【IT168 评论】很多人总是认为云环境不太安全，而将应用程序和数据放在他们自己的数据中心才更安全。但真的是这样吗？早在2010年5月，CA和Ponemon研究所对900多名IT专业人士进行了调查，他们发现IT从业者认为在云环境安全风险更加难以控制，包括对数据资源物理位置的保护和限制特权用户访问敏感数据。该调查发现，IT人员承认他们不太清楚哪些计算资源被部署在云环境中，主要是因为这些都是由最终用户从非IT视角作出的决定。约有一半的受访者承认很多云资源在部署之前并没有进行安全评估。

　　也许所有对云环境的担忧源自于不安全的Web应用程序，而不是云本身。很多优异web安全漏洞(如跨站脚本和SQL注入攻击)在web服务器刚被发明的时候就出现了，出于某些原因，它们仍然在很多企业系统中“作威作福”。更加讽刺的是，2010年Aberdeen集团的报告显示，基于云的web安全工具比企业内部安全工具出现更少恶意事件。

　　选择云服务的用户应该要求供应商回答以下四个问题：

　　　1、数据存储在云基础设施时，数据是如何加密的，包括使用中数据和静态数据?
　　　2、是否部署了细粒度访问控制?
　　　3、是否有多余的云基础设施?
　　　4、Web应用程序保护到位吗?

　　数据加密

　　数据存储在云端时是如何加密的（包括使用中数据和静态数据）？

　　大多数云供应商会自动加密传输中的数据(通过要求web浏览器进行SSL连接)，但是这些数据是否被保存在加密容器中则是另一回事。最好的办法就是创建一个混合公共/私有云，这样所有云资源都可以位于企业防火墙后面，就像在自己数据中心一样受到保护。

　　大多数云供应商提供某种虚拟专用网(VPN)保护，这样信息在传输过程中将被加密，并且能够通过普通网络共享来访问。例如，Verizon公司的计算作为服务提供了思科的AnyConnect VPN客户端(从IE浏览器启动)。

　　其他云供应商提供虚拟防火墙，这个防火墙连接到企业数据中心内部的防火墙，或者与传统思科VPN网关连接。

　　Amazon网络服务之一虚拟私有云允许你连接任何Amazon云资源到你的企业位置，你可以桥接你的Amazon和企业网络，分配私有IP地址范围，在连接到互联网之前，从云环境运行的应用程序路由流量到内部安全设备。