云計算是一個新興的IT部署和交付模式，用來通過網絡實時提供產品、服務和解決方案。人們日常所說的云計算，實際上是指這種部署和交付模式的基礎架構平臺;而云服務則更延伸一步，是指通過云計算平臺提供應用和解決方案的服務過程。但是，多數人存在一個認識的誤區，認為建設云計算的服務器和存儲平臺是云計算的唯一工作重點。事實上，建設云計算平臺只是提供云計算服務的第一步。而目前很多廠商都有意無意的忽略了建設云計算平臺之后的一系列重要環節。因此，當談到“云”這個概念的時候，首先需要區分云計算平臺和云計算服務。

　　當前，對于很多用戶來說搭建云計算平臺的工作相對簡單。國內有一些企業的部分業務已經運行在企業內部的私有云計算平臺上。但是，對于提供公共的云服務這個目標而言，建設云計算平臺還僅僅只是第一步。IDC認為，除了能夠讓云計算平臺提供強大的基礎架構平臺外，提供云服務還需要具備以下8個條件：

　　1.云計算的供應商具備向公共提供服務的能力，即成為第三方提供商，而不僅僅是內部的私有云；

　　2.提供通過互聯網的接入方式，這是供應商提供公共云服務的必要條件；

　　3.云計算供應商對云計算中心進行IT管理，最終用戶不需要介入；

　　4.對于云計算提供的應用，用戶能夠自行配置。隨著用戶對云計算需求的變化，系統可以為用戶提供自動擴展能力；

　　5.云計算運營商需要具備清晰明確的費用收取模式，這也是公共云區別于私有云的重要特征之一；

　　6.基于瀏覽器的用戶界面，與私有云不同，為公眾提供的云服務必須基于統一的用戶界面；

　　7.基于Web服務的API，提供標準的開發接口。提供云服務的供應商不可能為用戶準備好每一種應用軟件。因此，為用戶和第三方軟件廠商提供標準的開發接口也是提供云服務必須達到的目標;；

　　8.云計算平臺的資源共享，即提供虛擬化、動態的平臺。

　　用云計算環境的外部網絡可以獲得異地存儲備份的優點，但同時也帶來了一些危險：各種病毒、垃圾郵件、惡意軟件和身份竊賊是你可能面臨的一部分威脅。

　　據谷歌公司負責GoogleApps的安全主管EranFeigenbaum聲稱，與外面的服務提供商共享數據面臨危險，不過同時也能獲得安全方面的一些好處。雖然許多公司現在允許云計算服務提供商訪問自己的數據，“但僅僅共享文檔、而不是共享整個基礎架構是一大好處。”

　　OpSource公司的首席執行官TrebRyan補充說：“你沒必要弄清楚多個安全區域，因為只有一條正面連接。”這家公司為軟件即服務(SaaS)和互聯網公司提供數據管理及數據傳輸備份服務。下面，我們就來看看，如何來確保云計算環境的安全。

　　一、關注打開的東西

　　云計算服務提供商Salesforce在其信任站點上警告不要打開可疑的電子郵件。這一個道理似乎很淺顯，但還是有許多人沒有遵照這個建議。還要關注可疑鏈接。

　　Balding建議，應當向提供商詢問事件響應機制。他表示，萬一有人企圖入侵，提供商應當能夠給予幫助。你還要問一下提供商會不會為你的機器制作鏡像，還是這項工作必須由你自己來完成。

　　CraigBalding是一家《財富》500強公司的技術安全負責人，開設了介紹云計算安全的博客。他建議，如果你打開文件，就要確保網絡訪問已經過加密。他特別指出，亞馬遜并不針對其Web服務業務提供數據加密服務。Salesforce.com在其信任站點上建議采用像RSA令牌或智能卡這些雙因子驗證技術。

　　二、保護云API密鑰

　　Balding提醒，你需要確保自己的云API(應用編程接口)密鑰安全。他說：“要是有人弄到了你的訪問密鑰，就能訪問你的一切數據。要求提供商為你提供多把密鑰，用于保護不同風險類別的各組數據。”

　　他還建議，應當把生產數據放在一個帳戶中、把開發數據放在另一個帳戶中。他表示，這樣就可以減小有人闖入不太安全的開發機器所帶來的風險。

　　三、使用多少付多少

　　Balding建議，為了避免競爭對手積欠賬款，需要多少云服務、就付多少費用。他說：“如果使用量急劇增加，設定閾值就很有必要。”

　　四、復制數據

　　谷歌公司的Feigenbaum強調了跨多個數據中心進行數據復制的重要性。比方說，萬一東北部出現了災難，仍可以從其他地區訪問數據。Feigenbaum說：“要是東北部發生了災難，比如說暴風雪，從而導致停電，仍可以從另一個數據中心訪問你的數據，沒有人知道這幕后的一切。”

　　五、增強端點可靠性

　　Feigenbaum說：“云計算概念就是把盡量少的數據放在端點設備上。要保護端點設備的安全很難――無異于把安全從專家的手里交到用戶的手里。”美國聯邦調查局(FBI)聲稱，買來后頭12個月里，失竊的筆記本電腦多達10%。雖然USB密鑰使用方便，但它們很容易丟失。

　　六、確保數據交易符合相應的法規和認證

　　OpSource公司的Ryan建議，涉及信用卡的交易應當符合支付卡行業(PCI)數據安全標準。他解釋：“如果我們的系統不符合PCI標準，系統會出問題，互聯網數據也就沒有安全交易可言。”

　　Ryan表示，在企業環境下，企業應當遵守SaaS70這項安全協議。與此同時，如果醫療數據在云計算環境里面傳輸，醫療保健公司要遵守《健康保險可攜性及責任性法案》(HIPAA)的有關法規。

　　七、了解安全漏洞管理

　　Trustwave公司的Krause表示，提供商需要能夠管理某部分數據影響眾多客戶的安全漏洞。Krause說：“一個漏洞就有可能導致眾多客戶的關鍵資產暴露無遺。云計算提供商必須能證明，自己認識到云計算環境的安全漏洞;自己并沒有等別人來指出哪里有安全漏洞。”

　　八、維護取證日志和網絡日志

　　Krause表示，提供商需要隨時知道自己客戶的數據放在哪里。他說：“要有辦法來追蹤審計跟蹤記錄，要任何時候都知道數據放在哪里。”他說，取證日志和網絡日志可以完成這項任務。Balding建議：“開啟日志功能，那樣就能了解人們在如何使用你放在云計算環境中的服務。那樣，你可能會發現一些攻擊。如果不開啟日志功能，就發現不了任何惡意內容或黑客企圖。”

　　另外要與IT部門聯系，查看一下公司其他部門是不是已經購買使用云計算服務，因為要是它們已經購買使用這項服務，可能會出現安全隱患。Balding表示，要與財務部門商議，看看公司里面還有誰購買了這項服務。他表示，如果同一信息在云計算環境中出現兩次，這會危及公司。

　　計算服務不僅僅是建設IT基礎架構那么簡單。如果一個企業或組織計劃建設云計算平臺來提供公共的商業云服務，除了考慮自身的IT基礎架構建設外，還應著重考慮相關的一系列配套措施。建議企業通過與有經驗的IT咨詢服務提供商進行合作，對云計算項目進行整體的規劃，考慮云計算中心的管理和盈利模式，將未來的運營納入到整體規劃中，才可以促進云服務業務充分發展，使得企業能夠真正通過云服務贏得利潤。