谁将对IT基础设备的安全和防护组件负责

　　Logiq3公司是一家总部位于多伦多的人寿再保险管理公司。这家公司在2006年才开始营业。据Logiq3的技术副总裁David Westgate称，由于是新公司，因此他们无法建立并运作一个数据中心。公司最终选择了云计算和管理IT服务提供商BlueLock公司以帮助他们解决对数据的需求。

　　BlueLock的虚拟化环境允许数据和容量以动态的低成本方式在两个系统间调整。Westgate称，这种方式在传统托管环境中不可能实现。

　　在Logiq3将他们的关键系统委托给BlueLock的云时，还有必须要解决安全疑虑。公司经常处理包括社会安全号码等个人信息在内的死亡记录，以及大型金融客户投保的主要资产的财务数据和信息

　　尽管Logiq3并不受到美国政府的《萨班斯-奥克斯利法案》的管理，但是在该公司金融业务的客户是受到该法案的管理的。对此Westgate称：“因此他们会对我们进行审计。”为此，Logiq3需求潜在的云服务提供商展示他们遵从适用的管理条例，并且具有很高的安全性。

　　并不是只有Logiq3一家公司遇到这一问题。尽管安全和符合问题出现在任何基于Web的外包安排中，公司无可非议的考虑将所有的事情都放到虚拟云上。Gartner公司的分析师Jay Heiser称：“这是一个相当新的服务领域，其风险目前还不可预测。我们无法知道它有什么样的危险。如果我们无法预测出事物的危险程度，那么我不得不认为它不是安全的。”

　　目前，云安全联盟LinkedIn组内的IT专家对黑客能够在何种程度上利用云弱点争的不可开交。迄今为止，还很少有黑客成功入侵公共云、大规模盗取数据的案例出现。不过，在去年冬天，一些黑客试图在亚马逊EC2云计算基础设施内建立一个Zeus专门盗窃密码的僵尸网络，这也是对由亚马逊服务器托管网站的首次黑客攻击。

　　换句话说，目前云计算行业还处于初级阶段。云厂商已经开始在安全性上奋起直追，IT经理们也开始试图准确找出云的风险，以及应对这些风险的方法。

　　对于云服务提供商和他们的潜在客户来说，关键的第一步是坐下来，决定谁将对IT基础设备的安全和防护组件负责。

　　有时候，特别是与IaaS提供商的协商中，劳动力部门是可流转的。比如说，Westgate决定让BlueLock处理Logiq3的分配与配置管理，原因是他熟悉由Shavlik 技术公司提供的工具BlueLock软件。

　　Westgate称，由于没有哪一个公司和哪一个人拥有整个王国的钥匙，因此在Logiq3和BlueLock间的劳动力部门实际上强化了安全性。他称：“比如说，由于BlueLock管理着防火墙，我的任何一名管理员都不能进入和决定出售或移动数据。BlueLock的管理员也无法这样做，因为他们并不控制系统。”