给商可以或许严格遵循安然和谈。

　　谨防SAS 70

　　在这个云办事快速成长的世界中，这个SAS 70尺度的光线正在逐步减退，该尺度是美国管帐师协会审计准则委员会所发布的审计尺度的一部门。当然它最初的设计是用来监督企业遵循财务陈述法则的，但一些云办事供给商仍然利用SAS 70来作为一个所谓的安然和谈认证。

　　包含Gartner在内的一些攻讦家说，在为客户供给有效的安然保障下，SAS 70具有较着的不足。有人觉得该审计尺度已与云办事安然性原意相往甚远，底子没法知足现代威胁评估的需求。别的，SAS 70已被攻讦为是一种瞬时尺度，它根基上是没法反应办事供给商延续表示的。

　　高调的云办事，近似亚马逊碰着的一些“挫折”，当然其手艺顺从SAS 70准则，但它仍对审核尺度蒙上了污点。是以，现此刻当客户评估云办事供给商时，都被警告不要把太多的重点放在SAS 70认证上。Gartner建议用自我评估和协商过的审计法度来完美弥补SAS 70尺度。