很多IT人员都认为公共云服务太不安全，无法确保关键程序工作负载和数据的安全。但是医疗信息供应商Schumacher集团首席信息官Doug Menefee却不这么认为。

　　“使用云服务确实存在风险，但是任何事情都是有风险的，我们必须将商业利益与这些风险进行权衡。”Menefee确实也说到做到，现在Schumache集团的业务数据有85%位于公共云服务内部。

　　Menefee并不认为自己是云服务倡导者，他表示他只是接受云服务这种形式，并愿意做成本效益和风险分析。

　　可以肯定的是，将重要数据交给云服务并不是没有做安全考虑，例如，该公司重新改进了身份管理程序。“我们需要考虑如何在公司程序和云服务中的程序间部署身份管理和安全措施。”

　　从身份验证说起

　　IDC公司安全产品研究副总裁Charles Kolodgy表示，的确，重新调整身份管理通常都是选择云服务的企业的起点，企业需要考虑身份验证、管理控制、数据的位置以及可能访问数据的人等问题。 “这些与企业平时的安全考虑很类似，差别在于企业不再持有基础设置，并且也无法完全进入后台，所以才需要重新调整，以确保安全性，”他补充道。

　　ServiceMesh 和Symplified两家公司就为需要加强云安全的企业提供了统一访问权限管理的产品。ServiceMesh提供的Agility Access由云管理、安全工具和模块以及服务管理等组成。而Symplified提供的Trust Cloud是基于EC2的统一访问权限管理和联盟平台，整合并保护软件和基础设施云服务、EC2和web 2.0应用程序。

　　云服务的好处

　　除了技术支持以外，云服务模式还为Schumacher公司的运营资源带来新的思维方式，Menefee表示。

　　“大型云服务供应商都有专门的团队和部门专职负责保护客户的重要信息，并不断寻求改善安全、监测、入侵控制的方法。作为中型企业，我们并没有专职的部门负责安全。在云服务供应商的帮助下，企业安全更有保障，”他表示，即使发生安全泄漏事故，这些团队也能够比内部人员作出更快的反应。

　　当然，将企业数据交给云服务供应商后，要求云服务供应商提供企业所需要的安全保障是完全合理的，但是，“不要因为将数据交给云服务供应商就忽略了企业的安全目标或要求，”Forrester研究所分析师Chenxi Wang表示。

　　云服务供应商在安全保障方面可能会有所出入，企业必须严格要求云服务供应商按照合约履行安全职责，“如果云服务供应商告诉你，你所要求是不可能实现的，你就可以告诉他们，那我们去找另一家云服务供应商。”

　　美国的Schwan食品公司在规划虚拟灾难恢复架构时就运用了这个策略，该公司的高级IT运营经理Cory Miller表示，“我们告诉供应商，‘你们必须使用我们的工具，将这些工具扩展到你们的环境’。”你甚至可以让企业的安全工具供应商与云服务供应商签订协议。

　　Schwan食品公司用于保护其虚拟基础设施的虚拟防火墙来自Reflex系统公司，该系统公司就与美国计算机科学公司以及Savvis公司(云服务供应商)合作，旨在“当在私有云和公共云间传输时确保安全保障和管理的统一性”。

　　当Schwan公司试图将云服务向外扩展时，许多云供应商都跃跃欲试，但是到实际部署阶段，并不是所有供应商都能够接受Schwan的要求，技术整合是这些供应商面对的难题。

　　“我们告诉这些供应商，如果你不能提供这些功能或者服务，我们可以去找另外的供应商，”Miller表示。

　　即使是小型公司也会从长计议。如果企业现在建立了私有云，并希望将来扩展到公共云服务，那么了解云服务供应商能够或者不能够支持的安全工具将会影响企业的技术选择。“企业肯定不希望自己设计的私有云与外部公共云在管理或加密程序方面有如此大差异，这样的话，根本无法体会到云服务带来的优势。”