安全團隊和開發(fā)人員可以發(fā)現(xiàn)難以掌握基于云計算的控制概念。但實際上，放棄其廣域網中光纖和銅纜的所有權也是類似的情況：電信運營商擁有物理基礎設施，但數(shù)據仍由客戶擁有和控制。這一切都與描述安全責任有關。一旦定義了切換點，企業(yè)就會知道除此之外，其云計算服務提供商負責安全性。

　　企業(yè)的責任在于設計一個身份訪問管理策略，該策略不僅涵蓋云平臺，還涵蓋云平臺向外界呈現(xiàn)的應用程序和服務。訪問權應基于以“最低權限”為基礎授予用戶權限，而不是給予所有人更多的權限。這可以提高審計能力，并降低未經授權更改平臺的風險。

　　最重要的是，企業(yè)應該與云計算提供商合作，以確保對更高程度的邏輯隔離進行加密。空閑和傳輸中的數(shù)據加密通常被視為在公共云平臺上另一種保護和隔離數(shù)據的方式。雖然任何人都不可能闖入公共云數(shù)據中心，并物理竊取包含數(shù)據的磁盤驅動器，但強烈建議企業(yè)考慮使用空閑數(shù)據加密。

　　隨著監(jiān)管環(huán)境越來越復雜，越來越多地要求使用云計算的組織展示其強大的治理。企業(yè)已將某些控制權委托給其云計算服務供應商，這一事實意味著企業(yè)必須證明治理程序已到位并且正在遵循。

　　為此，企業(yè)應該尋求與提供安全性和合規(guī)性監(jiān)控和報告的云計算服務提供商合作。并且采用必要的方法和合規(guī)性證明，可確保企業(yè)云計算工作負載能夠滿足審核時間的要求。

　　另一個需要密切關注的是合同條款，它約束了云計算服務商在保護客戶數(shù)據和隱私方面的作用。與超大規(guī)模云計算提供商簽訂的合同往往絕大多數(shù)都會保護這些云計算服務商，但是可以與一些云計算服務商合作，就更有利于客戶的條款達成協(xié)議。

　　最終的影響和建議是圍繞云計算服務提供商合同和服務等級協(xié)議（SLA）。許多云計算服務商，特別是超大規(guī)模的提供商，在其SLA上可能非常嚴格，并且在被要求更改它們時可能非常不靈活。了解云計算服務提供商在合規(guī)性的不同方面的立場非常重要。但他們能夠分享認證和證明嗎？他們的SLA對可用性等主題有多大的靈活性？如果SLA不提供服務，他們會支付服務信用嗎？在開始使用云計算服務提供商的服務之前，這些是企業(yè)需要獲得這些問題的答案。在此提出的另一條建議是將外部托管數(shù)據的安全要求與風險偏好背景下的云計算服務提供商功能進行比較。

　　總而言之，隨著安全風險和合規(guī)性法規(guī)的不斷增加，以及云計算服務的采用，理解云計算安全方面的共同責任非常重要。在云中放棄和保留控制之間取得適當?shù)钠胶猓瑢⑹蛊髽I(yè)能夠安全地利用云計算服務的諸多優(yōu)勢。控制云計算并不意味著企業(yè)應該管理云計算的每一個方面，但要確保知道應該負責什么職責，并獲得正確的控制。